Privacidad y Datos Personales

3.856 visualizaciones

Publicado el

Conferencia para BugCON > IPN - ESCOM. Octubre de 2010.

Publicado en: Tecnología
0 comentarios
4 recomendaciones
Estadísticas
Notas
  • Sé el primero en comentar

Sin descargas
Visualizaciones
Visualizaciones totales
3.856
En SlideShare
0
De insertados
0
Número de insertados
1.681
Acciones
Compartido
0
Descargas
0
Comentarios
0
Recomendaciones
4
Insertados 0
No insertados

No hay notas en la diapositiva.

Privacidad y Datos Personales

  1. 1. Privacidad y Protección de DatosPersonales<br />Joel Gómez Treviño<br />Profesor y abogado especialista en Derecho Informático<br />www.JoelGomez.mx@JoelGomezMX<br />www.LexInformatica.com@LexInformatica<br />28 de Octubre de 2010<br />
  2. 2. Conceptos de Privacidad<br />Ámbito de la vida privada que se tiene derecho a proteger de cualquier intromisión.<br /><ul><li>Esfera secreta de la vida del individuo en la que tiene el poder legal de evitar a los demás.</li></ul>Derecho a una vida retirada y anónima.<br />Derecho del individuo de decidir por sí mismo en qué medida compartirá con otros sus pensamientos, sus sentimientos y los hechos de su vida privada.<br />Intimidad.- Zona espiritual íntima y reservada de una persona o de un grupo, especialmente de una familia.<br />
  3. 3. Derecho a la Privacidad<br />Es el derecho a estar solo; el derecho de una persona de ser libre de publicidad no solicitada; y el derecho a vivir sin una interferencia injustificada por el público en asuntos que al público no le preocupan.<br />El “derecho a la privacidad” restringe la interferencia gubernamental en actividades o relaciones personales íntimas.<br />Es el derecho de un individuo o empresa para mantener su persona y su propiedad, fuera del escrutinio público.<br />
  4. 4. ¿Qué se puede monitorear?<br />Llamadas telefónicas<br />Archivo de llamadas realizadas<br />Correo de voz (voicemail)<br />Correos electrónicos <br />Mensajería instantánea<br />Computadoras<br />Discos duros, pantallas y keystrokes.<br />Espacio en red (disco virtual compartido)<br />Archivos eliminados y archivos recientes<br />Uso de internet<br />Tráfico de la red, páginas visitadas, bookmarks, history, cookies, archivos temporales, etc.<br />
  5. 5. ¿Cómo se puede proteger la privacidad?<br />Punto de vista independiente Varias opciones para elegir uno o varios medios para proteger la privacidad.<br />
  6. 6. ¿Cómo se puede proteger la privacidad?<br />Punto de vista integral<br />Se unen las mejores opciones para proteger la privacidad.<br />
  7. 7. ¿Por qué alguien quisiera vulnerar la privacidad de un tercero?<br />DIFAMAR, CALUMNIAR,<br />PERJUDICAR O CONOCER<br />UN SECRETO / VIDA PRIVADA<br />DINERO, LUCRO,<br />FINES COMERCIALES<br />
  8. 8. Esferas de la privacidad<br />Hogar<br />¿En qué ámbitos puede buscarse o extenderse nuestro derecho a la privacidad?<br />
  9. 9. Tepitovende bases de datosoficiales El Universal - 19 de abril de 2010<br /><ul><li>Bases de datos que contienen información personal de millones de mexicanos están a la venta en 12 mil dólares en el barrio de Tepito; la han adquirido tanto grupos del crimen organizado como agentes policiacos.
  10. 10. EL UNIVERSAL comprobó que en tres memorias externas, de 160 gigabytes, el comprador recibe el padrón electoral de todo el país, el registro de todos los vehículos y de licencias de conducir, entre otros “productos”.
  11. 11. La información la han adquirido tanto grupos del crimen organizado como agentes policiacos que la utilizan para trabajar, ya que en sus corporaciones no tienen esa disponibilidad de datos.
  12. 12. El agente consultado advirtió del riesgo de esta última información: “Los delincuentes ya saben con quién llegar, a quién amenazar, pues cruzando datos con la lista del padrón [electoral], obtienen hasta sus domicilios y ubican a su familia, para presionarlos”.
  13. 13. La información que se adquiere contiene también la identificación de todo el parque vehicular del Servicio Federal, donde está incluido el transporte de carga. Ahí se detallan marca, modelo, placas y tipo de carga que transportan, desde electrodomésticos y abarrotes hasta material explosivo y las rutas. </li></li></ul><li>Nueva Ley Federal de Protección de Datos Personales en Posesión de Particulares<br />Publicada en el DiarioOficial de la Federación el 5 de Julio de 2010<br />www.JoelGomez.mx@JoelGomezMX<br />www.LexInformatica.com@LexInformatica<br />
