1. Ley Federal de Protección de Datos
Personales en Posesión de Particulares:
consideraciones generales, principios y
derechos
Dra. Isabel Davara Fdez. de Marcos
Desayuno extraordinario SOCIOS AMIPCI
10 de Agosto de 2010
WTC - México, D.F.
idavara@davara.com.mx
2. ¿Qué es la protección de datos?
Un derecho Una obligación
fundamental y del responsable
del tratamiento y
un derecho un compromiso
del titular de con el titular de
los datos los datos
Derecho a la autodeterminación Se protege:
informativa
• Objeto: datos personales
•Conocer y decidir quién, cómo y
de qué manera recaba y utiliza referidos al titular de los
sus datos personales datos (persona física)
•Libertad para elegir qué desea • Garantizando
comunicar, cuándo y a quién, • su privacidad y
manteniendo el control
•Derecho autónomo y • el derecho a la
fundamental, directamente autodeterminación
conectado con la dignidad y la informativa de las
libertad de la persona personas
3. ¿Por qué cumplir la normativa?
• Cumplimiento de una obligación legal (derecho fundamental, protección
de los consumidores, medidas de seguridad)
1
• Cumplimiento de una obligación contractual (derivada de la Ley y del
contrato –cláusulas de privacidad/confidencialidad, leyendas informativas,
2 contratos con prestadores de servicios que tienen acceso a datos, etc.).
• Establecer controles internos que permitan una gestión adecuada del
negocio (governance, risk management, and compliance).
3
• Cumplimiento de una obligación con la sociedad (generar una cultura de
protección de datos/privacidad)
4
4. Ámbito de aplicación de la LFPD
Objetivo Subjetivo Territorial
Tratados por particulares,
Tratamiento Toda la República
personas físicas o morales
Excepto Sociedades de
Automatizado o no
Información Crediticia
Excepto uso exclusivamente
De datos personales personal, y sin fines de
divulgación o utilización
comercial
En posesión de los
particulares, salvo excepciones
previstas
5. Datos personales y datos sensibles
Datos personales: “Cualquier
información concerniente a una
persona física identificada o
identificable” (art. 3, fracción V)
Datos personales sensibles:
“Aquellos datos personales que
afecten a la esfera más íntima
de su titular, o cuya utilización
indebida pueda dar origen a
discriminación o conlleve un
riesgo grave para éste. En
particular, se consideran
sensibles aquellos que puedan
revelar aspectos como origen
racial o étnico, estado de salud
presente y futuro, información
genética, creencias religiosas,
filosóficas y morales, afiliación
sindical, opiniones políticas,
preferencia sexual” (art. 3,
fracción VI).
6. Tratamiento
Tratamiento: “La
obtención, uso,
Fases del divulgación o
tratamiento:
De datos almacenamiento de
recabar, tratar,
personales comunicar datos personales, por
(transferir vs cualquier medio. El uso
Temporal o
transmitir) abarca cualquier
definitivo: mero
alojamiento de acción de acceso,
datos o manejo,
Por cualquier realización de aprovechamiento,
medio: una operación transferencia o
“automatizado necesaria disposición de datos
o no” personales” (art. 3,
fracción XVIII)
7. Base de datos
Conjunto ordenado
de datos: ¿en un
documento?, ¿una
Clases tabla en una base
Jurídico: finalidad de datos?, ¿varias
del tratamiento bases de datos
interrelacionadas
Lógico: estructura en un sistema de
lógica y tratamiento información?
informático
Otros aspectos
a considerar:
hosting, cloud
computing, etc
Base de datos: “El conjunto ordenado de datos personales referentes a una
persona identificada o identificable” (art. 3, fracción II)
8. Otras definiciones
Procedimiento de disociación:
“El procedimiento mediante el
cual los datos personales no Titular de los datos:
pueden asociarse al titular ni
permitir, por su estructura, “La persona física a Fuentes de acceso público:
contenido o grado de quien corresponden “Aquellas bases de datos
desagregación, la identificación cuya consulta puede ser
los datos personales” realizada por cualquier
del mismo” (art. 3, fracción VIII)
(art. 3, fracción XVII) persona, sin más requisito
que, en su caso, el pago de
una contraprestación, de
conformidad con lo señalado
•La disociación es un tratamiento por el Reglamento” (art. 3,
de datos fracción X)
•Es más que un mero •Cualquier persona: nacional,
enmascaramiento de los datos extranjero, residente, ilegal,
•El dato disociado no puede etc. • Pendiente de
identificar, en modo alguno, a •Menores de edad
quien era su titular desarrollo
•Supuestos de incapacidad
•Si los datos han sido disociados, legal reglamentario
deja de aplicarse la LFPDPPP
•Exclusión de personas morales • Excepción a la
(públicas o privadas) y aplicación de la
empresarios individuales
•Datos de
ley
contacto/representantes
9. Responsable, encargado y tercero
Tercero: “La persona
física o moral, nacional
o extranjera, distinta
del titular o del
responsable de los
datos” (art. 3, fracción
XVI)
Encargado: “La
persona física o
jurídica que sola o
conjuntamente con
otras trate datos
personales por
cuenta del
responsable” (art. 3,
fracción IX) Responsable:“Persona
física o moral de
carácter privado que
decide sobre el
tratamiento de datos
personales” (art. 3,
fracción XIV)
10. Ejes rectores de la LFPDPPP
Procedimientos: de ejercicio de los
derechos ante el responsable y de
protección de los derechos (“solicitud
de protección de datos”) ante el IFAI.
