Unidad III Privacidad Y Protección De Datos

3.1 definición, objetivos e importancia de la privacidad y protección de datos

LEY GENERAL DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE SUJETOS OBLIGADOS

RESUMEN

La Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados (LGPDPPSO) abarca todos los aspectos de manera general en cuanto a la protección de datos dentro de todo el país y el tratamiento de estos. plantea al Estado Mexicano retos importantes. Sus ámbitos de aplicación son variados y extensos. Por un lado todas las autoridades públicas en el ámbito federal, estatal y municipal pertenecientes a los poderes ejecutivo, legislativo o judicial, así como los organismos autónomos, partidos políticos, fideicomisos y fondos públicos son los sujetos obligados por la Ley. Por el otro, la Ley le aplica a cualquier persona que desee acceder, rectificar o cancelar sus datos personales, o bien, oponerse a su tratamiento. Todo esto implica que los sujetos obligados no solo deben comprender los derechos que la Ley les garantiza a los ciudadanos sino conocer las medidas de seguridad y de gestión que tendrán que aplicar para cumplir con este mandato. Asimismo, los sujetos obligados deben conocer la reglamentación establecida en los Lineamientos Generales pues ello les permitirá llevar a cabo la aplicación adecuada de la legislación en la materia que nos ocupa.

LEY NUMERO 466 DE PROTECCION DE DATOS PERSONALES EN POSESION DE SUJETOS OBLIGADOS DEL ESTADO DE GUERRERO

RESUMEN

La presente Ley Numero 466 de protección de datos personales en posesión de sujetos obligados del estado de guerrero es de orden público y observancia obligatoria en el Estado de Guerrero y tiene por objeto garantizar el derecho que tiene toda persona a la protección de sus datos personales en posesión de sujetos obligados del Estado de Guerrero.

Garantizar que toda persona pueda ejercer el derecho a la protección de datos personales en el Estado de Guerrero.

Proteger los datos personales en posesión de los Poderes Ejecutivo, Legislativo y Judicial, Ayuntamientos, Entidades Paraestatales, Establecimientos Públicos de Bienestar Social, Órganos Autónomos o con Autonomía Técnica, Partidos Políticos, Organización o Agrupación Política, Candidatos Independientes, Universidades Públicas, Centros de Investigación, Instituciones de Educación Pública Superior, Fideicomisos, Fondos Públicos del Estado de Guerrero, así como cualquier persona física, moral o sindicato que reciba y ejerza recursos públicos o realice actos de autoridad en el ámbito municipal o estatal, con la finalidad de regular su debido tratamiento

Esta ley se desprende de la general y de la federal y solamente aplica al estado de Guerrero.

LEY FEDERAL DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE PARTICULARES

RESUMEN

La Ley Federal de Protección de Datos Personales en Posesión de Particulares (LFPDPPP), es un cuerpo normativo de México, aprobado por el Congreso de la Unión el 27 de abril de 2010, mismo que tiene como objetivo regular el derecho a la autodeterminación informativa. Esta Ley fue publicada el 5 de julio de 2010 en el Diario Oficial de la Federación y entró en vigor el 6 de julio de 2010. Sus disposiciones son aplicables a todas las personas físicas o morales, del sector público y privado, tanto a nivel federal como estatal, que lleven a cabo el tratamiento de datos personales en el ejercicio de sus actividades, por lo tanto empresas como bancos, aseguradoras, hospitales, escuelas, compañías de telecomunicaciones, asociaciones religiosas, y profesionistas como abogados, médicos, entre otros, se encuentran obligados a cumplir con lo que establece esta ley. LFPD Ley Federal de Protección de Datos.

Esta Ley solamente aplica a toda la federación.

¿Qué son los datos personales?

De acuerdo al artículo 3 fracción V de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, es toda aquella información concerniente a una persona física identificada o identificable.

¿Qué son los datos sensibles?

Resultado de imagen para proteccion de datos

De acuerdo al artículo 3 fracción VI de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, son aquellos datos personales que afecten a la esfera más íntima de su titular, o cuya utilización indebida pueda dar origen a discriminación o conlleve un riesgo grave para éste. En particular, se consideran sensibles aquellos que puedan revelar aspectos como origen racial o étnico, estado de salud presente y futuro, información genética, creencias religiosas, filosóficas y morales, afiliación sindical, opiniones políticas, preferencia sexual.

