Protección de Datos Personales en México y Perspectiva Internacional

Ley y Reglamento de

Protección de Datos Personales

Antecedentes InternacionalesMarco Normativo en México

Joel A. Gómez TreviñoProfesor de La Salle, INFOTEC, ITESM, y Universidad Panamericana

Presidente de la Academia Mexicana de Derecho Informático, A.C.

Profesional Certificado en Protección de Datos Personales por NYCE

Experto Técnico en Protección de Datos Personales por EMA

about.me/joelgomezmxD.R. © 2015, Joel Gómez

@JoelGomezMX

Breve Historia de Desarrollos

Legislativos en el Mundo

La Firma Líder en Derecho de lasTecnologías de la Información 2

1973 Suecia70’s: Alemania, Austria,

Dinamarca, Francia, Noruega, Luxemburgo

73 y 74: EUA desarrolla leyes sectoriales

1980: Principios de Privacidad de la OCDE

80’s: Reino unido, Irlanda, Islandia,

Finlandia, San marino, Holanda e Israel

80’s: Leyes para el sector público: Australia, Japón

y Canadá

90’s: Guías de la ONU sobre archivos de datos

personales computarizados

90’s: EUROPA: Portugal, Bélgica, España, Suiza, Mónaco, Italia, Grecia

1995: Directiva 95/46/EC del Parlamento Europeo

90’s: Países ex-soviéticos, Chile, Nueva Zelanda,

Hong Kong, Taiwán, Tailandia y Corea del Sur

00’s: Safe Harbor y Privacy Framework de

APEC

00’s: Países europeos, asia pacífico, áfrica y de

américa latina (Argentina, Colombia y

Uruguay)

2010’s: Malasia, Trinidad y Tobago, Ucrania, India

y Rusia

2010’s: México, Perú y Costa Rica

@JoelGomezMX


@JoelGomezMX

Modelos Regulatorios08/07/2015


Habeas Data Omnibus

Ley Financiera

Ley de Salud

Ley de Crédito

Modelo Sectorial

Constitución

Constitución Ley Especial

Nivel de Protección para los Titulares de los Datos- +Directiva Europea de PDP

Algunos países deAmérica Latina

EstadosUnidos

Europa y algunos paísesde América Latina

Estándares técnicos no obligatorios(ISO/IEC 29100:2011)

Guías, leyes modelo y políticas globales no obligatorias

http://www.iso.org/iso/home/store/catalogue_tc/catalogue_detail.htm?csnumber=45123

@JoelGomezMX


@JoelGomezMX

Legislación de DP en América Latina

Legislación Incompleta (Sectorial)

Bolivia

El Salvador

Guatemala

Nicaragua

República Dominicana

Venezuela

Cuba

Legislación Incompleta + Habeas Data

Paraguay

Ecuador

Panamá

Honduras

Legislación Mixta (HB + Omnibus)

Brasil

Colombia

Chile

Paraguay

Ley basada en la Directiva

Europea

Argentina

Uruguay

México

Perú

Costa Rica

Colombia

La Firma Líder en Derecho de lasTecnologías de la Información

@JoelGomezMX


@JoelGomezMX

Marco Jurídico Internacional

• OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data 1980

• Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data 1980

• Additional Protocol to the Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data regarding supervisory authorities and transborder data flows 2001

• APEC Privacy Framework 2004

• Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data


http://www.oecd.org/document/18/0,3746,en_2649_34223_1815186_1_1_1_1,00.html

http://conventions.coe.int/Treaty/EN/Treaties/Html/108.htm

http://conventions.coe.int/Treaty/EN/Treaties/Html/181.htm

https://docs.google.com/viewer?a=v&q=cache:a_IcPYF6xQEJ:www.nacpec.org/docs/APEC_Privacy_Framework.pdf+&hl=en&gl=us&pid=bl&srcid=ADGEESjnL821_Gyts2wMAaRKhMbtKGSNYMJIdspQt1gwhNGPGgLscVR9fI7likwocRkWlipWdsKVc8KFwKhc3DQjcv8T_XDARI_1QMX0pYd4O1k1kpvrYiaTWa7yxlbf1Gve5SBkY1q7&sig=AHIEtbSQndXepN2qgvFgU7za_p5NC7052g

http://ec.europa.eu/justice_home/fsj/privacy/law/index_en.htm

@JoelGomezMX


@JoelGomezMX

Otros instrumentos

internacionales

• 34th International Conference of Privacy and

Data Protection Commissioners

• Article 12 The Universal Declaration on Human Rights 1948

• Article 17 The International Covenant on Civil and Political Rights 1966

• Article 16 The Convention on the Rights of the Child 1989

• E/CN.4/1990/72: Guidelines for the regulation of computerized personal data files 1990

• Article 8 Convention for the Protection of Human Rights and Fundamental Freedoms

1950

• Council of Europe: Recommendations and resolutions of the Committee of Ministers

• Council of Europe: Recommendation No.R(99) 5 for the protection of privacy on the

Internet 1999

• OECD Guidance on Policy and Practice: Privacy Online (book)

• OECD Guidelines on Cross-Border Privacy Law Enforcement 2006-ongoing

• OECD Guidelines for the Security of Information Systems and Networks: Towards a

Culture of Security 2002


http://www.privacyconference2012.org/english/home/

http://www.un.org/en/documents/udhr/index.shtml#a12

http://www2.ohchr.org/english/law/ccpr.htm

http://www2.ohchr.org/english/law/crc.htm

http://www.un.org/documents/ga/res/45/a45r095.htm

http://conventions.coe.int/Treaty/en/Treaties/html/005.htm

http://www.coe.int/t/cm/adoptedtexts_en.asp

https://wcd.coe.int/ViewDoc.jsp?id=407311&Site=CM

http://books.google.com/books/about/Privacy_Online.html?id=zW3dYG_RWYkC

http://www.oecd.org/internet/ieconomy/37558845.pdf

http://www.oecd.org/document/42/0,3746,en_2649_34223_15582250_1_1_1_1,00.html

@JoelGomezMX


@JoelGomezMX

Tepito vende bases de datos oficialesEl Universal - 19 de abril de 2010

• Bases de datos que contienen

información personal de millones de

mexicanos están a la venta en 12 mil

dólares en el barrio de Tepito; la han

adquirido tanto grupos del crimen

organizado como agentes policiacos.

• EL UNIVERSAL comprobó que en tres

memorias externas, cada una de 160

gigabytes, el comprador recibe el padrón

electoral de todo el país, el registro de

todos los vehículos y de licencias de

conducir, entre otros “productos”.

• La información la han adquirido tanto

grupos del crimen organizado como

agentes policiacos que la utilizan para

trabajar, ya que en sus corporaciones no

tienen esa disponibilidad de datos.