Derechos de los titulares de los datos
(Acceso, Rectificación, Cancelación y
Oposición).
Principios internacionalmente
reconocidos (licitud, consentimiento,
finalidad, proporcionalidad, calidad,
información y responsabilidad).
Régimen sancionador: infracciones y sanciones IFAI
11. Principios: licitud, calidad, finalidad y proporcionalidad
Licitud: recabados y
Finalidad: explícita, tratados lícitamente,
legítima y según la ley.
determinada. Expectativa
También para otras razonable de
no incompatibles si privacidad. Lealtad:
en aviso de no por medios
privacidad. engañosos o
fraudulentos
Proporcionalidad:
Calidad: veracidad y datos adecuados o
a la exactitud para necesarios para la
reflejo fiel. Exacta y finalidad; y mínima
actualizada en cantidad de
obtención. Medidas información
razonables para que necesaria para
así se mantenga. conseguir la
finalidad (principio
de minimización)
12. Principios - Consentimiento
“Manifestación de la voluntad del Tácito: Cuando
habiéndose puesto a
titular de los datos mediante la cual disposición del titular
se efectúa el tratamiento de los el aviso de
privacidad, no
mismos” (art. 3, fracción IV). manifieste su
oposición
•Características: libre, específico,
inequívoco e informado Expreso: Datos
financieros y
•Revocable: en cualquier patrimoniales. Verbal/
momento, sin efectos retroactivos Por escrito, por
medios electrónicos,
•Regla general: Todo tratamiento ópticos o por
de datos personales estará sujeto cualquier otra
tecnología/ Por signos
al consentimiento de su titular i n e q u í v o c o s
•Excepciones:
Para el tratamiento de datos (Artículo
10)
Expreso y por
Para la transferencia nacional o escrito: datos
internacional (Artículo 37) sensibles
Aplican a datos personales y a datos
personales sensibles
13. Principios- Información- Aviso de Privacidad (I)
Definición • “Documento físico, electrónico o en cualquier otro formato generado
por el responsable que es puesto a disposición del titular previo al
tratamiento de sus datos personales, de conformidad con el artículo 15
de la presente Ley” (art. 3, fracción I).
Contenido •(i) identidad y domicilio del responsable que los recaba; (ii) finalidades del
mínimo tratamiento; (iii) cualquier opción y medios que se ofrezcan a los titulares
para limitar el uso o divulgación de los datos o ejercer derechos de acceso,
rectificación, cancelación u oposición y; (iv) procedimiento y medio por el
cual se comunicarán a los titulares cambios sustanciales al aviso de
privacidad.