Los datos personales pueden ser uno de los objetivos que tienen los que cometen delitos a través de la web, pues resultan ser de fácil acceso. Por lo tanto, se deberá protegerlos, tomando los recaudos necesarios, para evitar ser una nueva víctima de robos o estafas indeseadas.

Como habrás notado, estos días recibes correos y mensajes que te anuncian cambios de políticas de privacidad de los servicios, boletines y aplicaciones que usas en internet; más allá de aprovechar este momento para limpiar tu correo y desuscribirte de aquello que ya ni recordabas ¿por qué este alboroto y cómo saber si te afecta o cómo puedes actualizarte?

Aquí va un resumen de aspectos a revisar:

o Crea y actualiza tu política de privacidad, revisa que sea clara y esté accesible para tus usuarixs y contactos.

o Revisa tus formularios de suscripción y otras herramientas que uses para tu comunicación y donde pidas datos: recopila la menor cantidad de datos, revisa cómo almacenarlos de forma segura y durante cuánto tiempo.

o Respeta el consentimiento de tus contactos de permitirte usar sus datos, esto implica tener un permiso explícito e informado de los usuarixs de usar, compartir o vender sus datos. Cuando alguien se registra a tu boletín, o lista de correos, debe haber una aceptación activa (no casillas marcadas previamente); la aceptación silenciosa no es aceptable como consentimiento.

o Explica de forma clara y sencilla qué datos tienes y qué haces con ellos.

o Facilita a tus contactos el poder acceder y/o eliminar los datos personales que tengas sobre ellos.

o Revisa los servicios de terceros que usas para manejar datos de tus contactos. Por ejemplo, en el caso del boletín, mailchimp tiene una caja de herramientas para ayudarte a adaptar tus formularios y listas con las bases del GDPR.

o Revisa que los espacios (tanto físicos como digitales) donde almacenas datos tengan capas de seguridad.

· En el caso de archivos y espacios digitales, dependiendo de la información, opta por bloqueos de acceso con contraseñas seguras y verificación de dos pasos, el cifrado de información y el mantenimiento de equipos sanos y actualizados.

3.2 principios de protección de datos personales

El título II de la Ley de Protección de datos regula una serie de principios los cuales constituyen la base a través de la cual se articula el derecho fundamental a la Protección de Datos de Carácter Personal. Estos principios son de obligado cumplimiento desde el primer momento en que tenemos una recogida de datos, siempre que esos datos sean almacenados en un fichero, informatizado, manual o parcialmente automatizado

Los principios generales de la protección de datos de carácter personal, no sólo son meros fundamentos por los que se ha de regir la elaboración, interpretación y aplicación de la normativa sobre protección de datos, sino que se trata de un conjunto de reglas que determinan cómo recoger, tratar y ceder los datos.

En definitiva, son deberes y obligaciones a los que están sujetos los tratamientos de datos de carácter personal.

Los principios recogidos en el Reglamento General de Protección de Datos de la Unión Europea [semejantes a los dispuestos en la predecesora legislación, europea y española] son los siguientes:

Lealtad – No pueden recabarse datos personales por medios fraudulentos (esto es, no podrán utilizase medios o métodos engañosos) desleales (que den lugar a una discriminación injusta o arbitraria contra los titulares) e ilícitos (es decir, que sean ilegales, estén fuera o al margen de la Ley).

Transparencia – Exige que toda información y comunicación relativa al tratamiento de datos personales sea fácilmente accesible y fácil de entender, y que se utilice un lenguaje sencillo y claro.

Licitud o legitimación del tratamiento.- Para que el tratamiento sea lícito, los datos personales deben ser tratados con el consentimiento explícito del interesado o sobre otra base o fundamento jurídico (artículo 6 RGPD).

Limitación de la finalidad.- Los datos personales deben ser recogidos con fines determinados, explícitos y legítimos, y no serán tratados, posteriormente, de manera incompatible o distinta con dichos fines.

Minimización.- Deben ser adecuados, pertinentes y limitados o no excesivos, en relación con los fines que legitiman el tratamiento.

Exactitud- Los datos deben ser exactos y, si fuera necesario, actualizados. Deben adoptarse todas las medidas razonables para corregir errores, modificar los datos que resulten ser inexactos o incompletos y garantizar la certeza de la información objeto de tratamiento.

Limitación del plazo de conservación.- No podrán conservarse o mantenerse los datos durante más tiempo del necesario para los fines del tratamiento. Deben establecerse plazos para la supresión o revisión periódica.