• El agente consultado advirtió del riesgo

de esta última información: “Los

delincuentes ya saben con quién llegar, a

quién amenazar, pues cruzando datos

con la lista del padrón [electoral],

obtienen hasta sus domicilios y ubican a

su familia, para presionarlos”.

• La información que se adquiere contiene

también la identificación de todo el

parque vehicular del Servicio Federal,

donde está incluido el transporte de

carga. Ahí se detallan marca, modelo,

placas y tipo de carga que transportan,

desde electrodomésticos y abarrotes

hasta material explosivo y las rutas.


08/07/2015

@JoelGomezMX


@JoelGomezMX

Facebook guarda 800 páginas de

información de cada usuario08/07/2015


@JoelGomezMX


@JoelGomezMX

¿Cómo se puede proteger

la privacidad?08/07/2015


Privacidad

Tecnología

Leyes

Códigos

de

Ética

Contratos

@JoelGomezMX


@JoelGomezMX

Régimen Jurídico de

PDP en México08/07/2015


@JoelGomezMX


@JoelGomezMX

Normatividad en materia de PDP08/07/2015


Constitución Política de los E.U.M. (Arts. 6°, 16° y 73 XXIX-O)

Ley Federal de Protección de Datos Personales en Posesión de Particulares (LFPDPPP)

Reglamento de la LFPDPPP (RLFPDPPP)

Criterios Generales para la instrumentación de medidas compensatorias sin la autorización expresa del IFAI (Criterios)

Parámetros para el correcto desarrollo de los esquemas de autorregulación vinculante (Parámetros)

Lineamientos del Aviso de Privacidad (Lineamientos)

@JoelGomezMX


@JoelGomezMX

Antecedentes Constitucionales

• II. La información que se refiere a

la vida privada y los datos

personales será protegida en los

términos y con las excepciones

que fijen las leyes.

• III. Toda persona tendrá acceso

gratuito a la información pública,

a sus datos personales o a la

rectificación de éstos.

08/07/2015


Art. 6.- […] Para el ejercicio del derecho de acceso a la información, el Gobierno se regirá por los siguientes principios y bases:

@JoelGomezMX


@JoelGomezMX


• Art. 16.- […] Toda persona tienederecho a la protección de susdatos personales, al acceso,rectificación y cancelación de losmismos, así como a manifestar suoposición, en los términos que fijela ley, la cual establecerá lossupuestos de excepción a losprincipios que rijan el tratamientode datos, por razones deseguridad nacional, disposicionesde orden público, seguridad ysalud públicas o para proteger losderechos de terceros.

08/07/2015


@JoelGomezMX


@JoelGomezMX


• Art. 73.- El Congreso tiene facultad:

– XXIX-O. Para legislar en materia de

protección de datos personales en posesión

de particulares.

08/07/2015


@JoelGomezMX

Y aspectos más

relevantes de su

Reglamento

Ley Federal de Protección de

Datos Personales en Posesión

de Particulares

Publicada en el

Diario Oficial de la Federación

el 5 de Julio de 2010

@JoelGomezMX


@JoelGomezMX

Estructura de la Ley08/07/2015


Ley FPDP

Principios

Licitud, calidad, consentimiento,

información, finalidad, lealtad,

proporcionalidad y responsabilidad

Derechos

ARCO

Acceso, Rectificación, Cancelación y

Oposición

Aviso de

Privacidad

Identidad, domicilio, finalidad, medios para

ejercer derechos ARCO, transferencia…

Medidas de

Seguridad

Administrativas, técnicas y físicas que

permitan proteger los datos personales

Infracciones

y Delitos

Multas hasta: $41,446,400

Prisión: 3m-3a a 6m-5a

Procedimientos: Protección de

Derechos, Verificación e Imposición de

Sanciones

@JoelGomezMX


@JoelGomezMX

Definiciones Importantes

Aviso de Privacidad: Documento físico, electrónicoo en cualquier otro formato generado por el

responsable que es puesto a disposición del titular, previo al tratamiento de sus datos personales, de conformidad con el artículo 15 de la presente Ley.

Bases de datos: El conjunto ordenado de

datos personales referentes a una persona

identificada o identificable.

Datos personales: Cualquier información

concerniente a una persona física identificada

o identificable.


Datos personales sensibles: Aquellos datos personales que

afecten a la esfera más íntima de su titular, o cuya utilización

indebida pueda dar origen a discriminación o conlleve un riesgo

grave para éste.

En particular, se consideran sensibles aquellos que puedan revelar aspectos como origen racial

o étnico, estado de salud presente y futuro, información genética, creencias religiosas,

filosóficas y morales, afiliación sindical, opiniones políticas, preferencia sexual.

@JoelGomezMX


@JoelGomezMX

Definiciones Importantes

Bloqueo: La identificación y conservación de datos personales una vez cumplida la finalidad para la cual fueron recabados, con el único propósito de

determinar posibles responsabilidades en relación con su tratamiento, hasta el plazo de prescripción

legal o contractual de éstas. Durante dicho periodo, los datos personales no podrán ser objeto de

tratamiento y transcurrido éste, se procederá a su cancelación en la base de datos que corresponde.

Disociación: El procedimiento mediante el cual los datos

personales no pueden asociarse al titular ni permitir, por su

estructura, contenido o grado de desagregación, la identificación

del mismo.


Transferencia: Toda comunicación de datos realizada a persona distinta del

responsable o encargado del tratamiento.

Remisión: La comunicación de datos personales entre el responsable y el

encargado, dentro o fuera del territorio mexicano.

Tratamiento: La obtención, uso, divulgación o almacenamiento de datos personales, por

cualquier medio. El uso abarca cualquier acción de acceso, manejo, aprovechamiento,

transferencia o disposición de datos personales.

@JoelGomezMX


@JoelGomezMX

Protagonistas

Titular Responsable

Encargado

Tercero

08/07/2015


La persona física a quien corresponden los datos personales

Quien solo o conjuntamente con otros trata datos personales por

cuenta del responsable

La persona física o moral, nacional o extranjera,

distinta del titular o del responsable de los datos

Persona física o moral de carácter

privado que decide sobre el tratamiento de datos personales

Transferencia de Datos

Remisión de Datos

@JoelGomezMX


@JoelGomezMX

Objeto de la LFPDPPP

Pro

tecc

ión

de

los

Dat

os

Pers

on

ales

Regular su tratamiento legítimo, controlado e

informado

Garantizar la privacidad y

El derecho a la autodeterminación

informativa

08/07/2015


@JoelGomezMX


@JoelGomezMX

Ámbito de Aplicación

Si aplica

• Los particulares sean personas físicas o morales de carácter privado que lleven a cabo el tratamiento de datos personales.