Datos sensibles y •Deberá señalarse
transferencias
Datos obtenidos • En el momento en que se recaba el dato
personalmente • De forma clara y fehaciente
del titular • A través de los formatos por los que se recaban
• Salvo que se hubiera facilitado el aviso con anterioridad
Datos NO • Deberá darse a conocer el cambio
obtenidos • Excepción: tratamiento de datos con fines históricos, estadísticos o
directamente del científicos
titular
14. Principios- Información- Aviso de Privacidad (II)
Datos sensibles •Deberá señalarse que se tratan
Excepciones • Cuando ya se hubiera informado con anterioridad
• Cuando los datos no se obtengan directamente del titular y se traten con
fines históricos, estadísticos o científicos
• Cuando resulte imposible o exija esfuerzos desproporcionados
• Número de titulares
• Antigüedad de los datos
• Previa autorización del IFAI
• Necesidad de instrumentar medidas compensatorias
Formatos • impresos, digitales, visuales, sonoros o cualquier otra tecnología
Medios • Proporcionar al titular de manera inmediata, al menos la información
electrónico, relativa a:
óptico, sonoro, • La identidad y domicilio del responsable que los recaba
visual, o a través • Las finalidades del tratamiento de datos
de cualquier otra • Proveer los mecanismos para que el titular conozca el texto completo del
tecnología aviso de privacidad
15. Responsabilidad
rendir
cuentas al
titular
asegurarse de
que el cuidar porque
tratamiento por
terceros
RESPONSA- lo asegurado
(nacional e
en el Aviso de
internacionalme BILIDAD Privacidad se
respete
nte), cumple la
normativa
velar por el
cumplimiento
de los
principios
16. Medidas de seguridad
Que permitan proteger los datos No serán menores a aquellas que
personales contra mantenga el responsable para el manejo
• daño, de su información
• pérdida,
• alteración,
• destrucción o
• el uso, acceso o tratamiento no autorizado
Administrativas,
técnicas y físicas
Se tomará en cuenta: Vulneraciones de seguridad
• el riesgo existente, • Ocurridas en cualquier fase del tratamiento
• las posibles consecuencias para los titulares, • Que afecten de forma significativa los derechos
• la sensibilidad de los datos y patrimoniales o morales de los titulares,
• el desarrollo tecnológico. • Serán informadas por el responsable al titular
• de forma inmediata
• a fin de que el titular pueda tomar las medidas
correspondientes a la defensa de sus derechos.
17. Derechos en la LFPD
Acceso Rectificación Cancelación Oposición
18. Ejercicio de los derechos
El
responsable
El ejercicio de cualquiera de Los derechos podrán ser
debe
los derechos (ARCO): solicitados:
resguardar
los datos de
manera que
permitan el
ejercicio sin por el titular
dilación de no es ni impide el
en cualquier o su
los derechos requisito ejercicio de
momento representant
previo otro
e legal
respecto de
los datos
personales
que le
conciernen
19. Derecho de acceso
El titular tiene derecho a acceder a:
Conocer el
aviso de
Sus datos privacidad
personales a que está
sujeto el
tratamiento
20. Respuesta al derecho de acceso
Cuando se pongan a disposición del titular los
datos personales
Mediante la expedición de copias simples,
documentos electrónicos o cualquier otro medio
que determine el responsable en el aviso de
privacidad
Si el titular solicita el acceso a una persona que
presume es el responsable y ésta resulta no ser,
Bastará con que así se le indique al titular por
cualquiera de los medios antes indicados, para
tener por cumplida la solicitud
22. Comunicación de la rectificación
Si los datos rectificados hubieran sido previamente transferidos
Responsable
Tercero receptor
El responsable
deberá hacer de El tercero receptor
conocimiento del deberá también
tercero dicha proceder a efectuar
rectificación dicha rectificación
23. Derecho de cancelación
El derecho de cancelación:
Podrá ser ejercido
en todo momento
Dará lugar a un
período de bloqueo
tras el cual se
procederá a la
supresión del dato
25. Excepciones a la cancelación (art. 26)
Sean objeto de
Se refiera a las partes de
tratamiento para la
un contrato privado, social
prevención o para el
o administrativo y sean
diagnóstico médico o la
necesarios para su
gestión de servicios de
desarrollo y cumplimiento;
salud, siempre que dicho
tratamiento se realice por
un profesional de la salud
sujeto a un deber de
secreto.
Sean necesarios para
cumplir con una obligación Deban ser tratados por
legalmente adquirida por el disposición legal;
titular, y
Obstaculice actuaciones
judiciales o
administrativas
Sean necesarios para
vinculadas a obligaciones
realizar una acción en
fiscales, la investigación y
función del interés
persecución de delitos o
público, y
la actualización de
sanciones
administrativas;
Sean necesarios para
proteger los intereses
jurídicamente tutelados
del titular;
26. Comunicación de la cancelación
Si los datos rectificados hubieran sido previamente
transferidos
Responsable
Tercero receptor
El responsable
deberá hacer de El tercero receptor
conocimiento del deberá también
tercero dicha proceder a efectuar
cancelación dicha cancelación
27. Bloqueo
La identificación y conservación de datos
personales una vez cumplida la finalidad
para la cual fueron recabados, con el único
propósito de determinar posibles
responsabilidades en relación con su
tratamiento, hasta el plazo de prescripción
legal o contractual de estas.
Durante dicho periodo, los datos
personales no podrán ser objeto de
tratamiento y transcurrido éste, se
procederá a su cancelación en la base de
datos que corresponde
(Artículo 3, fracción III)
28. Derecho de oposición
¿Cuándo?