  14. 14. Objeto de la Ley y Principios<br />La ley que se expide tiene por objeto la protección de los datos personales en posesión de los particulares, con la finalidad de regular su tratamiento legítimo, controlado e informado, a efecto de garantizar la privacidad y el derecho a la autodeterminación informativa de las personas. <br />Establece que los responsables en el tratamiento de datos personales, deben observar los principiosde licitud, consentimiento, información, calidad, finalidad, lealtad, proporcionalidad y responsabilidad.<br />
  15. 15. Datos Personales Sensibles yAviso de Privacidad<br />Señala que tratándose de datos personales sensibles (aspectos como origen racial o étnico, estado de salud presente o futuro, información genética, creencias religiosas, filosóficas y morales, afiliación sindical, opiniones políticas, preferencia sexual) el responsable deberá obtener el consentimiento expreso y por escrito del titular para su tratamiento. <br />Se establece como obligación de los responsables en el tratamiento de datos personales, de informar a los titulares de los datos, la información que se recaba de ellos y con qué fines, a través del aviso de privacidad.<br />
  16. 16. Derechos ARCO e IFAI<br />Se dispone que el titular de datos o su representante legal podrán solicitar al responsable de datos personales, el acceso, rectificación, cancelación u oposición respecto de los datos personales que le conciernen.<br />Establece que el Instituto Federal de Acceso a la Información y Protección de Datos, tendrá por objeto difundir el conocimiento del derecho a la protección de datos personales en la sociedad mexicana, promover su ejercicio y vigilar por la debida observancia.<br />
  17. 17. Contenidos de la Ley<br />
  18. 18. Definiciones importantes<br />I. Aviso de Privacidad: Documento físico, electrónico o en cualquier otro formato generado por el responsable que es puesto a disposición del titular, previo al tratamiento de sus datos personales, de conformidad con el artículo 15 de la presente Ley.<br />II. Bases de datos: El conjunto ordenado de datos personales referentes a una persona identificada o identificable.<br />V. Datos personales: Cualquier información concerniente a una persona física identificada o identificable.<br />VI. Datos personales sensibles: Aquellos datos personales que afecten a la esfera más íntima de su titular, o cuya utilización indebida pueda dar origen a discriminación o conlleve un riesgo grave para éste. En particular, se consideran sensibles aquellos que puedan revelar aspectos como origen racial o étnico, estado de salud presente y futuro, información genética, creencias religiosas, filosóficas y morales, afiliación sindical, opiniones políticas, preferencia sexual.<br />
  19. 19. Limites y Principios reconocidos<br />Artículo 4.- Los principios y derechos previstos en esta Ley, tendrán como límite en cuanto a su observancia y ejercicio, la protección de la seguridad nacional, el orden, la seguridad y la salud públicos, así como los derechos de terceros.<br />Artículo 6.- Los responsables en el tratamiento de datos personales, deberán observar los principiosde licitud, consentimiento, información, calidad, finalidad, lealtad, proporcionalidad y responsabilidad, previstos en la Ley.<br />
  20. 20. Principios de PrivacidadInternacionalmente Reconocidos<br />Recolección<br />Leal y legal<br />Proporcionalidad<br />Adecuados y relevantes<br />Uso <br />Específico<br />Calidad <br />Exactitud y precisión<br />Transparencia<br />Información sobre el tratamiento<br />Acceso y rectificación<br />Preguntar, tener copia y corregir datos<br />Objeción<br />Determinado tratamiento<br />Transferencias<br />Evitarlas salvo se garantice mismo nivel de protección<br />Seguridad<br />Protección vs. riesgos<br />Responsabilidad<br />Compensación x violación<br />
