2. Historia
La Ley Federal de Protección de Datos Personales en Posesión de Particulares
(LFPDPPP), es un cuerpo normativo de México, aprobado por el Congreso de la
unión el 27 de abril de 2010, mismo que tiene como objetivo regular el derecho a la
autodeterminación informativa. Esta Ley fue publicada el 5 de julio de 2010 en
el Diario Oficial de la Federación y entró en vigor el 6 de julio de 2010. Sus
disposiciones son aplicables a todas las personas físicas o morales que lleven a
cabo el tratamiento de datos personales en el ejercicio de sus actividades, por lo
tanto empresas como bancos, aseguradoras, hospitales, escuelas, compañías de
telecomunicaciones, asociaciones religiosas, y profesionistas como abogados,
médicos, entre otros, se encuentran obligados a cumplir con lo que establece esta
ley. LFPD Ley Federal de Protección de Datos.
3. ¿Qué es un dato personal?
Es toda la información que te identifica, te hace identificable y te distingue de los
demás.
4. • Nombre
• Estado Civil
• RFC
• CURP
• Lugar de nacimiento
• Fecha de nacimiento
• Nacionalidad
• Domicilio
• Teléfono particular
• Teléfono celular
• Email
• Firma
• Edad
• Fotografía
Tipos de Datos Personales
Datos de identificación
de contacto
Datos sobre
características físicas
• Color de piel
• Color de iris
• Color de cabello
• Señas particulares
• Estatura
• Peso
• Cicatrices
• Tipo de sangre
Datos biométricos
• Imagen de iris
• Huella dactilar
• Palma de la mano
5. • Puesto o cargo que
desempeña
• Domicilio de trabajo
• Correo electrónico
institucional
• Teléfono institucional
• Referencias laborales
• Capacitación laboral
Tipos de Datos Personales
Datos laborales Datos académicos
• Trayectoria educativa
• Títulos
• Cédula profesional
• Certificados
• Reconocimientos
Datos migratorios
• Entrada al país
• Salida del país
• Tiempo de
permanencia en el
país
• Calidad migratoria
• Repatriación
6. • Bienes muebles
• Bienes inmuebles
• Información fiscal
• Historial crediticio
• Ingresos
• Egresos
• Cuentas bancarias
• Número de tarjetas
de crédito
• Seguros
• Afores
Tipos de Datos Personales
Datos patrimoniales y/o
financieros
Datos sobre pasatiempos,
entretenimiento y diversión
• Pasatiempos
• Aficiones
• Deportes que práctica
• Juegos de su interés
7. Datos Personales Sensibles
Aquellos datos personales que afecten a la esfera más íntima de su titular, o cuya
utilización indebida pueda dar origen a discriminación o conlleve un riesgo grave
para éste. En particular, se consideran sensibles aquellos que puedan revelar
aspectos como origen racial o étnico, estado de salud presente y futuro,
información genética, creencias religiosas, filosóficas y morales, afiliación sindical,
opiniones políticas, preferencia sexual.
8. • Origen étnico o racial
• Salud presente y
futuro
• Información genética
• Creencias religiosas,
filosóficas y morales
• Afiliación sindical
• Opiniones políticas
• Preferencia sexual
Se consideran Datos
Personales Sensibles
9. • Posturas ideológicas
• Posturas religiosas
• Posturas filosóficas
• Posturas morales
Datos Personales Sensibles
Ideológicos Opiniones políticas
Opinión de una persona
con relación a un hecho
político.
Afiliación sindical
Pertenencia de una
persona a un sindicato y
la información que de
ello derive.
Información genética
Lo relacionado al ADN
10. Información relacionada
con la valoración,
preservación, cuidado,
mejoramiento y
recuperación de su
estado de salud físico o
mental, presente,
pasado o futuro, así
como información
genética.
Datos Personales Sensibles
Salud Preferencia sexual
Información relacionada
con su comportamiento,
preferencias, prácticas o
hábitos sexuales, entre
otros.
Origen étnico o racial
Información relativa a su
pertenencia a un pueblo,
etnia o región que la
distingue por sus
condiciones e
identidades sociales,
culturales y económicas,
así como por sus
costumbres, tradiciones,
creencias.
11. Figuras ante la autoridad
Titular: La persona física a quien corresponden los datos personales.
Responsable: Persona física o moral de carácter privado que decide sobre el
tratamiento de datos personales.
Encargado: La persona física o jurídica que sola o conjuntamente con otras trate datos
personales por cuenta del responsable.
Tercero: La persona física o moral, nacional o extranjera, distinta del titular o del
responsable de los datos.
13. ¿Qué es un Aviso de Privacidad?
Es un documento físico, electrónico o en cualquier otro formato (por ejemplo sonoro),
a través del cual el responsable informa al titular sobre la existencia y características
principales del tratamiento al que serán sometidos sus datos personales. A través del
aviso de privacidad se cumple el principio de información que establece la Ley Federal
de Protección de Datos Personales en Posesión de los Particulares y su Reglamento.