Integridad y confidencialidad.- Debe garantizarse una seguridad adecuada para preservar la integridad de los datos e impedir el acceso o uso no autorizado. Todas las personas que intervengan en cualquier fase del tratamiento están sujetas a guardar secreto o confidencialidad con carácter indefinido.

3.3 derechos de los titulares de datos personales

¿A que tiene derecho el titular de los Datos Personales?

Artículo 60.

El titular de los datos personales tiene derecho de manera gratuita a lo siguiente:

I. Acceder a su propia información que obre en poder de los sujetos obligados, así como identificar al destinatario de la información cuando ésta haya sido entregada por la Coordinación, así como la motivación y fundamentación legal que sustente el acuerdo respectivo;

II. Rectificar, actualizar y complementar la información que respecto a su persona esté contenida en bancos de datos, registros y archivos de la Universidad;

III. Cancelar dicha información cuando sea incorrecta o no se justifique la razón de su registro y conservación, previo bloqueo; y

IV. Oponerse a la conservación o tratamiento de los mismos cuando éstos se hayan obtenido sin su autorización.

3.4 derechos de acceso, rectificación, cancelación y oposición (ARCO)

¿CUÁL ES EL COSTO DEL EJERCICIO DE LOS DERECHOS ARCO?

El ejercicio de los derechos ARCO es gratuito y únicamente deberás cubrir el costo por reproducción en copias u otros formatos. En caso de que volvieras a ejercer cualquiera de los derechos en un plazo menor a doce meses, el costo no podrá exceder del equivalente a tres días de salario mínimo vigente en el Distrito Federal. Si se realizaran modificaciones sustanciales al Aviso de Privacidad y surgen situaciones que ameriten nuevamente el ejercicio de un mismo derecho en menos de 12 meses, no habrá costo.

La legislación vigente en materia de protección de datos, reconoce una serie de derechos a los ciudadanos, como son el derecho de acceso, rectificación y cancelación de sus datos personales.

El ejercicio de los mismos es personalísimo, y debe, por tanto, ser ejercido directamente por los interesados ante cada uno de los responsables/titulares de los ficheros.

Derecho de acceso. Tiene derecho a solicitar y obtener gratuitamente información de sus datos de carácter personal sometidos a tratamiento.

Si ejerce su derecho de acceso recibirá en la dirección que nos indique una carta con los datos personales de que disponemos en nuestra base de datos, que corresponden con los que en su momento, de manera voluntaria, nos facilitó para que le proporcionáramos los servicios telemáticos. Estos datos personales son nombre, apellidos.

Derecho de rectificación. Tiene derecho a solicitar la rectificación de sus datos de carácter personal, acompañando copia de su INE.

Si ejerce su derecho de rectificación recibirá en la dirección que nos indique una carta con los datos personales de que disponemos en nuestra base de datos una vez comprobada la rectificación solicitada y efectuada la modificación correspondiente.

Si ya es usuario del INAI y lo que desea es recibir sus datos de acceso o realizar una modificación de los mismos ha de acceder a la solicitud de ampliación, modificación y reenvío de datos, según el caso.

Derecho de cancelación. Tiene derecho a solicitar la cancelación de sus datos de carácter personal, mediante escrito enviado directamente al INAI. Si ejerce su derecho de cancelación recibirá en la dirección que nos indique una carta confirmándole que ha sido dado de baja en nuestra base de datos.

Ejercer su derecho de cancelación de datos de carácter personal implica la eliminación definitiva de los mismos en nuestras bases de datos.

Derecho de oposición. Consiste en la facultad que tienes para solicitar a la empresa que pretenda realizar el tratamiento de tus datos personales que se abstenga de hacerlo en determinadas situaciones, por ejemplo, para fines publicitarios.

La solicitud deberá contener:

1. Tú nombre y domicilio o medio para recibir comunicaciones

2. Tu identificación o documentos que acrediten la personalidad del representante legal

3. Especificar las razones por las cuales te opones al tratamiento

3.5 procediendo para la protección de datos personales

Este procedimiento se inicia a instancia del titular de los datos o de su representante legal, expresando con claridad el contenido de su reclamación y de los preceptos de la LFPDPPP que se consideran vulnerados.

La solicitud de este procedimiento deberá presentarse ante el INAI dentro de los quince días siguientes a la fecha en que se comunique la respuesta (derivada de la solicitud de derechos ARCO) al titular por parte del responsable. En el caso de que el titular de los datos no reciba respuesta por parte del responsable, la solicitud de protección de datos podrá ser presentada a partir de que haya vencido el plazo de respuesta previsto para el responsable.

