1. Acceso a la información
Datos personales Datos personales sensibles, son los datos
Es cualquier información relacionada que de divulgarse de manera indebida,
con una persona, por ejemplo, nombre, afectarían la esfera más íntima del
teléfono, domicilio, fotografía o huellas ser humano.
dactilares; así como cualquier otro datos
que pueda servir para identificarla.
? ¿Por qué es importante
proteger los datos personales?
El dueño de los datos personales es la Para evitar que los datos sean utilizados
misma persona que proporciona sus datos, para un fin distinto para el cual fue
y el decide quién, para qué, cuándo y proporcionado, evitando con ello,
por qué los proporciona. se afecten otros derechos y libertades.
¿Quién está obligado a proteger
Existen diferentes categorías de datos, los datos personales?
por ejemplo: Todos debemos proteger los
datos personales, es un esfuerzo
Identificación conjunto: Exigiendo tus derechos,
Laborales quienes posean datos personales,
Patrimoniales aplicando lo establecido por la Ley.
Académicos
Ideológicos
Salud
Características Personales
¿No cumplir la ley?
I. Apercibimiento *
Características físicas II. Multa de 100 a 160,000 días **
III. Multa de 200 a 320,000 días ***
Otros IV. Multa de 100 a 320,000 días ****
Vida y hábitos sexuales
Origen (étnico y racial)
Prevención contra la pérdida de datos
http://www.cosinfo.net
2. ¿Qué tienen que hacer los entes privados para garantizar la protección de datos?
Nombrar a un responsable que atienda tus solicitudes de acceso, rectificación, cancelación y oposición de tus datos
personales (ARCO).
Contar con las medidas de seguridad necesarias para garantizar los datos
contra un uso indebido o ilícito, un acceso no autorizado, o contra la
pérdida, alteración, robo o modificación de la información personal.
“Saber sobre el uso
“Capacitar a
que dará a tu
su personal”.
información”.
¿En qué consiste el derecho de protección de datos personales?
Es la facultad que otorga la Ley para que uno, como dueño de los datos personales, decidas a quién proporcionar tu
información, cómo y para qué; este derecho te permite acceder, rectificar, cancelar y oponerte al tratamiento de tu
información personal. Por sus iniciales, este derecho es conocido como derechos ARCO.
¿Qué importancia tienen los datos personales?
En la era de las comunicaciones, el manejo e intercambio de datos se ha convertido en una práctica habitual, lo mismo
para el sector público que para las empresas, las cuales los utilizan para el desarrollo de sus actividades cotidianas.
Por ello, el artículo 16 de nuestra Constitución reconoce ya el derecho fundamental a que los datos personales sean
protegidos. Y por ello, todas las personas físicas o morales que cuenten con bases de datos (escuelas, hospitales,
médicos, aseguradoras, bancos, empresas, etc.) están obligadas a seguir ciertas reglas que garanticen su uso adecuado
y seguro. Dichas reglas están contenidas en la Ley Federal de Protección de Datos Personales en Posesión de los
Particulares (LFPDPP).
Prevención contra la pérdida de datos
http://www.cosinfo.net
3. ¿Cuáles son las características principales de la LFPDPP?
Esta Ley regula la forma y condiciones en que deben utilizarse los datos personales por parte
de personas físicas o morales en el ámbito privado. Tiene por objeto garantizar la protección de tu
información personal y que puedas ejercer el derecho a decidir, de manera libre e informada, sobre el uso que los entes
privados darán a los datos. A esto se le conoce como "autodeterminación informativa".
¿Qué autoridad es la responsable de proteger los derechos en materia
de datos personales?
El IFAI es la autoridad que garantiza la protección de datos personales. De promover su ejercicio y vigilar a los entes
privados que posean datos personales.
El Instituto podrá llevar a cabo inspecciones a los sistemas de bases de datos de las empresas, a fin de corroborar el
debido cumplimiento de las disposiciones contenidas en la Ley. Si no estás satisfecho con lo que la empresa te respondió,
al ejercer tu derecho de acceso, rectificación, cancelación u oposición, o bien, no obtuviste respuesta, puedes acudir al IFAI.
Mediante un procedimiento sencillo y expedito, el Instituto atenderá tu solicitud.
¿Qué otras autoridades están involucradas?
