Conferencia para BugCON > IPN - ESCOM. Octubre de 2010.

1. Privacidad y Protección de DatosPersonales Joel Gómez Treviño Profesor y abogado especialista en Derecho Informático www.JoelGomez.mx@JoelGomezMX www.LexInformatica.com@LexInformatica 28 de Octubre de 2010

3. Derecho a la Privacidad Es el derecho a estar solo; el derecho de una persona de ser libre de publicidad no solicitada; y el derecho a vivir sin una interferencia injustificada por el público en asuntos que al público no le preocupan. El “derecho a la privacidad” restringe la interferencia gubernamental en actividades o relaciones personales íntimas. Es el derecho de un individuo o empresa para mantener su persona y su propiedad, fuera del escrutinio público.

4. ¿Qué se puede monitorear? Llamadas telefónicas Archivo de llamadas realizadas Correo de voz (voicemail) Correos electrónicos Mensajería instantánea Computadoras Discos duros, pantallas y keystrokes. Espacio en red (disco virtual compartido) Archivos eliminados y archivos recientes Uso de internet Tráfico de la red, páginas visitadas, bookmarks, history, cookies, archivos temporales, etc.

5. ¿Cómo se puede proteger la privacidad? Punto de vista independiente Varias opciones para elegir uno o varios medios para proteger la privacidad.

6. ¿Cómo se puede proteger la privacidad? Punto de vista integral Se unen las mejores opciones para proteger la privacidad.

7. ¿Por qué alguien quisiera vulnerar la privacidad de un tercero? DIFAMAR, CALUMNIAR, PERJUDICAR O CONOCER UN SECRETO / VIDA PRIVADA DINERO, LUCRO, FINES COMERCIALES

8. Esferas de la privacidad Hogar ¿En qué ámbitos puede buscarse o extenderse nuestro derecho a la privacidad?

10. EL UNIVERSAL comprobó que en tres memorias externas, de 160 gigabytes, el comprador recibe el padrón electoral de todo el país, el registro de todos los vehículos y de licencias de conducir, entre otros “productos”.

11. La información la han adquirido tanto grupos del crimen organizado como agentes policiacos que la utilizan para trabajar, ya que en sus corporaciones no tienen esa disponibilidad de datos.

12. El agente consultado advirtió del riesgo de esta última información: “Los delincuentes ya saben con quién llegar, a quién amenazar, pues cruzando datos con la lista del padrón [electoral], obtienen hasta sus domicilios y ubican a su familia, para presionarlos”.

14. Objeto de la Ley y Principios La ley que se expide tiene por objeto la protección de los datos personales en posesión de los particulares, con la finalidad de regular su tratamiento legítimo, controlado e informado, a efecto de garantizar la privacidad y el derecho a la autodeterminación informativa de las personas. Establece que los responsables en el tratamiento de datos personales, deben observar los principiosde licitud, consentimiento, información, calidad, finalidad, lealtad, proporcionalidad y responsabilidad.

15. Datos Personales Sensibles yAviso de Privacidad Señala que tratándose de datos personales sensibles (aspectos como origen racial o étnico, estado de salud presente o futuro, información genética, creencias religiosas, filosóficas y morales, afiliación sindical, opiniones políticas, preferencia sexual) el responsable deberá obtener el consentimiento expreso y por escrito del titular para su tratamiento. Se establece como obligación de los responsables en el tratamiento de datos personales, de informar a los titulares de los datos, la información que se recaba de ellos y con qué fines, a través del aviso de privacidad.

16. Derechos ARCO e IFAI Se dispone que el titular de datos o su representante legal podrán solicitar al responsable de datos personales, el acceso, rectificación, cancelación u oposición respecto de los datos personales que le conciernen. Establece que el Instituto Federal de Acceso a la Información y Protección de Datos, tendrá por objeto difundir el conocimiento del derecho a la protección de datos personales en la sociedad mexicana, promover su ejercicio y vigilar por la debida observancia.

