Fernando Thompson

¿Qué es un dato personal?

Dato personal = cualquier información de una persona identificada o identificable.

 Texto, video, audio, foto, etcétera.

¿Qué es un dato sensible?

Datos sensibles = datos personales que afecten a la esfera más íntima de su titular, o cuya utilización indebida pueda dar origen a discriminación o conlleve un riesgo grave para éste.

 Ejemplo: información sobre origen racial o étnico, estado de salud presente y futuro, información genética, creencias religiosas, filosóficas y morales, afiliación sindical, opiniones políticas, preferencia sexual.

¿Por qué nos debe interesar?

 Ley Federal de Protección de Datos Personales en Posesión de Particulares (2010).

 Obliga a las instituciones de educación (p. ej., preparatorias, bachilleratos), sus empleados y otros (p. ej., asesores externos).

¿Cuáles son los objetivos de la Ley?

 Derecho a la privacidad

 Derecho a la autodeterminación informativa

 Regular el tratamiento de datos personales

 Tratamiento = obtención, uso, divulgación, almacenamiento, acceso, manejo, aprovechamiento, transferencia, disposición de datos personales

¿Qué pasa si no se cumple la Ley?

 Apercibimiento

 Sanciones pecuniarias:

           •  Multa de hasta $18´387,200 pesos

           •  Multa de hasta $36´774,400 pesos por datos sensibles

 Prisión

          •  Hasta 3 años (vulneración de seguridad de BD)

          •  Hasta 5 años (tratamiento de datos mediante engaño)

¿Qué dice la Ley?

 No recolectar datos personales, salvo los estrictamente necesarios para cumplir una finalidad justificada y con consentimiento del titular.

 Prohibición a bases de datos sensibles, salvo para finalidades legítimas, concretas y

 acordes con las actividades de la institución.

Sobre los datos personales:

 Pertinentes

 Correctos

 Actualizados

 Para la finalidad del Aviso de Privacidad

 Por tiempo determinado (mínimo indispensable)

 Consentimiento del titular (o representante)

Tiene que haber un Aviso de Privacidad

Que es el documento que informa sobre:

1. Finalidad de recolección/uso de datos

2. Opciones o medios para limitar el uso/divulgación

3. Transferencias que se efectúen

4. Medios para acceder, rectificar, cancelar u oponerse a datos

Tiene que existir un consentimiento de la persona.-

 Autorización o aceptación del titular de los datos ANTES de utilizarlos/recabarlos

 Sin engaños

 Consentimiento puede ser

 Expreso

 Tácito

 En datos sensibles siempre tiene que ser consentimiento expreso

Excepciones a obtener consentimiento

1. Situaciones de emergencia

2. Para atención médica cuando el titular no está en condiciones de dar consentimiento

3. Para cumplir con obligaciones de una relación (p. ej., contrato de servicios)

4. Datos personales disociados

5. Datos en fuentes de acceso público

6. Esté previsto en otra ley (p. ej., Ley de Educación del Estado de Puebla)

Medidas de protección

 Administrativas

           • Perfiles de usuarios

           • Niveles de autorización

 Técnicas

          • Acceso con usuarios/contraseñas

 Físicas

         • Cajas de seguridad

         • Archiveros/cajones con llave

Pasos a recordar:

1. Aviso de Privacidad

2. Implementar medidas de seguridad

3. Obtener consentimiento del titular

4. Tratamiento de datos personales

¿Quiénes tratan datos personales?

TODOS dependiendo de las funciones de cada quien.

Perfiles de usuarios:

 Cada área o cada persona dentro del área con diferentes usos de datos personales

Derechos ARCO

Derechos de los titulares de los datos personales:

A = Acceso

R = Rectificación

C = Cancelación (excepciones)

O = Oposición

¿Cuándo pueden ejercerse los Derechos ARCO?

 En cualquier momento

Excepciones al derecho de cancelación:

 Necesarios para cumplimiento de un contrato

 Por disposición legal

 Se obstaculicen actuaciones judiciales

 Acción de interés público

 Para prevención o diagnóstico médico

IFAIP y plazos

Autoridad encargada del cumplimiento de la ley:

 Instituto Federal de Acceso a la Información y Protección de Datos

Fechas relevantes:

 Ley entró en vigor: 4 de julio de 2010

 Designación dentro de cada institución del encargado de la protección de datos: 4 de julio de 2011

 Titulares pueden ejercer derechos ARCO: 4 de enero de 2012

Sugerencias

 Revisar qué datos personales se recaban, por qué áreas y analizar si efectivamente son necesarios para la actividad o servicio que se realiza.

 Revisar las medidas de protección que se utilizan y confirmar si son las adecuadas.

 Elaborar el Aviso de Privacidad

 Difundir entre los empleados de la Institución la importancia de la protección de datos.