Con el propósito de contribuir con el IFAI, dependencias de la Administración Pública Federal, colaborarán en la emisión
de la regulación que corresponda. Entre ellas están, las Secretarías de Economía, Salud, Comunicaciones y Transportes,
Hacienda y Crédito Público, Educación, y Turismo; las cuales deberán emitir normas específicas para la protección de los
datos personales en sus respectivos sectores.
Prevención contra la pérdida de datos
http://www.cosinfo.net
4. ¿Quién puede tratar los datos personales?
Cualquier particular, ya sea persona física o moral; por ejemplo, un colegio, un hospital, un médico, una aseguradora,
un banco, una compañía telefónica, una tienda de autoservicio, un gimnasio, etc. Todos ellos deben observar las
disposiciones previstas en la Ley.
No están sujetos a las disposiciones de esta ley:
Las sociedades de información crediticia (buró de crédito) debido a que ya se encuentran reguladas por la Ley de
las Sociedades de Información Crediticia
Quienes traten (personas físicas o morales) los datos con fines exclusivamente personales, sin afán de divulgarlos
o utilizarlos de manera comercial; por ejemplo, el directorio telefónico de los amigos y contactos personales
¿Cuál es el procedimiento que se lleva a cabo ante el IFAI?
Puedes presentar una solicitud de protección de datos ante el Instituto, ya sea por escrito libre o por medios electrónicos,
durante los 15 días hábiles siguientes a la fecha en que la empresa haya comunicado su respuesta; o bien, a partir de
que haya vencido el plazo de respuesta, sin que ésta hubiera sido generada.
¿Cuánto tiempo tiene el Instituto para resolver tu solicitud?
El plazo máximo para emitir la resolución es de 50 días hábiles, contados a partir de la presentación de la solicitud de
protección de datos. Si existe causa justificada, el plazo podrá ampliarse por una vez y por un periodo igual.
Emitida la resolución del IFAI ¿cuánto tiempo tiene la empresa que
recabó los datos para darle puntual cumplimiento?
En caso de que la resolución que emita el Instituto sea favorable al titular de los datos, el IFAI lo notificará a la empresa o
ente privado que tiene los datos; ésta tendrá un plazo de 10 días hábiles para hacer efectivos los derechos objeto de
protección. Es importante destacar que la Ley prevé que el procedimiento puede concluir mediante un acuerdo por escrito,
firmado por las partes. En cualquier momento, el Instituto puede buscar una conciliación, obligándose a verificar que el
acuerdo suscrito sea cumplido por el ente privado.
Prevención contra la pérdida de datos
http://www.cosinfo.net
5. ¿Cuáles son y en qué consisten los principios de la protección de datos personales?
Se definen como una serie de reglas mínimas
que deben observar las empresas o entes privados
que tratan datos personales, garantizando con ello
un uso adecuado de la información personal.
Estos principios son: Proporcionalidad
Las empresas sólo podrán recabar los datos estrictamente
necesarios e indispensables para la finalidad que se persigue
y que justifica su tratamiento.
Calidad
Los datos personales en posesión de empresas deben
estar actualizados y reflejar con veracidad la realidad de
la información. Asimismo, implica que el tiempo que
esa empresa conserve tus datos no debe exceder
más allá de lo necesario para el cumplimiento de los
fines que justificaron su tratamiento.
Licitud
Compromiso que deben asumir los entes privados, que traten tu
información cuando solicitas la prestación de un bien o servicio,
respetando en todo momento la confianza que depositas
Consentimiento
Al ser tú el dueño de los datos, este principio te
permite decidir de manera informada, libre, inequívoca
y específica, si quieres compartir tu información con otras
personas.
La Ley exige a las empresas soliciten tu consentimiento
de manera expresa y por escrito. Responsabilidad
Quienes traten datos personales deben
asegurar que ya sea dentro o fuera de nuestro
país, se cumpla con los principios esenciales
de protección de datos personales,
comprometiéndose a velar siempre por el
Información cumplimiento de estos principios y a rendir
cuentas en caso de incumplimiento.
Las empresas deben dar a conocer previamente las características esenciales
del tratamiento a que serán sometidos los datos personales que se obtengan.
Esto a través de un "Aviso de Privacidad".
Prevención contra la pérdida de datos
http://www.cosinfo.net
6. ¿Qué es un Aviso de Privacidad?
