El "tratamiento" de los datos personales es uno de los temas mas
importantes de la regulación y forma parte del objeto de la ley, el cual lo
califica, ya que éste debe de ser legítimo, controlado e informado
La presente Ley es de orden público y de observancia general en toda la
República y tiene por objeto la protección de los datos personales en
posesión de los particulares, con la finalidad de regular su tratamiento
legítimo, controlado e informado, a efecto de garantizar la privacidad y el
derecho a la autodeterminación informativa de las personas.
Ley Orgánica de Protección de Datos Personales (LOPD).pptx
Datos Personales Alfredo Reyes Kraft
1. Ley Federal de Protección
de Datos Personales
en posesión de particulares
Derechos Reservados. Dr. Alfredo A. Reyes Krafft
5 Julio 2010
2. Decreto publicado en el DOF el 5 de julio del 2010:
Contiene principios en materia de protección de
datos: licitud, consentimiento, información, calidad, finalidad,
lealtad, proporcionalidad y responsabilidad;
Desarrolla los derechos de los titulares de los
datos de acceso, rectificación, cancelación y
oposición (conocidos como derechos ARCO);
Establece mecanismos para ejercer los derechos
ARCO frente a los Responsables del tratamiento,
El procedimiento de tutela de dichos derechos
en caso de la negativa de los Responsables, ante
el IFAI, quien puede imponer sanciones.
3. Algunas definiciones
El "tratamiento" de los datos personales es uno de los temas mas
tratamiento"
importantes de la regulación y forma parte del objeto de la ley, el cual lo
califica, ya que éste debe de ser legítimo, controlado e informado
La presente Ley es de orden público y de observancia general en toda la
República y tiene por objeto la protección de los datos personales en
posesión de los particulares, con la finalidad de regular su tratamiento
legítimo, controlado e informado, a efecto de garantizar la privacidad y el
derecho a la autodeterminación informativa de las personas.
La ley define "tratamiento" como el hecho de obtener, divulgar,
almacenar o simplemente usar (entendiendo por esto el solo acceso,
manejo, aprovechamiento, transferencia o disposición) de datos
personales.
XVIII. Tratamiento: La obtención, uso, divulgación o almacenamiento de
datos personales, por cualquier medio. El uso abarca cualquier acción de
acceso, manejo, aprovechamiento, transferencia o disposición de datos
personales.
4. Algunas definiciones
Aviso de Privacidad Documento físico, electrónico o en
Privacidad:
cualquier otro formato generado por el responsable que es
puesto a disposición del titular previo al tratamiento de sus
datos personales. (3-I)
Los datos financieros o patrimoniales al igual que los
sensibles requerirán el consentimiento expreso de su titular
(8), pero admiten excepciones, es decir no se requerirá,
por ejemplo, cuando tenga el propósito de cumplir
obligaciones derivadas de una relación jurídica entre el
titular y el responsable … (10 y 37)
5. Obligaciones del Responsable
Obtener el consentimiento del Titular de los datos, salvo
cuando aplique alguna excepción,
Proporcionar información sobre el tratamiento al Titular
de los Datos a través del Aviso de Privacidad
Adoptar y mantener medidas de organización y
seguridad respecto de los datos evitando su
modificación, pérdida y tratamiento o acceso no
autorizado
Establecer procedimientos para que el titular de los
datos pueda ejercer sus derechos.
6. Transferencia de Datos
Cuando el responsable pretenda transferir los datos personales a
terceros nacionales o extranjeros, deberá comunicar a éstos el aviso
de privacidad
El aviso de privacidad, debe contener una cláusula en la que se
indique si el titular acepta o no la transferencia de sus datos,
El tercero receptor, asumirá las mismas obligaciones que
correspondan al responsable que transfirió los datos.