  21. 21. Art. 7.- Licitud<br />Los datos personales deberán recabarse y tratarse de manera lícita.<br />La obtención de datos personales no debe hacerse a través de medios engañosos o fraudulentos.<br />En todo tratamiento de datos personales, se presume que existe la expectativa razonable de privacidad.<br />Confianza que deposita cualquier persona en otra, respecto de que los datos personales proporcionados entre ellos serán tratados conforme a lo que acordaron las partes en los términos establecidos por esta Ley. <br />
  22. 22. Art. 8.- Consentimiento<br />Todo tratamiento de datos personales estará sujeto al consentimiento de su titular (hay excepciones).<br />Consentimiento expreso: cuando la voluntad se manifieste verbalmente, por escrito, por medios electrónicos, ópticos o por cualquier otra tecnología, o por signos inequívocos.<br />Consentimiento tácito: cuando habiéndose puesto a su disposición el aviso de privacidad, no manifieste su oposición.<br />Los datos financieros o patrimoniales requerirán el consentimiento expreso de su titular (hay excepciones).<br /><ul><li>El consentimiento podrá ser revocado en cualquier momento sin que se le atribuyan efectos retroactivos.
  23. 23. En el aviso de privacidad, se establecerán los mecanismos y procedimientos para la revocación.</li></li></ul><li>Tratándose de datos personales sensibles, el responsable deberá obtener el consentimiento expreso y por escrito del titular para su tratamiento, a través de su firma autógrafa, firma electrónica […].<br />No podrán crearse bases de datos que contengan datos personales sensibles, sin que se justifique la creación de las mismas para finalidades legítimas, concretas y acordes con las actividades o fines explícitos que persigue el sujeto regulado.<br />Art. 9.- Consentimiento, datos sensibles<br />Datos personales sensibles: los que afecten a la esfera más íntima de su titular, como aquellos que puedan revelar aspectos como origen racial o étnico, estado de salud presente y futuro, información genética, creencias religiosas, filosóficas y morales, afiliación sindical, opiniones políticas, preferencia sexual.<br />
  24. 24. Art. 11.- Calidad<br />El responsable procurará que los datos personales contenidos en las bases de datos sean pertinentes, correctos y actualizados para los fines para los cuales fueron recabados.<br />Cuando los datos de carácter personal hayan dejado de ser necesarios para el cumplimiento de las finalidades previstas por el aviso de privacidad y las disposiciones legales aplicables, deberán ser cancelados.<br />El responsable estará obligado a eliminar la información relativa al incumplimiento de obligaciones contractuales, una vez que transcurra un plazo de 72 meses a partir de la fecha del incumplimiento.<br />
  25. 25. Art. 12.- Finalidad<br />El tratamiento de datos personales deberá limitarse al cumplimiento de las finalidades previstas en el aviso de privacidad. <br />Si el responsable pretende tratar los datos para un fin distinto que no resulte compatible o análogo a los fines establecidos en aviso de privacidad, se requerirá obtener nuevamente el consentimiento del titular.<br />
  26. 26. Art. 13.- Proporcionalidad<br />El tratamiento de datos personales será el que resulte necesario, adecuado y relevante en relación con las finalidades previstas en el aviso de privacidad. <br />En particular para datos personales sensibles, el responsable deberá realizar esfuerzos razonables para limitar el periodo de tratamiento de los mismos a efecto de que sea el mínimo indispensable.<br />
  27. 27. Infracciones y Delitos<br />Infracciones:<br />Apercibimiento<br />Multa de 100 a 320,000 días de salario mínimo<br />X 2 en caso de infracciones reiteradas<br />X 2 en caso de datos sensibles<br />Delitos:<br />3 meses a 3 años de prisión al que estando autorizado para tratar datos personales, con ánimo de lucro, provoque una vulneración de seguridad a las bases de datos bajo su custodia.<br />6 meses a 5 años de prisión al que, con el fin de alcanzar un lucro indebido, trate datos personales mediante el engaño, aprovechándose del error en que se encuentre el titular o la persona autorizada para transmitirlos.<br />Mín: $5,746<br />Max: $18,387,200<br />X 2 infracciones si son inf. reiteradas<br />X 2 en caso de que infracciones sean sobre datos sensible<br />
  28. 28. IT Compliance<br />

×