Documento a través del cual podrás conocer la finalidad que tendrá la información que se te pida.
cionar
propor
deberá ita identificar
acidad e perm deberá
de Priv u ¿Qué es una transferencia de datos personales?
•El Aviso información q e los datos y s derechos
s, cab s lo
ademá resa que re acer efectivo n y oposición
al a emp forma de h cancelació Se refiere a cualquier tipo de comunicación de datos realizada a una persona
r la ión,
precisa so, rectificac distinta de la empresa a la que se los proporcionaste. Dichas transferencias
de a cce C O) .
hos AR eberá podrán realizarse siempre y cuando tú lo autorices.
(derec presa d
a d la em ansfiera tu
rivacid ue se tr
o de P q La Ley prevé que la transmisión de datos se lleve a cabo sin que medie
• En el Avis si autorizas
ltarte o s. mbio nto consentimiento cuando:
consu ción a tercer uier ca e
infor ma te d e cualq ir consentimi
otificar idad y ped • Esté prevista en una ley o en un tratado del cual México sea parte.
berá n Privac s.
resa de e tus dato • Sea necesaria para la prevención o diagnóstico médico.
• La emp lice al Aviso d quiera dar a
a e • Se realice entre empresas pertenecientes a un grupo empresarial que
que re nuevo uso qu a tu
ara el onerse les, compartan determinados procesos o políticas internas.
p
ad p odrá p sicos, digita
P rivacid e medios fí ra • Sea necesaria para el cumplimiento de un contrato que sea de tu interés,
iso de d ot
• El Av ición a través de cualquier celebrado entre la empresa que posee los datos y un tercero.
d ispos sonoros o • Por el interés público de procuración o administración de justicia.
s,
visuale ía. • Cuando lo solicite un juez dentro de un proceso judicial.
te cnolog erá
ad, deb to
P rivacid departamen s
• El A viso de ersona o itude
r la p
precisa do de atend r,
er las s
olic ¿Qué es el derecho de Acceso?
a a
encarg ceder, rectific l uso
pa ra ac on erse a Es el que te otorga la Ley, en la cual, tú puedes solicitar a una determinada
ar u op
cancel s personales empresa, que informe si en sus bases de datos tiene alguno de tus datos personales.
de dato os ARCO).
h Para solicitarlo, debes de realizarlo, por escrito, por medios electrónicos, o cualquier
(derec
otra tecnología. La solicitud debe contener lo siguiente:
• Tu nombre y domicilio o medio para recibir comunicaciones.
• Tu identificación o documentos que acrediten la personalidad del representante legal.
• La explicación clara y precisa de los datos personales a los cuales quieres tener acceso.
“Cualquier empresa o ente privado que solicite datos • Cualquier otro elemento o documento que facilite la localización de tus datos
personales deberá elaborar un Aviso de Privacidad”. personales.
Es importante conservar la constancia de la solicitud que presentaste pues si no
obtuviste respuesta o no quedaste satisfecho puedes acudir al IFAI. La constancia
será indispensable.
Prevención contra la pérdida de datos
http://www.cosinfo.net
7. ¿En qué consiste el derecho de Rectificación?
Es el derecho que te otorga la Ley a que se corrijan tus datos personales que alguna empresa tenga en sus bases.
Aplica cuando los datos son incorrectos, imprecisos, incompletos o están desactualizados.
Para que tu información sea corregida debes presentar la solicitud correspondiente, ya sea por escrito, por medios
electrónicos, ópticos o de cualquier otra tecnología.
La solicitud debe contener:
• Tu nombre y domicilio o medio para recibir comunicaciones.
• Tu identificación o documentos que acrediten la personalidad del representante legal.
• Especificar los datos que deseas sean rectificados, así como algún documento que justifique la rectificación.
• Cualquier otro elemento o documento que facilite la localización de tus datos personales.
Es importante conservar la constancia de la solicitud pues será necesaria en caso de que decidas acudir al IFAI.
¿A qué se refiere el derecho de Cancelación?
Es la facultad que otorga la Ley, para solicitar la cancelación de tus datos, de las bases que tenga una
determinada empresa, la cual deberá dejar de tratar tus datos, en especial cuando dicho tratamiento no
cumpla con las disposiciones legales aplicables. Los datos deberán ser bloqueados y, posteriormente,
suprimidos de las bases de datos.