La solicitud de este procedimiento también procederá en los mismos términos cuando:

• El responsable no entregue al titular los datos personales solicitados.

• El responsable entregue los datos en un formato incomprensible.

• El responsable se niegue a efectuar modificaciones o correcciones a los datos personales.

• El titular no esté conforme con la información entregada por considerar que es incompleta o no corresponda a la información requerida.

Cuando el INAI reciba la solicitud de procedimiento de Protección de Derechos, se enviará dicha solicitud al responsable, para que en el plazo de quince días hábiles, emita respuesta, ofrezca las pruebas que estime pertinentes y manifieste por escrito lo que a su derecho convenga.

El Instituto admitirá las pruebas que estime pertinentes y procederá a su desahogo; asimismo, podrá solicitar del responsable las demás pruebas que estime necesarias.

Concluido el desahogo de las pruebas, el INAI notificará al responsable, el derecho que le asiste para que, de considerarlo necesario, presente sus alegatos dentro de los cinco días siguientes a su notificación.

El órgano Garante suplirá las deficiencias de la queja en los casos que así se requiera, siempre y cuando no altere el contenido original de la solicitud de acceso, rectificación, cancelación u oposición de datos personales, ni se modifiquen los hechos o peticiones expuestos en la misma o en la solicitud de protección de datos.

La solicitud de protección de datos será desechada por improcedente cuando:

I. El Instituto no sea competente;

II. El Instituto haya conocido anteriormente de la solicitud de protección de datos contra el mismo acto y resuelto en definitiva respecto del mismo recurrente;

III. Se esté tramitando ante los tribunales competentes algún recurso o medio de defensa interpuesto por el titular que pueda tener por efecto modificar o revocar el acto respectivo;

IV. Se trate de una solicitud de protección de datos ofensiva o irracional, o

V. Sea extemporánea.

La solicitud de protección de datos será sobreseída cuando:

I. El titular fallezca;

II. El titular se desista de manera expresa;

III. Admitida la solicitud de protección de datos, sobrevenga una causal de improcedencia, y

IV. Por cualquier motivo quede sin materia la misma.

El órgano garante (INAI) podrá en cualquier momento del procedimiento buscar una conciliación entre el titular de los datos y el responsable. De llegarse a un acuerdo de conciliación entre ambos, éste se hará constar por escrito y tendrá efectos vinculantes. La solicitud de protección de datos quedará sin materia y el Instituto verificará el cumplimiento del acuerdo respectivo.

Interpuesta la solicitud de protección de datos ante la falta de respuesta a una solicitud en ejercicio de los derechos de acceso, rectificación, cancelación u oposición por parte del responsable, el órgano garante (INAI) dará vista al citado responsable para que, en un plazo no mayor a diez días, acredite haber respondido en tiempo y forma la solicitud, o bien dé respuesta a la misma. En caso de que la respuesta atienda a lo solicitado, la solicitud de protección de datos se considerará improcedente y el Instituto deberá sobreseerlo.

3.6 infracciones y sanciones

En el capítulo X de Ley Federal de Protección de Datos Personales en Posesión de los Particulares encontramos lo que son las infracciones y sanciones para cada uno de estos actos cometidos por quienes falten a lo mencionado en esta ley

CAPÍTULO X

De las Infracciones y Sanciones

Artículo 63.- Constituyen infracciones a esta Ley, las siguientes conductas llevadas a cabo por el responsable:

I. No cumplir con la solicitud del titular para el acceso, rectificación, cancelación u oposición al tratamiento de sus datos personales, sin razón fundada, en los términos previstos en esta Ley;

II. Actuar con negligencia o dolo en la tramitación y respuesta de solicitudes de acceso, rectificación, cancelación u oposición de datos personales;

III. Declarar dolosamente la inexistencia de datos personales, cuando exista total o parcialmente en las bases de datos del responsable;

IV. Dar tratamiento a los datos personales en contravención a los principios establecidos en la presente Ley;

V. Omitir en el aviso de privacidad, alguno o todos los elementos a que se refiere el artículo 16 de esta Ley;

VI. Mantener datos personales inexactos cuando resulte imputable al responsable, o no efectuar las rectificaciones o cancelaciones de los mismos que legalmente procedan cuando resulten afectados los derechos de los titulares;

VII. No cumplir con el apercibimiento a que se refiere la fracción I del artículo 64;

VIII. Incumplir el deber de confidencialidad establecido en el artículo 21 de esta Ley;

IX. Cambiar sustancialmente la finalidad originaria del tratamiento de los datos, sin observar lo dispuesto por el artículo 12;