Las transferencias nacionales o internacionales de datos podrán
llevarse a cabo sin consentimiento del titular :
I. Cuando esté prevista en una Ley o Tratado en los que México sea parte;
II. Cuando sea necesaria para la prevención o el diagnóstico médico, la prestación de
asistencia sanitaria, tratamiento médico o la gestión de servicios sanitarios;
III. Cuando sea efectuada a sociedades controladoras, subsidiarias o
afiliadas bajo el control común del responsable, o a una sociedad matriz
o a cualquier sociedad del mismo grupo del responsable que opere bajo
los mismos procesos y políticas internas;
IV. Cuando sea necesaria por virtud de un contrato celebrado o por celebrar en interés del
titular, por el responsable y un tercero;
V. Cuando sea necesaria o legalmente exigida para la salvaguarda de un interés público, o
para la procuración o administración de justicia;
VI. Cuando sea precisa para el reconocimiento, ejercicio o defensa de un derecho en un
proceso judicial, y
VII. Cuando sea precisa para el mantenimiento o cumplimiento de una
relación jurídica entre el responsable y el titular.
7. Autoridades
RESPONSABLE
EL INSTITUTO FEDERAL DE ACCESO A LA INFORMACIÓN
Y PROTECCIÓN DE DATOS
Vigilar y verificar el cumplimiento
Interpretar en el ámbito administrativo
Emitir los criterios y recomendaciones
Conocer y resolver los procedimientos de protección de derechos
y de verificación
Elaborar estudios de impacto sobre la privacidad
REGULADORA
SECRETARIA DE ECONOMÍA, “con la coadyuvancia del Instituto”:
Emisión de la regulación que corresponda,
Bases de datos de comercio automatizadas o que formen parte
de un proceso de automatización.
Lineamientos correspondientes para el contenido y alcances de
los avisos de privacidad
Desarrollo de los mecanismos y medidas de autorregulación
Registros de consumidores en materia de datos personales y
verificar su funcionamiento
8. Impactos concretos
1. Obligación de nombrar un Chief Privacy Officer y desarrollar los procesos,
sistemas y contar con RH para mantener una ventanilla al cliente para
consulta o corrección de su información
2. Obligación de contar con un aviso de privacidad (en papel y en el sitio web),
verificar su cumplimiento, y para datos sensibles firma (autógrafa o electrónica)
del cliente
3. Obligación de incorporar en el Aviso de Privacidad el consentimiento para
transferencias de datos (detallando en lo posible receptores y considerando
que no se puede discriminar en el servicio si el cliente se niega a dar su
autorización)
4. Requerimos verificar si recabamos de alguna forma datos sensibles, pues
contamos con un año para recabar la autorización del cliente para el manejo de
esos datos, a partir de que entre en vigor la ley
5. Obligación de adoptar y mantener medidas de organización y seguridad
respecto de los datos evitando su modificación, pérdida y tratamiento o
acceso no autorizado
6. Un regulador con la capacidad de hacer visitas de inspección y verificación;
con facultad para imponer multas millonarias y delitos de prisión (en su caso)
7. Nueva Autoridad. La Secretaría de Economía como responsable de los
Registros de Consumidores en materia de datos personales (PROFECO y
CONDUSEF).
9. Entrada en vigor
Entrará en vigor al día siguiente al de su publicación en el Diario
Oficial de la Federación.
El Ejecutivo Federal expedirá el Reglamento de la Ley dentro del año
siguiente a su entrada en vigor
Los responsables designarán a la persona o departamento de datos
personales (Chief Privacy Officer y expedirán sus avisos de
Chief Officer)
privacidad a los titulares de datos personales, a más tardar un año
después de la entrada en vigor de la Ley.
Los titulares podrán ejercer ante los responsables sus derechos de
acceso, rectificación, cancelación y oposición, así como dar inicio, en su
caso, al procedimiento de protección de derechos dieciocho meses
derechos,
después de la entrada en vigor de la Ley.
Las disposiciones locales en materia de protección de datos personales
en posesión de los particulares se abrogan, y se derogan todas las
demás disposiciones que se opongan a la Ley.