Esta solicitud procede cuando la información personal ya no es necesaria para las actividades relacionadas
con la empresa que los tiene en sus bases.
La petición se deberá presentar por escrito, por medios electrónicos, ópticos o de cualquier otra tecnología;
deberá contener:
• Tu nombre y domicilio o medio para recibir comunicaciones.
• Tu identificación o documentos que acrediten la personalidad del representante legal.
• Especificar los datos que deben ser cancelados.
• Cualquier otro elemento o documento que facilite la localización de los datos personales.
• De ser posible, la finalidad del tratamiento para la cual son tratados tus datos personales.
Es importante que conserves la constancia de la solicitud que hayas presentado a la empresa que tiene tus datos.
Será indispensable en caso de que requieras el apoyo para iniciar el procedimiento ante el IFAI.
Prevención contra la pérdida de datos
http://www.cosinfo.net
8. ¿Cuál es el derecho de Oposición?
Es la facultad que tienes para solicitar a la empresa que pretenda realizar el tratamiento de tus datos personales,
que se abstenga de hacerlo en determinadas situaciones, por ejemplo, para fines publicitarios. La solicitud deberá
contener:
Tu nombre y domicilio o medio para recibir comunicaciones
Tu identificación o documentos que acrediten la personalidad del representante legal
Especificar las razones por las cuales te opones al tratamiento
¿Cuál es el costo del ejercicio de los derechos ARCO?
Es gratuito y únicamente deberás cubrir el costo por reproducción en copias u otros formatos.
En caso de que volvieras a ejercer cualquiera de los derechos en un plazo menor a doce meses,
el costo no podrá exceder del equivalente a tres días de salario mínimo vigente en el
Distrito Federal. Si se realizaran modificaciones sustanciales al Aviso de Privacidad y surgen
situaciones que ameriten nuevamente el ejercicio de un mismo derecho en menos de 12 meses,
no habrá costo.
¿En cuánto tiempo se debe obtener respuesta de la persona física o
empresa respecto del ejercicio de derechos?
Una vez presentada la solicitud, la empresa que posea tus datos cuenta con un plazo máximo de
20 días hábiles para responder, y 15 días hábiles más para hacer efectivos los el ejercicio de
derecho que solicites, en caso de que resulten procedentes. Los plazos podrán ser ampliados
por una sola vez y por un periodo igual cuando existan hechos que lo justifiquen.
Prevención contra la pérdida de datos
http://www.cosinfo.net
9. ¿En qué casos puede la empresa negarse total o parcialmente a permitir el acceso,
o a realizar la rectificación, cancelación de los datos personales, o a conceder la
oposición al tratamiento de los mismos?
• Cuando el solicitante no sea el titular de los datos personales, o el representante no esté debidamente acreditado.
• Cuando la persona física o empresa no tenga en su posesión los datos personales.
• Cuando se soliciten datos personales de un tercero.
• Cuando exista algún impedimento legal o resolución de autoridad competente que restrinja el ejercicio de alguno de los derechos ARCO.
• Cuando la rectificación, cancelación y oposición solicitada haya sido previamente realizada.
La empresa deberá comunicar y justificar cuando se actualice alguno de los anteriores supuestos y no pueda llevar a cabo la acción que le fue solicitada.
¿Qué puedes hacer en caso de que se mal utilicen tus datos?
Si una empresa está haciendo mal uso de tus datos personales, puedes ejercer tu derecho de oposición, a fin de
que los datos no sean utilizados. La excepción a esta disposición opera cuando:
• El titular de los datos personales sea parte firmante de un contrato y el tratamiento
de sus datos personales sea necesario para el cumplimiento de dicho contrato.
¿Ante quién se puede recurrir • Exista una disposición legal que prevea su tratamiento.
• La cancelación obstaculice actuaciones judiciales o administrativas vinculadas con
en caso de que se vulneren obligaciones fiscales o la investigación y persecución de delitos.
• Su tratamiento sea necesario para realizar una acción de interés público.
algunos de los derechos en • Su tratamiento sea necesario para cumplir con una obligación que el titular de los
materia de protección de datos? datos haya adquirido.