No aplica

• Las sociedades de información crediticia y

• Las personas que lleven a cabo la recolección y almacenamiento de datos personales, que sea para uso exclusivamente personal, y sin fines de divulgación o utilización comercial.

• (Entidades públicas o de gobierno).

08/07/2015


Sujetos regulados:

@JoelGomezMX


@JoelGomezMX

Principios

• Cap. II – De los Principios de Protección de

D.P.

– Establece que (Art. 6) los responsables en el

tratamiento de datos personales, deben observar

los principios de licitud, consentimiento,

información, calidad, finalidad, lealtad,

proporcionalidad y responsabilidad.

08/07/2015


@JoelGomezMX


@JoelGomezMX

Resumen de Principios08/07/2015


Licitud • Los datos personales deberán recabarse y tratarse de manera lícita.

Consentimiento • Todo tratamiento de datos personales estará sujeto al consentimiento de su titular. Consentimiento expreso vs. Tácito.

Información • El responsable debe informar a los titulares la información que se recaba de ellos y con qué fines, a través del aviso de privacidad.

Calidad • Los datos personales contenidos en las bases de datos sean pertinentes, correctos y actualizados para los fines para los cuales fueron recabados.

Finalidad • El tratamiento de datos personales deberá limitarse al cumplimiento de las finalidades previstas en el aviso de privacidad.

Lealtad • Obligación de tratar los datos personales privilegiando la protección de los intereses del titular y la expectativa razonable de privacidad.

Proporcionalidad • El tratamiento de datos personales será el que resulte necesario, adecuado y relevante en relación con las finalidades (aviso de privacidad).

Responsabilidad• El responsable velará por el cumplimiento de los principios de protección de datos

personales establecidos por esta ley, y garantizar que el aviso de privacidad sea respetado en todo momento por él y por terceros.

@JoelGomezMX


@JoelGomezMX

Principios de la Ley Mexicana PDP

• Art. 7.- Licitud. Los

datos personales

deberán recabarse

y tratarse de

manera lícita.

• La obtención de

datos personales

no debe hacerse a

través de medios

engañosos o

fraudulentos.

• En todo tratamiento de datos

personales, se presume que existe

la expectativa razonable de

privacidad:

– Confianza que deposita cualquier

persona en otra, respecto de que

los datos personales

proporcionados entre ellos serán

tratados conforme a lo que

acordaron las partes en los términos

establecidos por esta Ley.


@JoelGomezMX


@JoelGomezMX

Principios del Reglamento PDP

• Art.10.- Principio de Licitud. El

principio de licitud obliga al responsable

a que el tratamiento sea con apego y

cumplimiento a lo dispuesto por la

legislación mexicana y el derecho

internacional.

08/07/2015


@JoelGomezMX


@JoelGomezMX


• Art. 8.- Consentimiento. Todo

tratamiento de datos personales

estará sujeto al consentimiento de su

titular (hay excepciones).

08/07/2015


El consentimiento puede ser revocado en cualquier momento

sin efectos retroactivos.

Consentimiento Expreso:

• Cuando la voluntad se manifieste verbalmente, por escrito, por medios electrónicos, ópticos o por cualquier otra tecnología, o por signos inequívocos.

El Consentimiento Expreso es Obligatorio:

• Tratándose de datos personales sensibles, así como los financieros o patrimoniales.

• Hay excepciones.

Consentimiento Tácito:

• Cuando habiéndose puesto a su disposición el aviso de privacidad, no manifieste su oposición.

DERECHO DEREVOCACIÓN

@JoelGomezMX


@JoelGomezMX


• Esté previsto en una Ley;

• Los datos figuren en fuentes de

acceso público;

• Los datos personales se

sometan a un procedimiento

previo de disociación;

• Tenga el propósito de cumplir

obligaciones derivadas de una

relación jurídica entre el titular

y el responsable;

• Exista una situación de

emergencia que potencialmente

pueda dañar a un individuo en su

persona o en sus bienes;

• Sean indispensables para la

atención médica, la prevención,

diagnóstico, la prestación de

asistencia sanitaria, tratamientos

médicos;

• Se dicte resolución de autoridad

competente.


• Artículo 10.- No será necesario el

consentimiento para el tratamiento de los datos personales cuando:

@JoelGomezMX


@JoelGomezMX


La solicitud del consentimiento deberá ir referida a una finalidad o finalidades determinadas,

previstas en el aviso de privacidad.

Cuando los datos personales se obtengan

personalmente o de manera directa de su

titular, el consentimiento deberá ser previo al

tratamiento.

08/07/2015


• Art. 11.

@JoelGomezMX


@JoelGomezMX


Libre: sin que medie error, mala fe, violencia o dolo, que puedan afectar la manifestación de voluntad del titular;

Específico: referido a una o varias finalidades determinadas que

justifiquen el tratamiento

Informado: que el titular tenga conocimiento del aviso de privacidad

previo al tratamiento a que serán sometidos sus datos personales y las consecuencias de su consentimiento.

El consentimiento expreso también deberá ser inequívoco, es decir, que

existan elementos que de manera indubitable demuestren su

otorgamiento.

Características del Consentimiento

08/07/2015


• Art. 12.

@JoelGomezMX


@JoelGomezMX


• Deberá previamente poner a disposición de éste el aviso de privacidad, el cual debe contener un mecanismo para que, en su caso:– el titular pueda manifestar su negativa

al tratamiento de sus datos personales para las finalidades que sean distintasa aquéllas que son necesarias y den origen a la relación jurídica entre el responsable y el titular.

08/07/2015


Art. 14.- Solicitud del consentimiento tácito. Cuando el responsable pretenda recabar los datos personales directa o personalmente de su titular…

Art. 13.- El consentimiento tácito es la regla general.

@JoelGomezMX


@JoelGomezMX

¿Cómo se puede consentir en

Internet?

Tipos de Consentimiento

BrowseWrap

ClickWrap

Opciones para Consentir

Opt-Out(hacer clic para

NO aceptar)

Opt-In(hacer clic para

aceptar)

08/07/2015


Consentimiento Tácito (se da al

navegar)

Consentimiento Expreso (se da al

hacer clic)

@JoelGomezMX


@JoelGomezMX

Mecanismo on-line para manifestar negativa al

tratamiento para finalidades distintas

08/07/2015


Opt-IN

Opt-IN

Opt-OUT

Opt-OUT

Co

nse

nti

mie

nto

Exp

reso

Consentimiento Tácito

Click-WrapAgreement

Browse-Wrap Agreement(Si no existiese el

botón de “continuar”)

@JoelGomezMX


@JoelGomezMX

Ejemplo: Click-Wrap Agreement


NIC México(ITESM)

@JoelGomezMX


@JoelGomezMX



NIC México(ITESM)

@JoelGomezMX


@JoelGomezMX



Amazon

@JoelGomezMX


@JoelGomezMX



Ticketmaster

@JoelGomezMX


@JoelGomezMX



Tumblr

@JoelGomezMX


@JoelGomezMX



Mondaq

@JoelGomezMX


@JoelGomezMX



Motorola

Samsung

Expedia

We

Tran

sfe

r

@JoelGomezMX


@JoelGomezMX



Diferentes políticas según el tipo de usuario

@JoelGomezMX


@JoelGomezMX

Ejemplo: Browse-Wrap Agreement


@JoelGomezMX


@JoelGomezMX

Ejemplo: ¿Click-Wrap y Browse-Wrap Agreement?



