El documento resume la Ley de Privacidad de Datos de México. La ley fue creada para regular la protección de datos personales en poder de particulares y empresas, equilibrando los derechos de privacidad de los individuos con los derechos de uso de datos de las empresas. Algunos puntos clave incluyen la clasificación y protección de datos sensibles, la designación de un encargado de privacidad y la facultad del Instituto Federal de Acceso a la Información para auditar mecanismos de protección de datos.

1. Ley de privacidad de datos

3. Antecedentes Declaración universal de derechos humanos Articulo 12 Nadie será objeto de injerencias arbitrarias en su vida privada, su familia, su domicilio o su correspondencia, ni de ataques a su honra o a su reputación. Toda persona tiene derecho a la protección de la ley contra tales injerencias o ataques. Constitución política de los estados unidos mexicanos Articulo 16 Nadie puede ser molestado en su persona, familia, domicilio, posesiones o derechos sino en virtud de mandamiento escrito de la autoridad competente debidamente fundado y motivado

4. Modificaciones a la Constitución Se modificaron 2 Artículos Constitucionales Articulo 6°, que habla del acceso a la información, en su inciso II "..la información que se refiere a la vida privada y los datos personales será protegida por la ley de la materia". Artículo 73, que faculta al congreso para legislar en materia de protección de datos personales en posesión de particulares.

5. Objetivo de la ley Reglamentar las bases a las que estarán sujetas las personas y empresas propietarias de archivos y bases de datos, y guardar el equilibrio entre sus derechos de uso, comercialización o transferencia respecto de su titularidad y los derechos de privacidad de los individuos Los responsables en el tratamiento de datos personales, deberán recabarse y tratarse de manera lícita, con el consentimiento, información, calidad, finalidad, lealtad, proporcionalidad y responsabilidad, sin engañar o cometer fraude.

6. Aplicabilidad La ley es de orden público y de observancia general en toda la República La ley le aplica a los particulares sean personas físicas o morales de carácter privado que lleven a cabo el tratamiento de datos personales Cuando la ley no contenga disposiciones expresas, se aplicará el Código Federal de Procedimientos Civiles y la Ley Federal de Procedimiento Administrativo http://dof.gob.mx/nota_detalle.php?codigo=5150631&fecha=05/07/2010

7. La regulación de privacidad a nivel mundial EU USA EU“light” Hábeas Data Four Main Groups

8. Puntos mas importantes La clasificación y protección de datos será una función que toda empresa deberá cumplir. Artículo 2 Los datos personales sensibles, pueden ser aspectos como origen racial o étnico, estado de salud presente y futuro, información genética, creencias religiosas, filosóficas y morales, afiliación sindical, opiniones políticas, preferencia sexual. Articulo 3 Las empresas deberán teneruna ventanilla para recepción de solicitudes de información. Artículo 28 Las empresas deberán tener una persona o departamento de datos personales. Articulo 30 Es permitida la autorregulación. Artículo 44 Los resultados de las investigaciones del IFAI serán publicas. Artículo 57 El IFAI tendrá el poder de ir a las organizaciones a revisar mis mecanismos de protección de datos. Artículo 59 y Artículo 60 Las multas solo serán en caso de reincidencia, pero pueden ser hasta de 40 millones de pesos o 10 años de cárcel. Artículo 64, Artículo 68 y Artículo 69 La ley de privacidad tuvo sus bases de creación en otras leyes como la de Europa, USA, Canadá, Chile, etc. y el ISO27001

9. Apertura predeterminada Cierre predeterminada Disponibilidad Confidencialidad

10. Inventario de ciclo de vida de la información Análisis de procesos de negocio Inventario de ciclo de vida de la información Data Value (IVA) Privacy Impact Analysis (PIA) Categoría de Datos Categoría de Datos Inventario de activos Generación de políticas Controles, Estándares y Procedimientos Implementación y Auditoria

11. Privacy Impact Analysis(PIA) 1. Legal y Regulatorio Contratos Cláusulas Noticias de privacidad Autorizaciones Jurisdicciones Otras regulaciones Lavado de dinero Sectorial Etc. Análisis de procesos de negocio Inventario de ciclo de vida de la información Data Value (IVA) Privacy Impact Analysis (PIA) Categoría de Datos Categoría de Datos Inventario de activos Generación de políticas Controles, Estándares y Procedimientos Implementación y Auditoria

12. Privacy Impact Analysis (PIA) 2. Técnico Autenticación y autorización Control de acceso Log de Incidentes Gestión de documentación y media removible Copias de seguridad Pruebas de recuperación Acceso físico Análisis de procesos de negocio Inventario de ciclo de vida de la información Data Value (IVA) Privacy Impact Analysis (PIA) Categoría de Datos Categoría de Datos Inventario de activos Generación de políticas Controles, Estándares y Procedimientos Implementación y Auditoria

13. Privacy Impact Analysis (PIA) 3. Organizacional Oficial de privacidad de datos Roles y responsabilidades Políticas, procedimientos y estándares Notificaciones a las autoridades Auditorias Cumplimiento y evidencia Análisis de procesos de negocio Inventario de ciclo de vida de la información Data Value (IVA) Privacy Impact Analysis (PIA) Categoría de Datos Categoría de Datos Inventario de activos Generación de políticas Controles, Estándares y Procedimientos Implementación y Auditoria

14. Categoría de Datos legal y regulatorio Alto Riesgo Afiliación Sindical Salud Preferencias sexuales Creencias religiosas Orígenes raciales Medio Riesgo Perfil Financiero Multas Scores de crédito Información de impuestos y pagos Básico Riesgo Información de Identidad personal Empleo Análisis de procesos de negocio Inventario de ciclo de vida de la información Data Value (IVA) Privacy Impact Analysis (PIA) Categoría de Datos Categoría de Datos Inventario de activos Generación de políticas Controles, Estándares y Procedimientos Implementación y Auditoria

15. External Economic Data Value (IVA) Valor en el mercado negro Precio de venta Valor en los medios Periódicos Revistas Televisión Competencia Valor en el mercado Valor de la marca Valor políticos Autoridades Multas Análisis de procesos de negocio Inventario de ciclo de vida de la información Data Value (IVA) Privacy Impact Analysis (PIA) Categoría de Datos Categoría de Datos Inventario de activos Generación de políticas Controles, Estándares y Procedimientos Implementación y Auditoria

16. Data Value Categories Análisis de procesos de negocio Inventario de ciclo de vida de la información Data Value (IVA) Privacy Impact Analysis (PIA) Categoría de Datos Categoría de Datos Inventario de activos Generación de políticas Controles, Estándares y Procedimientos Implementación y Auditoria

17. Inventario de activos Análisis de procesos de negocio Inventario de ciclo de vida de la información Data Value (IVA) Privacy Impact Analysis (PIA) Categoría de Datos Categoría de Datos Inventario de activos Generación de políticas Controles, Estándares y Procedimientos Implementación y Auditoria

18. Cuadrante de Privacidad A1 Secret Confidential A7 A2 Privacy Risk A6 Private A8 Public 10M $1k $100K Value Risk

19. Speed Response x Mitigators Severity Exposure Motivation Capability x x ÷ Vulnerability Threat Probability x x RISK Impact (Colateral)2 (Economic)2 (Strategic)2

20. Servicio de Privacidad

21. Operación de Privacidad

22. Servicio de análisis, diseño, documentación e implementación

23. Gracias juan.carlos@sm4rt.com @juan_carrillo Sm4rt Security Services Paseos de Tamarindos400A 5º Piso Col. Bosques de las Lomas México D. F. C.P. 05120