• Los datos sean objeto de tratamiento para la prevención o diagnóstico médico o la
Si no estás conforme o satisfecho con la respuesta gestión de servicios de salud -siempre que dicho tratamiento se realice por un
que te dio la empresa que posee la información, profesional de la salud sujeto a un deber de secreto.
puedes acudir al Instituto Federal de Acceso a la
Información y Protección de Datos (IFAI), que es
la autoridad en materia de protección de datos.
Prevención contra la pérdida de datos
http://www.cosinfo.net
10. ¿Cuál es el procedimiento que se lleva a cabo ante el IFAI?
Presentar una solicitud de protección de datos ante el Instituto, ya sea por escrito libre o por medios electrónicos, durante los 15 días hábiles siguientes a la fecha
en que la empresa haya comunicado su respuesta; o bien, a partir de que haya vencido el plazo de respuesta, sin que ésta hubiera sido generada.
¿Cuánto tiempo tiene el Instituto para resolver tu solicitud?
El plazo máximo para emitir la resolución es de 50 días hábiles, contados a partir de la presentación de la solicitud de protección de datos. Si existe causa
justificada, el plazo podrá ampliarse por una vez y por un periodo igual.
Emitida la resolución del IFAI
¿cuánto tiempo tiene la empresa que recabó los datos
para darle puntual cumplimiento?
En caso de que la resolución que se emita por parte del IFAI sea favorable al titular de los datos, la empresa o ente privado que tiene los datos; ésta tendrá un
plazo de 10 días hábiles para hacer efectivos los derechos objeto de protección, una vez notificado. Es importante destacar que la Ley prevé que el procedimiento
puede concluir mediante un acuerdo por escrito, firmado por las partes. En cualquier momento, el Instituto puede buscar una conciliación, obligándose a verificar
que el acuerdo suscrito sea cumplido por el ente privado.
Es importante destacar que la Ley prevé que el procedimiento puede concluir mediante un acuerdo por escrito, firmado por las partes. En cualquier momento,
el Instituto puede buscar una conciliación, obligándose a verificar que el acuerdo suscrito sea cumplido por el ente privado.
Prevención contra la pérdida de datos
http://www.cosinfo.net
11. En caso de que no estés conforme con la resolución que emita el Instituto,
¿ante qué autoridad puedes acudir?
Puedes promover un juicio de nulidad ante el Tribunal Federal de Justicia Fiscal y Administrativa contra la resolución que emita el IFAI,
o interponer un Juicio de Amparo.
Plazos de implementación de la Ley
A fin de que tanto el IFAI, en su carácter de autoridad y como las empresas que posean datos personales se preparen para estar en condiciones de
aplicar la Ley, se estableció una serie de plazos.
A más tardar un año después de la entrada en vigor de la Ley, las personas físicas o morales que posean bases de datos deberán expedir los Avisos
de Privacidad y designar a la persona o departamento para atender las solicitudes de los titulares de los datos.
Por otro lado, los titulares de los datos podrán ejercer sus derechos de acceso, rectificación, cancelación y oposición ante las personas designadas
por las empresas, 18 meses después de la entrada en vigor de la Ley.
En caso de que no haya una respuesta satisfactoria por parte de los entes privados, el titular de los datos podrá recurrir al IFAI en un término aproximado
de 20 meses después de la entrada en vigor de la Ley.
¿Recibirán alguna sanción las empresas que no cumplan la Ley?
“Si” Prevención contra la pérdida de datos
http://www.cosinfo.net
12. ¿Recibirán alguna sanción las empresas que no cumplan la Ley?
El IFAI, en su carácter de autoridad, tiene la facultad de imponer sanciones a aquellas empresas que incumplan alguna disposición de la Ley.
A continuación se mencionan algunas de las posibles sanciones:
I. Apercibimiento
II. Multa de 100 a 160,000 días de salario mínimo vigente en el Distrito Federal, cuando la empresa actúe
con negligencia o dolo con respecto a la información personal, no observe los principios de protección
de datos establecidos en la Ley u omita datos en el Aviso de Privacidad
III. Multa de 200 a 320,000 días de salario mínimo general vigente en el Distrito Federal, cuando incumpla
con su deber de confidencialidad en el tratamiento de los datos, cambie la finalidad del tratamiento de los
mismo sin darte aviso, transfiriera tu datos a terceros sin el consentimiento del titular, obstruya los actos
de verificación del Instituto o realice un uso ilegítimo de los datos
IV. En caso de que persistan las infracciones de manera reiterada, el Instituto podrá imponer una multa
adicional que irá de 100 a 320,000 días de salario mínimo vigente en el Distrito Federal.