@JoelGomezMX

Ejemplo: Cookie Law (Europa)


@JoelGomezMX


@JoelGomezMX


No se requerirá el consentimiento tácito o expreso para el tratamiento de los datos

personales cuando éstos deriven de una relación jurídica entre el

titular y el responsable.

No resulta aplicable lo establecido en el párrafo anterior cuando el tratamiento de datos personales sea para finalidades distintas a

aquéllas que son necesarias y den origen a la relación jurídica entre

el responsable y el titular.

08/07/2015


• Art. 17.- Excepciones al

principio del consentimiento.

@JoelGomezMX


@JoelGomezMX


A20. Prueba del Consentimiento

• Para efectos de demostrar la obtención del consentimiento, la carga de la prueba recaerá, en todos los casos, en el responsable.

A21. Revocación del Consentimiento

• En cualquier momento, el titular podrá revocar su consentimiento para el tratamiento de sus datos personales, para lo cual el responsable deberá establecer mecanismos sencillos y gratuitos.

Revocación Responsable a Encargado

• En caso de que los datos personales hubiesen sido remitidos con anterioridad a la fecha de revocación del consentimiento y sigan siendo tratados por encargados, el responsable deberá hacer de su conocimiento dicha revocación.

08/07/2015


DERECHO DEREVOCACIÓN

@JoelGomezMX


@JoelGomezMX


• Art. 15.- Información. El responsable

(del tratamiento de datos) tendrá la

obligación de informar a los titulares de

los datos, la información que se recaba

de ellos y con qué fines, a través del

aviso de privacidad.

08/07/2015


@JoelGomezMX


@JoelGomezMX


El responsable procurará que los datos personales contenidos en las bases de datos sean pertinentes,

correctos y actualizados para los fines para los cuales fueron recabados.

Cuando los datos de carácter personal hayan dejado de ser necesarios para

el cumplimiento de las finalidades previstas por el aviso de privacidad y las disposiciones legales aplicables,

deberán ser cancelados.

08/07/2015


• Art. 11.- Calidad.

@JoelGomezMX


@JoelGomezMX

Principios del Reglamento PDPP

rin

cip

io d

e C

alid

ad

Se presume que se cumple con la calidad en los datos personales cuando éstos son proporcionados directamente por el titular, y hasta que éste no manifieste y acredite lo contrario, o bien, el responsable cuente con evidencia objetiva que los contradiga.

Mec

anis

mo

s El responsable deberá adoptar los mecanismos que considere necesarios para procurar que los datos personales que trate sean exactos, completos, pertinentes, correctos y actualizados, a fin de que no se altere la veracidad de la información.

08/07/2015


• Art. 26.- Principio de calidad.

@JoelGomezMX


@JoelGomezMX


• Art. 12.- Finalidad. El tratamiento de datos personales deberá limitarse al cumplimiento de las finalidades previstas en el aviso de privacidad.

• Si el responsable pretende tratar los datos para un fin distinto que no resulte compatible o análogo a los fines establecidos en aviso de privacidad, se requerirá obtener nuevamente el consentimiento del titular.

08/07/2015


@JoelGomezMX


@JoelGomezMX


• Art. 40.- Principio de finalidad. La finalidad o las finalidades establecidas en el aviso de privacidad deberán ser determinadas, lo cual se logra cuando con claridad, sin lugar a confusión y de manera objetiva se especifica para qué objeto serán tratados los datos personales.

• Art. 41.- Diferenciación. El responsable identificará y distinguirá en el aviso de privacidad entre las finalidades que dieron origen y son necesarias para la relación jurídica entre el responsable y el titular, de aquéllas que no lo son.

08/07/2015


@JoelGomezMX


@JoelGomezMX


• Art. 42.- Oposición del tratamiento para finalidades distintas. El titular podrá negar o revocar su consentimiento, así como oponerse para el tratamiento de sus datos personales para las finalidades que sean distintas a aquéllas que son necesarias y den origen a la relación jurídica entre el responsable y el titular, sin que ello tenga como consecuencia la conclusión del tratamiento para estas últimas finalidades.

08/07/2015


@JoelGomezMX


@JoelGomezMX


• Art. 43.- Tratamiento para finalidades distintas. El responsable no podrá llevar a cabo tratamientos para finalidades distintas que no resulten compatibles o análogas con aquéllas para las que hubiese recabado de origen los datos personales y que hayan sido previstas en el aviso de privacidad, a menos que:– I. Lo permita de forma explícita una ley o

reglamento,

– II. El responsable haya obtenido el consentimiento para el nuevo tratamiento.

08/07/2015


@JoelGomezMX


@JoelGomezMX


• Art. 44.- Lealtad. El principio de lealtad establece la obligación de tratar los datos personales privilegiando la protección de los intereses del titular y la expectativa razonable de privacidad.

• No se podrán utilizar medios engañosos o fraudulentos para recabar y tratar datos personales. Existe fraude o engaño cuando:

– I. Exista dolo, mala fe o negligencia en la información proporcionada al titular sobre el tratamiento;

– II. Se vulnere la expectativa razonable de privacidad del titular;

– III. Las finalidades no son las informadas en el aviso de privacidad.

08/07/2015


@JoelGomezMX


@JoelGomezMX


• Art. 13.- Proporcionalidad. El tratamiento de datos personales será el que resulte necesario, adecuado y relevante en relación con las finalidades previstas en el aviso de privacidad.

• En particular para datos personales sensibles, el responsable deberá realizar esfuerzos razonables para limitar el periodo de tratamiento de los mismos a efecto de que sea el mínimo indispensable.

08/07/2015


@JoelGomezMX


@JoelGomezMX


Art. 14.-Responsabilidad.El responsable velará por el cumplimiento de los principios de protección de datos personales establecidos por esta ley, debiendo adoptar las medidas necesarias para su aplicación.

Lo anterior aplicará aún

y cuando estos datos:

• fueren tratados por

un tercero a

solicitud del

responsable.