• En todo momento
• Por causa legítima
Consecuencia del ejercicio
del derecho
• De resultar procedente, el
responsable no podrá tratar los
datos relativos al titular
29. Solicitud de acceso, rectificación, cancelación u
oposición
• El nombre del titular y domicilio u otro medio
para comunicarle la respuesta a su solicitud;
• Los documentos que acrediten la identidad o,
Contenido de en su caso, la representación legal del titular;
• La descripción clara y precisa de los datos
la solicitud personales respecto de los que se busca
(art. 29): ejercer alguno de los derechos antes
mencionados, y
• Cualquier otro elemento o documento que
facilite la localización de los datos personales.
30. Solicitud de rectificación (art. 31)
Además de los requisitos
señalados, el titular deberá:
Indicar las Aportar la
modificaciones a documentación que
realizarse sustente su petición
31. Negativa a atender los derechos (art. 34)
I. Cuando el
solicitante no sea el
titular de los datos
personales, o el
representante legal
V. Cuando la no esté debidamente
rectificación, acreditado para ello;
cancelación u II. Cuando en su
oposición haya sido base de datos, no
previamente se encuentren los
realizada. datos personales
del solicitante;
IV. Cuando exista un
impedimento legal, o la
resolución de una
autoridad competente,
que restrinja el acceso a III. Cuando se
los datos personales, o lesionen los
no permita la derechos de un
rectificación, cancelación tercero;
u oposición de los
mismos, y
32. Carácter de la negativa (art. 34)
Total Parcial
*El responsable efectuará el acceso, rectificación,
cancelación u oposición requerida por el titular
33. Coste de la entrega de los datos (art. 35)
La entrega de los datos El derecho se ejercerá por
será gratuita el titular en forma gratuita
El titular deberá cubrir Si la misma persona reitera su
únicamente solicitud en un periodo menor
• Los gastos justificados de envío o a doce meses
• Con el costo de reproducción en • Los costes no serán mayores a tres días
copias u otros formatos de salario mínimo general vigente en
el DF ($57,46)
• A menos que existan modificaciones
sustanciales al aviso de privacidad
que motiven nuevas consultas
34. Resolución de la solicitud de derechos
El plazo señalado podrá ser ampliado una sola vez por igual período cuando
haya circunstancias que lo justifiquen.
35. Informar del motivo de la decisión (art. 34)
- El motivo de su decisión
¿Qué? - Acompañando, en su caso, las pruebas
que resulten pertinentes
Al titular o, en su caso, al representante
¿A quién? legal
¿Cuándo? En los plazos establecidos
Por el mismo medio por el que se llevó a
¿Cómo? cabo la solicitud
36. Referencias al desarrollo reglamentario
Artículo Cuestión
Art. 3, fracción X Fuentes accesibles al público
Art. 18 Medidas compensatorias
Art. 45 Forma, términos y plazos para el procedimiento de protección de
derechos
Art. 46 Forma y términos para acreditar la identidad del titular o la
representación legal en relación con la solicitud de protección de
datos
Art. 54 Procedimiento de conciliación entre el titular de los datos y el
responsable
Art. 60 Términos y plazos en los que se sustanciará el procedimiento de
verificación
Art. 62 Forma, términos y plazos en que sustanciará el procedimiento de
imposición de sanciones
Disp. Transit. 2ª Desarrollo reglamentario de la Ley en el plazo de un año
37. Todavía queda un poco de tiempo
Item Fecha Comentario
Publicación de la Ley 5 de Julio de 2010 Diario Oficial de la Federación
Entrada en vigor 6 de Julio de 2010 Transitorio Primero
Aprobación del Reglamento 6 de Julio de 2011 Transitorio Segundo
Designar a la persona o 6 de Julio de 2011 Art. 30 y Transitorio Tercero
departamento de datos personales
Expedir los avisos de privacidad 6 de Julio de 2011 Arts. 16 y 17 y Transitorio Tercero
Ejercicio de los derechos de acceso, 6 de Enero de 2012 Transitorio Cuarto
rectificación, cancelación y
oposición (ARCO)
Procedimiento de protección de 6 de Enero de 2012 Transitorio Cuarto
derechos
38. ¿Qué hacer?
Analizar el Adoptar las medidas
Revisar la situación de la cumplimiento de los que permitan
entidad a efectos de principios y derechos a controlar el riesgo
preparar un Plan de lo largo del flujo lógico existente,
Acción de la información reduciéndolo
Adopción
Situación de la Plan de Inicio del Recomen-
de
entidad Acción Plan daciones
medidas
Elaborar un Plan de Obtener
Acción con la recomendaciones de
participación del actuación que permitan
equipo interno y/o decidir sobre las
asesoramiento externo medidas a adoptar