17. Contenidos de la Ley

18. Definiciones importantes I. Aviso de Privacidad: Documento físico, electrónico o en cualquier otro formato generado por el responsable que es puesto a disposición del titular, previo al tratamiento de sus datos personales, de conformidad con el artículo 15 de la presente Ley. II. Bases de datos: El conjunto ordenado de datos personales referentes a una persona identificada o identificable. V. Datos personales: Cualquier información concerniente a una persona física identificada o identificable. VI. Datos personales sensibles: Aquellos datos personales que afecten a la esfera más íntima de su titular, o cuya utilización indebida pueda dar origen a discriminación o conlleve un riesgo grave para éste. En particular, se consideran sensibles aquellos que puedan revelar aspectos como origen racial o étnico, estado de salud presente y futuro, información genética, creencias religiosas, filosóficas y morales, afiliación sindical, opiniones políticas, preferencia sexual.

19. Limites y Principios reconocidos Artículo 4.- Los principios y derechos previstos en esta Ley, tendrán como límite en cuanto a su observancia y ejercicio, la protección de la seguridad nacional, el orden, la seguridad y la salud públicos, así como los derechos de terceros. Artículo 6.- Los responsables en el tratamiento de datos personales, deberán observar los principiosde licitud, consentimiento, información, calidad, finalidad, lealtad, proporcionalidad y responsabilidad, previstos en la Ley.

20. Principios de PrivacidadInternacionalmente Reconocidos Recolección Leal y legal Proporcionalidad Adecuados y relevantes Uso Específico Calidad Exactitud y precisión Transparencia Información sobre el tratamiento Acceso y rectificación Preguntar, tener copia y corregir datos Objeción Determinado tratamiento Transferencias Evitarlas salvo se garantice mismo nivel de protección Seguridad Protección vs. riesgos Responsabilidad Compensación x violación

21. Art. 7.- Licitud Los datos personales deberán recabarse y tratarse de manera lícita. La obtención de datos personales no debe hacerse a través de medios engañosos o fraudulentos. En todo tratamiento de datos personales, se presume que existe la expectativa razonable de privacidad. Confianza que deposita cualquier persona en otra, respecto de que los datos personales proporcionados entre ellos serán tratados conforme a lo que acordaron las partes en los términos establecidos por esta Ley.

24. Art. 11.- Calidad El responsable procurará que los datos personales contenidos en las bases de datos sean pertinentes, correctos y actualizados para los fines para los cuales fueron recabados. Cuando los datos de carácter personal hayan dejado de ser necesarios para el cumplimiento de las finalidades previstas por el aviso de privacidad y las disposiciones legales aplicables, deberán ser cancelados. El responsable estará obligado a eliminar la información relativa al incumplimiento de obligaciones contractuales, una vez que transcurra un plazo de 72 meses a partir de la fecha del incumplimiento.

25. Art. 12.- Finalidad El tratamiento de datos personales deberá limitarse al cumplimiento de las finalidades previstas en el aviso de privacidad. Si el responsable pretende tratar los datos para un fin distinto que no resulte compatible o análogo a los fines establecidos en aviso de privacidad, se requerirá obtener nuevamente el consentimiento del titular.

26. Art. 13.- Proporcionalidad El tratamiento de datos personales será el que resulte necesario, adecuado y relevante en relación con las finalidades previstas en el aviso de privacidad. En particular para datos personales sensibles, el responsable deberá realizar esfuerzos razonables para limitar el periodo de tratamiento de los mismos a efecto de que sea el mínimo indispensable.

27. Infracciones y Delitos Infracciones: Apercibimiento Multa de 100 a 320,000 días de salario mínimo X 2 en caso de infracciones reiteradas X 2 en caso de datos sensibles Delitos: 3 meses a 3 años de prisión al que estando autorizado para tratar datos personales, con ánimo de lucro, provoque una vulneración de seguridad a las bases de datos bajo su custodia. 6 meses a 5 años de prisión al que, con el fin de alcanzar un lucro indebido, trate datos personales mediante el engaño, aprovechándose del error en que se encuentre el titular o la persona autorizada para transmitirlos. Mín: $5,746 Max: $18,387,200 X 2 infracciones si son inf. reiteradas X 2 en caso de que infracciones sean sobre datos sensible

28. IT Compliance