• hayan sido

comunicados a un

encargado, ya sea

que este último se

encuentre o no en

territorio mexicano.

57

Deberá tomar las

medidas necesarias

y suficientes para

garantizar que el

aviso de privacidad

sea respetado en

todo momento por

él y por terceros.

@JoelGomezMX


@JoelGomezMX

Elaborar políticas y programas de privacidad

Implementar programa de capacitación, actualización y concientización

Establecer un sistema de supervisión y vigilancia interna, verificaciones o

auditorías externas

Revisar periódicamente las políticas y programas

de seguridad

Instrumentar un procedimiento para que se atienda el riesgo para la protección de datos

personales

Destinar recursos para la instrumentación de los

programas y políticas de privacidad

Establecer procedimientos para recibir y responder

dudas y quejas

Disponer de mecanismos para el cumplimiento de las

políticas y programas de privacidad

Establecer medidas para el aseguramiento de los

datos personales

08/07/2015


Art. 48 Reglamento.- El responsable deberá adoptar medidas para

garantizar el debido tratamiento, privilegiando los intereses del

titular y la expectativa razonable de privacidad

@JoelGomezMX


@JoelGomezMX

La figura del encargado

Art. 49.- Figura del

encargado. El encargado

es la persona física o moral,

pública o privada, ajena a la

organización del

responsable, que sola o

conjuntamente con otras,

trata datos personales por

cuenta del responsable,

como consecuencia de la

existencia de una relación

jurídica que le vincula con el

mismo y delimita el ámbito

de su actuación para la

prestación de un servicio.

Art. 51.- Relaciones

entre el responsable y el

encargado. La relación

entre el responsable y el

encargado deberá estar

establecida mediante

cláusulas contractuales u

otro instrumento jurídico

que decida el

responsable, que permita

acreditar su existencia,

alcance y contenido.

59

@JoelGomezMX


@JoelGomezMX

Obligaciones del encargado(art. 50 del Reglamento)

Encargado

Tratar los datos personales

conforme a las instrucciones del

responsable

Abstenerse de tratar los datos personales para

finalidades distintas

Suprimir los datos personales una vez cumplida

la relación jurídica

Abstenerse de transferir los

datos personales

Guardar la confidencialidad

de los datospersonales

Implementar las medidas de seguridad

08/07/2015


@JoelGomezMX


@JoelGomezMX

Aviso de Privacidad

• Art. 15.- El responsable tendrá la obligación de informar a los titulares de datos, la información que se recaba de ellos y con qué fines, a través del aviso de privacidad.

• Art. 16.- El aviso de privacidad deberá contener, al menos:– Identidad y domicilio del responsable que los recaba;

– Finalidades del tratamiento de datos;

– Opciones y medios que el responsable ofrece a los titulares para limitar el uso o divulgación de los datos;

– Los medios para ejercer los derechos ARCO;

– Si hay transferencias de datos;

– Procedimiento para comunicar cambios al aviso de privacidad.

08/07/2015


@JoelGomezMX


@JoelGomezMX


Aviso de privacidad

Completo Simplificado

• Identidad y domicilio • Finalidades• Opciones y medios para limitar el

uso o divulgación• Medios para ejercer derechos

ARCO• Transferencias de datos • Procedimiento y medio para

comunicar cambios al aviso.• Señalar si se tratan datos sensibles

• Identidad y domicilio • Finalidades• Mecanismo para conocer el aviso

completo• Señalar si se tratan datos sensible

Se pone a disposiciónprevio al tratamiento

Documento físico, electrónico o en cualquier otro formato

generado por el responsable

Se usa cuando hay obtención directa o para medios con

espacio reducido.

08/07/2015

@JoelGomezMX


@JoelGomezMX

08/07/2015


• Sujeto al consentimiento del titular

• Identidad y domicilio del responsable

• Finalidades del tratamiento de datos

• Opciones y medios para limitar uso o divulgación

• Medios para ejercer los derechos ARCO

• Procedimiento para comunicar cambios al Aviso

• Si hay transferencias de datos

• Sencillo, claro y comprensible; estructura fácil

• Información que se recaba de ellos y con qué fines

• Las finalidades deberán ser determinadas (se especifica para qué objeto serán tratados los datos personales)

• Identificar y distinguir entre las finalidades que dieron origen y son necesarias para la relación jurídica entre el responsable y el titular, de aquéllas que no lo son.

• Se deberán incluir las finalidades para fines mercadotécnicos, publicitarios o de prospección comercial

• Si el titular acepta o no la transferencia de sus datos

LEY REGLAMENTO

Elementos del Aviso de Privacidad

@JoelGomezMX


@JoelGomezMX

Lineamientos del Aviso de Privacidad

08/07/2015


– Aviso de privacidad integral: cuando éste contenga la

totalidad de los elementos informativos a los que

refieren los artículos 8, 15, 16, 33 y 36 de la Ley, y 14,

30, 41, 68, 90 y 102 de su Reglamento, y el Vigésimo

de los presentes Lineamientos;

– Aviso de privacidad simplificado: cuando el aviso de

privacidad contenga los elementos informativos a los

que refieren los artículos 17, fracción II de la Ley y 27

de su Reglamento, y el Trigésimo cuarto de los

presentes Lineamientos, y

– Aviso de privacidad corto: cuando el aviso de

privacidad sea redactado en los términos del artículo 28

del Reglamento de la Ley y del Trigésimo octavo de los

presentes Lineamientos.

Obtención Directade D.P.

Formatos c/ Espacio Limitado

Obtención Personal de D.P.

Medio que permite su

entrega directa al

responsable

Con la presencia física del

responsable y del titular

Espacio mínimo y limitado;

datos mínimos

Ob

ten

ción

Ind

irecta: Fu

ente

de acceso

pú

blica o

tran

sferencia

Modalidades del Aviso de Privacidad:

@JoelGomezMX


@JoelGomezMX

Contenido de los Avisos de Privacidad

08/07/2015


(I) La identidad y domicilio del responsable; (II) Los datos personales que serán sometidos a tratamiento; (III) El señalamiento expreso de los

datos personales sensibles que se tratarán; (IV) Las finalidades del tratamiento; (V) Los mecanismos para que el titular pueda manifestar su negativa para el tratamiento de sus datos personales para aquellas

finalidades que no son necesarias, ni hayan dado origen a la relación jurídica con el responsable; (VI) Las transferencias de datos

personales que, en su caso, se efectúen; el tercero receptor de los datos personales, y las finalidades de las mismas; (VII) La cláusula que

indique si el titular acepta o no la transferencia, cuando así se requiera; (VIII) Los medios y el procedimiento para ejercer los derechos ARCO; (IX) Los mecanismos y procedimientos para que, en su caso, el titular

pueda revocar su consentimiento al tratamiento de sus datos personales; (X) Las opciones y medios que el responsable ofrece al

titular para limitar el uso o divulgación de los datos personales; (XI) La información sobre el uso de mecanismos en medios remotos o locales

de comunicación electrónica, óptica u otra tecnología, que permitan recabar datos personales de manera automática y simultánea al

tiempo que el titular hace contacto con los mismos, en su caso, y (XII) Los procedimientos y medios a través de los cuales el responsable

comunicará a los titulares los cambios al aviso de privacidad.