Tratándose de infracciones cometidas en el tratamiento de datos sensibles, los montos de las sanciones
podrán incrementarse hasta por dos veces.
Prevención contra la pérdida de datos
http://www.cosinfo.net
13. Implementación
• El Ejecutivo Federal deberá expedir el Reglamento de esta Ley
2011
6 de julio
dentro del año siguiente a su entrada en vigor.
• Las empresas designarán a una persona o departamento de datos
personales (dependiendo del tamaño del negocio) para atender
las solicitudes de acceso, rectificación,
cancelación u oposición de datos personales, a más tardar un
año después de la entrada en vigor de la presente Ley.
• Las empresas expedirán los avisos de privacidad para informar
a las personas sobre la finalidad en el uso de sus datos y el
nombre del responsable de su protección, a más tardar un año
después de la entrada en vigor de la presente Ley.
2012
Cualquier persona podrá ejercer ante los responsables designados
por las empresas sus derechos de acceso, rectificación, cancelación
y oposición (ARCO) contemplados en el Capítulo IV de la Ley;
dieciocho meses después de la entrada en vigor de la Ley.
Enero
2013
Cualquier persona podrá dar inicio al procedimiento de
protección de derechos ante el IFAI, en caso de alguna
inconformidad ante la respuesta de la empresa, dieciocho
meses después de la entrada en vigor de la Ley.
Febrero
Prevención contra la pérdida de datos
http://www.cosinfo.net
14. Fundamentos
El uso extensivo de las tecnologías de la información y las telecomunicaciones ha permitido que en muchas ocasiones los datos
personales sean utilizados para fines distintos para los que originalmente fueron recabados, y que estos, sean transmitidos con
instancias distintas a las que el dueño (titular) de los datos confió la información. Ello viola la esfera de privacidad de la persona
y, en ocasiones, lesiona otros derechos y libertades.
A fin de equilibrar las fuerzas entre un individuo y aquellas organizaciones -públicas o privadas- que recaban o colectan datos
personales, surgió en Europa el concepto de la protección de los datos personales. Surgió un concepto similar en Estados Unidos
de América -el concepto privacidad-, sin embargo sus alcances son distintos.
Bajo el concepto de protección de datos personales, el titular (o dueño) de dichos datos tiene el derecho y la libertad de elegir qué
desea comunicar, cuándo y a quién, manteniendo el control sobre su información personal. En otras naciones, la protección de
datos personales es el más nuevo de los derechos del que goza un ciudadano: el artículo 8° de la Carta de los Derechos Fundamentales
de la Unión Europea fue aprobado el 7 de diciembre de 2000.
En nuestro país, el debate alrededor de este tema inició en 2001 cuando se presentó la primera iniciativa de ley en materia de protección
datos personales. A lo largo de ese tiempo fueron presentadas 8 iniciativas, cuyas propuestas oscilaron entre el modelo garantista, que
entorpece el libre flujo de datos (opt-in), y el modelo liberalizado, que no plantea puntos mínimos regulatorios para dar certeza al ciudadano.
Ninguna de ellas prosperó
Fue hasta el mes de abril de 2009 que la Comisión de Gobernación de la Cámara de Diputados de la LX Legislatura aprobó un dictamen
de la ley, mismo que por razones ajenas al ámbito parlamentario (la epidemia de influenza) no logró ser discutido por el Pleno. Al inicio de
los trabajos de la LXI Legislatura, la Comisión de Gobernación reabrió el debate.
Convencidos de la relevancia del tema, los miembros del Congreso de la Unión aprobaron la Ley Federal de Protección
de Datos Personales en Posesión de los Particulares, el 27 de abril de 2010.
Prevención contra la pérdida de datos
http://www.cosinfo.net
15. Si desea más información acerca de nuestras
soluciones y del valor que agregan, por favor contáctenos: Tel. (+52) 55 5680 6716
www.cosinfo.net
contacto@cosinfo.net
Prevención contra la pérdida de datos