14. Aviso de Privacidad
¿Cuáles son las modalidades del aviso de privacidad?
La Ley, su Reglamento y los Lineamientos reconocen y desarrollan tres
modalidades del aviso de privacidad:
• Integral,
• Simplificado
• Corto.
15. Aviso de Privacidad
¿En qué momento se debe poner a disposición el aviso de privacidad?
Se debe de poner a disposición del titular, previo al tratamiento de sus datos
personales, de conformidad con lo que establece la Ley, el aviso de privacidad
depende de la forma en que se obtengan los datos personales, es decir, si éstos se
recaban personal, directa o indirectamente del titular.
De forma personal. Los datos personales se obtienen de forma personal cuando el
titular los proporciona al responsable o a la persona física designada por él, con la
presencia física de ambos, por ejemplo, cuando el titular acude a la empresa o a una
sucursal del responsable y ahí los proporciona cara a cara.
16. Aviso de Privacidad
De forma directa. Los datos personales se obtienen de forma directa cuando el titular
los proporciona por algún medio que permite su entrega directa al responsable, entre
ellos, medios electrónicos, ópticos, sonoros, visuales o cualquier otra tecnología,
como correo postal, Internet o vía telefónica, entre otros. Ejemplos claros de lo
anterior son cuando el titular llena un formato a través de Internet en el que
proporciona su información personal, o bien, cuando el titular comunica sus datos
personales al responsable mediante una llamada telefónica.
De forma indirecta. Los datos personales se obtienen de forma indirecta cuando el
responsable los obtiene sin que el titular se los haya proporcionado de forma
personal o directa, como por ejemplo a través de una fuente de acceso público o una
transferencia.
17. Recomendaciones en materia de protección
de datos en agencias de autos
Políticas de escritorio limpio
Información y bases de datos siempre bajo llave
Equipos con contraseña
Bitácora de acceso a documentos
Destrucción segura de la información
Tiempo de resguardo de la información(e-mail, expedientes físicos personales, libretas, agendas, directorios)
Papel de reusó
Conocer procedimiento de notificación
Respaldo de información
Trabajo fuera de la oficina
18. Autoridad
La Ley señala que el IFAI (denominado Instituto Federal de Acceso a la Información y
Protección de Datos a partir de la reforma del 5 de julio de 2010) será la autoridad
encargada de vigilar y verificar el cumplimiento de la Ley de datos personales, así
como dar trámite a los procedimientos de protección de derechos, verificación y
sanción (Capítulos VII, VIII y IX).
Con la publicación del día 4 de mayo de 2015 en la Edición Vespertina del DOF se
publica el Decreto por el que se expide la Ley General de Transparencia y Acceso a la
Información Pública, el IFAI cambia su denominación a Instituto Nacional de
Transparencia, Acceso a la Información y Protección de Datos Personales (INAI).
20. ¿Qué pasa si no cumplo esta Ley?
Incumplir con las obligaciones que tiene el responsable, implica vulnerar el derecho
fundamental a la protección de datos personales del titular, y puede dar lugar a la
imposición de una sanción económica si el Instituto verifica el incumplimiento.
El incumplimiento puede darse como consecuencia de una acción u omisión.
Además, el incumplimiento puede tener importantes implicaciones, tales como:
• Publicidad negativa, derivada de la falta de compromiso con el cumplimiento.
• Perder la confianza de:
o Potencial(es) cliente o clientes y, por lo tanto, pérdida de negocio.
o Inversores y/o accionistas.
21. ¿Qué pasa si no cumplo esta Ley?
• Imposibilidad de conseguir una certificación en protección de datos personales.
Tenga en consideración que la responsabilidad prevista en la LFPDPPP no sólo es
administrativa, de manera que el incumplimiento puede dar lugar también a
responsabilidad civil o penal, según corresponda. En concreto, la LFPDPPP prevé
las conductas que constituyen infracciones así como las sanciones que, en su
caso, puede imponer el Instituto, ya que a éste le corresponde la potestad
sancionadora.
22. Levantamiento de
Información
Análisis de la
Información
Fase 1
Platica introductoria a la
Protección de Datos
personales.
Realización del inventario de
Datos Personales y de los
sistemas de tratamientos.
Determinación del personal
que trata datos personales y
sobre la asignación de
privilegios,
Identificación de las
finalidades, tratamientos y
transferencias de los Datos
Personales.
Determinación del Flujo de
Datos.
Realización de análisis de
riesgos
Integración del Informe de
Análisis de Brechas con
respecto a las medidas de
seguridad y controles
existentes en Protección
de Datos Personales.
Seleccionar y sugerir las
medidas de seguridad
aplicables para la
protección Datos
Personales.
Capacitación a
Involucrados
Entrega de
Información
Curso de Datos Personales
LFPDPPP.
Avisos de Privacidad.
Convenios de
Confidencialidad.
Informe de Amenazas y
Vulnerabilidades.
Fase 2 Fase 3 Fase 4
TIEMPO ESTIMADO DE 4 A 6 MESES
Etapas del proceso de operaciones