Integral

(I) La identidad y domicilio del responsable;

(II) Las finalidades del tratamiento, y

(III) Los mecanismos que

el responsable ofrece para que

el titular conozca el aviso de privacidad

integral.

Simplificado

(I) La identidad y domicilio del responsable;

(II) Las finalidades del tratamiento, y

(III) Los mecanismos que

el responsable ofrece para que

el titular conozca el aviso de privacidad

integral.

Corto

En apariencia son los mismos elementos, pero difiere en la extensión de “las finalidades”.

@JoelGomezMX


@JoelGomezMX

Confidencialidad

• Artículo 21.- El responsable o terceros que

intervengan en cualquier fase del tratamiento de

datos personales deberán guardar confidencialidad

respecto de éstos, obligación que subsistirá aun

después de finalizar sus relaciones con el titular o,

en su caso, con el responsable.

08/07/2015


@JoelGomezMX


@JoelGomezMX

Derechos de Titulares

Acceso

Los titulares tienen derecho a acceder a

sus datos personales que

obren en poder del responsable, así como conocer el

Aviso de Privacidad al que está sujeto el

tratamiento.

Rectificación

El titular de los datos tendrá

derecho a rectificarlos cuando

sean inexactos o incompletos.

Cancelación

El titular tendrá en todo momento el

derecho a cancelar sus datos

personales.

Oposición

El titular tendrá derecho en todo

momento a oponerse al

tratamiento de sus datos, cuando:

Revocación

El consentimiento podrá ser revocado

en cualquier momento sin que se le atribuyan efectos

retroactivos.

08/07/2015

Lex Informática Abogados, S.C.

67

• La cancelación de datos personales darálugar a un periodo de bloqueo tras el cualse procederá a la supresión del dato. Elresponsable podrá conservarlosexclusivamente para efectos de lasresponsabilidades nacidas deltratamiento.

• El periodo de bloqueo será equivalente alplazo de prescripción de las accionesderivadas de la relación jurídica quefunda el tratamiento en los términos dela Ley aplicable en la materia.

Bloqueo: La identificación yconservación de datos personales unavez cumplida la finalidad para la cualfueron recabados, con el únicopropósito de determinar posiblesresponsabilidades en relación con sutratamiento, hasta el plazo deprescripción legal o contractual deéstas..Supresión: Actividad consistente eneliminar, borrar o destruir el o los datospersonales, una vez concluido elperiodo de bloqueo, bajo las medidasde seguridad previamente establecidaspor el responsable.

I. Exista causa legítima ysu situación específicaasí lo requiera, lo cualdebe justificar que aunsiendo lícito eltratamiento, el mismodebe cesar para evitarque su persistenciacause un perjuicio altitular, oII. Requiera manifestarsu oposición para eltratamiento de susdatos personales a finde que no se lleve acabo el tratamientopara fines específicos.

I. Para revocar elconsentimiento, elresponsable deberá, enel aviso de privacidad,establecer mecanismossencillos y gratuitos.II. Cuando el titularsolicite la confirmacióndel cese del tratamientode sus datos personales,el responsable deberáresponder expresamentea dicha solicitud.III. El responsable deberáinformar al encargado dela revocación, para queproceda a efectuar loconducente.

Art. 22.- Los datos personales deben serresguardados de tal manera quepermitan el ejercicio sin dilación de losderechos ARCO.

@JoelGomezMX


@JoelGomezMX

Excepciones Generales a los

Derechos ARCO

Artículo 34.- El responsable podrá negar el acceso a los datos personales, o a realizar la rectificación o cancelación o conceder la oposición al tratamiento de los mismos, en los siguientes supuestos:

I. Cuando el solicitante no sea el titular de los datos personales, o el representante legal no esté debidamente acreditado para ello;

II. Cuando en su base de datos, no se encuentren los datos personales del solicitante;

III. Cuando se lesionen los derechos de un tercero;

IV. Cuando exista un impedimento legal, o la resolución de una autoridad competente, que restrinja el acceso a los datos personales, o no permita la rectificación, cancelación u oposición de los mismos, y

V. Cuando la rectificación, cancelación u oposición haya sido previamente realizada.

La negativa a que se refiere este artículo podrá ser parcial en cuyo caso el responsable efectuará el acceso, rectificación, cancelación u oposición requerida por el titular.

08/07/2015


@JoelGomezMX


@JoelGomezMX

Excepciones al

Derecho de Cancelación

Artículo 26.- El responsable no estará obligado a cancelarlos datos personales cuando:

I. Se refiera a las partes de un contrato privado, social o administrativo y sean necesarios para su desarrollo y cumplimiento;

II. Deban ser tratados por disposición legal;

III. Obstaculice actuaciones judiciales o administrativas vinculadas a obligaciones fiscales, la investigación y persecución de delitos o la actualización de sanciones administrativas;

IV. Sean necesarios para proteger los intereses jurídicamente tutelados del titular;

V. Sean necesarios para realizar una acción en función del interés público;

VI. Sean necesarios para cumplir con una obligación legalmente adquirida por el titular, y

VII.Sean objeto de tratamiento para la prevención o para el diagnóstico médico o la gestión de servicios de salud, siempre que dicho tratamiento se realice por un profesional de la salud sujeto a un deber de secreto.

08/07/2015


@JoelGomezMX


@JoelGomezMX

Del Ejercicio de los Derechos ARCO

• Art. 29.- La solicitud ARCO deberá contener y

acompañar lo siguiente:

– Nombre del titular y domicilio o medio para

comunicar respuesta;

– Documentos que acrediten identidad o

representación legal;

– Descripción clara y precisa de datos personales de

los que se busca ejercer derechos ARCO;

– Cualquier otro elemento o documento que facilite la

localización de datos personales.

08/07/2015


@JoelGomezMX


@JoelGomezMX


• Art. 30.- El responsable deberá designar

a una persona (Chief Privacy Officer), o

departamento de datos personales,

quien dará trámite a las solicitudes de los

titulares, para el ejercicio de los derechos

a que se refiere la ley. Fomentará la

protección de datos personales al interior

de la organización.

08/07/2015


@JoelGomezMX


@JoelGomezMX


• Art. 32.- El responsable comunicará

al titular, en un plazo máximo de 20

días, contados desde la fecha en que

se recibió la solicitud ARCO, la

determinación adoptada, a efecto de

que, si resulta procedente, se haga

efectiva la misma dentro de los 15

días siguientes a la fecha en que se

comunica la respuesta.

08/07/2015


@JoelGomezMX


@JoelGomezMX

Transferencia vs. Remisión

Transferencia:

• Toda comunicación de

datos realizada a persona

distinta del responsable o

encargado del

tratamiento.

• Se da entre el

responsable y un tercero.

Remisión:

• La comunicación de

datos personales entre el

responsable y el

encargado, dentro o fuera

del territorio mexicano.

• Se da entre el

responsable y un

encargado.


@JoelGomezMX


@JoelGomezMX

Transferencia de Datos

• Artículo 36.- Cuando el responsable pretenda transferir los datos personales a terceros nacionales o extranjeros, distintos del encargado, deberá comunicar a éstos el aviso de privacidad y las finalidades a las que el titular sujetó su tratamiento.

• El tratamiento de los datos se hará conforme a lo convenido en el aviso de privacidad, el cual contendrá una cláusula en la que se indique si el titular acepta o no la transferencia de sus datos, de igual manera, el tercero receptor, asumirá las mismas obligaciones que correspondan al responsable que transfirió los datos.

08/07/2015


@JoelGomezMX


@JoelGomezMX

Transferencia sin

Consentimiento

Artículo 37.- Las transferencias nacionales o internacionales

de datos podrán llevarse a cabo sin el consentimiento del titular cuando se dé alguno

de los siguientes supuestos:

I. Cuando esté prevista en una Ley o Tratado…;

II. Cuando sea necesaria para la prevención o el diagnóstico médico…;

III. Cuando sea efectuada a sociedades controladoras, subsidiarias o afiliadas bajo

el control común del responsable, o a una sociedad matriz o a cualquier sociedad

del mismo grupo del responsable que opere bajo los mismos procesos y políticas

internas;

IV. Cuando sea necesaria por virtud de un contrato celebrado o por celebrar en

interés del titular, por el responsable y un tercero;

V. Cuando sea necesaria o legalmente exigida para la salvaguarda de un interés

público, o para la procuración o administración de justicia;

VI. Cuando sea precisa para el reconocimiento, ejercicio o defensa de un derecho en

un proceso judicial, y

VII. Cuando sea precisa para el mantenimiento o cumplimiento de una relación

jurídica entre el responsable y el titular.

08/07/2015


@JoelGomezMX


@JoelGomezMX

Prueba de Transferencia

Prueba del cumplimiento de las obligaciones en materia de transferencias

• Artículo 69. Para efectos de demostrar que la transferencia, sea ésta nacional o internacional, se realizó conforme a lo que establece la Ley y el presente Reglamento la carga de la prueba recaerá, en todos los casos, en el responsable que transfiere y en el receptor de los datos personales.

08/07/2015


@JoelGomezMX


@JoelGomezMX

Formalización de Transferencia

Formalización de las transferencias nacionales

• Artículo 73. La transferencia deberá formalizarse mediante algún mecanismo que permita demostrar que el responsable transferente comunicó al responsable receptor las condiciones en las que el titular consintió el tratamiento de sus datos personales.

Formalización de las transferencias internacionales

• Artículo 75. A tal efecto, el responsable que transfiera los datos personales podrá valerse de cláusulas contractuales u otros instrumentos jurídicos en los que se prevean al menos las mismas obligaciones a las que se encuentra sujeto el responsable que transfiere los datos personales, así como las condiciones en las que el titular consintió el tratamiento de sus datos personales.

08/07/2015


@JoelGomezMX


@JoelGomezMX

Medidas de Seguridad

• Art. 19.- Todo responsable que lleve a cabo tratamiento de datos personales deberá establecer y mantener medidas de seguridad administrativas, técnicas y físicas que permitan proteger los DPcontra daño, pérdida, alteración, destrucción o el uso, acceso o tratamiento no autorizado.

• Art. 20.- Las vulneraciones de seguridad ocurridas en cualquier fase del tratamiento que afecten de forma significativa los derechos patrimoniales o morales de los titulares, serán informados de forma inmediata por el responsable al titular.

08/07/2015


@JoelGomezMX


@JoelGomezMX

Medidas de Seguridad

Administrativas

• Conjunto de acciones y mecanismos para

establecer la gestión, soporte y revisión de

la seguridad de la información a nivel

organizacional, la identificación y

clasificación de la información, así como la

concienciación, formación y capacitación

del personal, en materia de protección de

datos personales;

08/07/2015


@JoelGomezMX


@JoelGomezMX

Medidas de Seguridad Físicas

Conjunto de acciones y mecanismos, ya sea que

empleen o no la tecnología, destinados para:

• a) Prevenir el acceso no autorizado, el daño o interferencia

a las instalaciones físicas, áreas críticas de la organización,

equipo e información;

• b) Proteger los equipos móviles, portátiles o de fácil

remoción, situados dentro o fuera de las instalaciones;

• c) Proveer a los equipos que contienen o almacenan datos

personales de un mantenimiento que asegure su

disponibilidad, funcionalidad e integridad, y

• d) Garantizar la eliminación de datos de forma segura;

08/07/2015


@JoelGomezMX


@JoelGomezMX

Medidas de Seguridad Técnicas

Conjunto de actividades, controles o mecanismos con resultado medible, que se valen de la tecnología para asegurar que:

• a) El acceso a las bases de datos lógicas o a la información en formato lógico sea por usuarios identificados y autorizados;

• b) El acceso referido en el inciso anterior sea únicamente para que el usuario lleve a cabo las actividades que requiere con motivo de sus funciones;

• c) Se incluyan acciones para la adquisición¸ operación, desarrollo y mantenimiento de sistemas seguros, y

• d) Se lleve a cabo la gestión de comunicaciones y operaciones de los recursos informáticos que se utilicen en el tratamiento de datos personales;

08/07/2015


@JoelGomezMX


@JoelGomezMX

Acciones para la Seguridad de los

Datos Personales

• I. Elaborar un inventario de datos personales y de los sistemas de tratamiento;

• II. Determinar las funciones y obligaciones de las personas que traten datos personales;

• III. Contar con un análisis de riesgos de datos personales que consiste en identificar peligros y estimar los riesgos a los datos personales;

• IV. Establecer las medidas de seguridad aplicables a los datos personales e identificar aquéllas implementadas de manera efectiva;

08/07/2015


@JoelGomezMX


@JoelGomezMX

Acciones para la Seguridad de los

Datos Personales

• V. Realizar el análisis de brecha que consiste en la diferencia de las medidas de seguridad existentes y aquéllas faltantes que resultan necesarias para la protección de los datos personales;

• VI. Elaborar un plan de trabajo para la implementación de las medidas de seguridad faltantes, derivadas del análisis de brecha;

• VII. Llevar a cabo revisiones o auditorías;

• VIII. Capacitar al personal que efectúe el tratamiento, y

• IX. Realizar un registro de los medios de almacenamiento de los datos personales.

08/07/2015


@JoelGomezMX


@JoelGomezMX

Vulneraciones de Seguridad

Pérdida o destrucciónno autorizada

Robo, extravío o copiano autorizada

Uso, acceso o tratamiento no autorizado

Daño, la alteración o modificación no autorizada

Vulneraciones

08/07/2015


@JoelGomezMX


@JoelGomezMX

Notificación de Vulneraciones de

Seguridad

• El responsable deberá informar al titular las vulneraciones que afecten de forma significativa sus derechos patrimoniales o morales, en cuanto confirme que ocurrió la vulneración y haya tomado las acciones encaminadas a detonar un proceso de revisión exhaustiva de la magnitud de la afectación, y sin dilación alguna, a fin de que los titulares afectados puedan tomar las medidas correspondientes.

08/07/2015


@JoelGomezMX


@JoelGomezMX

Información Mínima a Notificar

El responsable deberá informar al titular al menos lo siguiente:

• I. La naturaleza del incidente;

• II. Los datos personales comprometidos;

• III. Las recomendaciones al titular acerca de las medidas que éste pueda adoptar para proteger sus intereses;

• IV. Las acciones correctivas realizadas de forma inmediata, y

• V. Los medios donde puede obtener más información al respecto.

08/07/2015


World's Biggest Data BreachesSelected losses greater than 30,000 records

@JoelGomezMX


@JoelGomezMX

Medidas Correctivas

• En caso de que ocurra una vulneración a los datos personales, el responsable deberá analizar las causas porlas cuales se presentó eimplementar las accionescorrectivas, preventivas yde mejora para adecuar lasmedidas de seguridadcorrespondientes, a efectode evitar que la vulneración se repita.

08/07/2015


@JoelGomezMX


@JoelGomezMX

Órgano Regulador: IFAI

• Art. 38.- Establece que el Instituto

<Nacional> de Acceso a la Información y

Protección de Datos, tendrá por objeto

difundir el conocimiento del derecho a la

protección de datos personales en la

sociedad mexicana, promover su

ejercicio y vigilar por la debida

observancia.

08/07/2015


@JoelGomezMX


@JoelGomezMX

Procedimientos

• Procedimiento de Protección de

Derechos

• Procedimiento de Verificación

• Procedimiento de Imposición de

Sanciones

08/07/2015


@JoelGomezMX


@JoelGomezMX

08/07/2015


Infr

acc

ion

es

MULTAS de hasta$41,446,400 pesos

@JoelGomezMX


@JoelGomezMX

Multas impuestas por el INAIEmpresas Multas

Radiomovil Dipsa (TELCEL) $10,264,460

Radiomovil Dipsa (TELCEL) $9'940,660

Radiomovil Dipsa (TELCEL) $6,264,165

Banamex $16,155,936

Tarjetas Banamex $9,848,140

UIC Universidad Intercontinental $5,297,600

UIC Universidad Intercontinental $3,428,150

UIC Universidad Intercontinental $1'295,200

BBVA Bancomer $6,637,900

Afore XXI Banorte $2,804,850

Afore XXI Banorte $1'246,600

IMM Internet Media México $4,079,880

Operadora Oceánica $2,493,200

08/07/2015

92

Empresas Multas

Caja Popular Cristo Rey $2,181,550

Integra Capital $2,169,460

Farmacias San Pablo $2,000,045

Real Estate Sellers $1,371,260

Obses de México $1'295,200

Sport City $1,246,600

Alsa 21 o Serba 21 $1,158,609

Señalética y Publicidad $582,840

Señalética y Publicidad $323,800

WTC Sports Clinic Ambulatorias $809,500

Solufinte $542,271

Asterisco Auto $417,611

Creaciones Textiles de Mérida $129,520


@JoelGomezMX


@JoelGomezMX

Delitos

– 3 meses a 3 años de prisión al que estando

autorizado para tratar datos personales, con ánimo de

lucro, provoque una vulneración de seguridad a las

bases de datos bajo su custodia.

– 6 meses a 5 años de prisión al que, con el fin de

alcanzar un lucro indebido, trate datos personales

mediante el engaño, aprovechándose del error en que

se encuentre el titular o la persona autorizada para

transmitirlos.

08/07/2015


@JoelGomezMX


@JoelGomezMX

Principales Obligaciones08/07/2015


¡YA

CUMPLIMOS!LFPDPPP

¡Lo copié de

internet!

¡Me salió

gratis!

¿Qué datos tengo?

¿Quién los maneja?¿Son necesarios?

¿Dónde están?¿Para qué los uso?

¿Cuántos son?

¿Tengo permiso?¿Están seguros? ¿Cuál es su ciclo de vida?IGNORANCIA

INCUMPLIMIENTO

CON LA LFPDPPP

Tengo un aviso, pero: no se cómo usarlo / implementarlo,no se si está bien hecho (cumple con la LFPDPPP), no se si

solo debo publicarlo o debo tener consentimiento expreso.

No cumplo con los 8 principios de tratamiento de datos.

No cuento con un procedimiento para atenderderechos ARCO y derecho de revocación.

No existen medidas técnicas, físicas y administrativas para el aseguramiento de datos personales.

No tengo políticas o programas de privacidad,ni programas de capacitación.

No sé qué hacer en caso de una vulneración de seguridad ocurrida en

cualquier fase del tratamiento de datos.

No he designado un CPO.

No he celebrado cláusulas o contratos que documenten la relación con mis encargados..

MULTAS: HASTA $41,446,400PRISIÓN: HASTA 10 AÑOS

@JoelGomezMX


@JoelGomezMX

¡GRACIAS!08/07/2015


Joel A. Gómez TreviñoLex Informática Abogados, S.C.

Manuel M. Ponce N° 87, 3er Piso, Oficina 1-B

Col. Guadalupe Inn, Del. Álvaro Obregón

CP 01020, México, D.F.

Tel.- (55) 6395-9012

[email protected]

www.lexinformatica.com

About.me/JoelGomezMX

Twitter.com/JoelGomezMX

Twitter.com/LexInformatica

Protección de Datos Personales en México y Perspectiva Internacional

Law

Transcript of Protección de Datos Personales en México y Perspectiva Internacional