X. Transferir datos a terceros sin comunicar a éstos el aviso de privacidad que contiene las limitaciones a que el titular sujetó la divulgación de los mismos;

XI. Vulnerar la seguridad de bases de datos, locales, programas o equipos, cuando resulte imputable al responsable;

XII. Llevar a cabo la transferencia o cesión de los datos personales, fuera de los casos en que esté permitida por la Ley;

XIII. Recabar o transferir datos personales sin el consentimiento expreso del titular, en los casos en que éste sea exigible;

XIV. Obstruir los actos de verificación de la autoridad

XV. Recabar datos en forma engañosa y fraudulenta;

XVI. Continuar con el uso ilegítimo de los datos personales cuando se ha solicitado el cese del mismo por el Instituto o los titulares;

XVII. Tratar los datos personales de manera que se afecte o impida el ejercicio de los derechos de acceso, rectificación, cancelación y oposición establecidos en el artículo 16 de la Constitución Política de los Estados Unidos Mexicanos;

XVIII. Crear bases de datos en contravención a lo dispuesto por el artículo 9, segundo párrafo de esta Ley, y

XIX. Cualquier incumplimiento del responsable a las obligaciones establecidas a su cargo en términos de lo previsto en la presente Ley.

Artículo 64.- Las infracciones a la presente Ley serán sancionadas por el Instituto con:

I. El apercibimiento para que el responsable lleve a cabo los actos solicitados por el titular, en los términos previstos por esta Ley, tratándose de los supuestos previstos en la fracción I del artículo anterior;

II. Multa de 100 a 160,000 días de salario mínimo vigente en el Distrito Federal, en los casos previstos en las fracciones II a VII del artículo anterior;

III. Multa de 200 a 320,000 días de salario mínimo vigente en el Distrito Federal, en los casos previstos en las fracciones VIII a XVIII del artículo anterior, y

IV. En caso de que de manera reiterada persistan las infracciones citadas en los incisos anteriores, se impondrá una multa adicional que irá de 100 a 320,000 días de salario mínimo vigente en el Distrito Federal. En tratándose de infracciones cometidas en el tratamiento de datos sensibles, las sanciones podrán incrementarse hasta por dos veces, los montos establecidos.

Artículo 65.- El Instituto fundará y motivará sus resoluciones, considerando:

I. La naturaleza del dato;

II. La notoria improcedencia de la negativa del responsable, para realizar los actos solicitados por el titular, en términos de esta Ley;

III. El carácter intencional o no, de la acción u omisión constitutiva de la infracción;

IV. La capacidad económica del responsable, y

V. La reincidencia.

Artículo 66.- Las sanciones que se señalan en este Capítulo se impondrán sin perjuicio de la responsabilidad civil o penal que resulte.

3.7 contrato de privacidad y protecciones de datos

El Aviso de Privacidad es el primer paso para cumplir con las obligaciones exigidas por le Ley.

El Aviso de Privacidad es un documento generado por la persona física (profesionista, médico, consultor, etc) o moral (empresa o negocio de carácter privado) responsable de la recopilación y tratamiento adecuado de datos personales y debe ser puesto a disposición del titular de los datos (Ej. Pedro Ramírez).

El Aviso de Privacidad puede ser:

· Físico (Ej. Escrito en papel)

· Electrónico (Ej. colocado en la Página o sitio web)

· Sonoro (Ej. Grabación telefónica)

El Aviso de Privacidad debe ser sencillo, de fácil comprensión y debe incluir información clara y específica sobre los siguientes aspectos:

1. Quién recopila los datos

2. Qué datos recopila (sensibles o no);

3. Con qué finalidad los recopila;

4. Cómo limitar su uso o divulgación;

5. Cómo revocar su uso;

6. Cuál es el procedimiento que tiene el titular para ejercer sus derechos de acceso, rectificación, corrección y oposición (mejor conocidos como Derechos ARCO):

7. La forma en la que se comunican cambios al Aviso de Privacidad; y

8. La aceptación o negativa para autorizar la transferencia de datos a terceros.

Por Ley, el Aviso de Privacidad debe ponerse a disposición de los interesados (hacerse público y difundirse) antes del 6 de julio de 2011, tal y como lo señala el Transitorio Tercero de la Ley Federal de Protección de Datos Personales en Posesión de Particulares, publicada el 6 de julio de 2010, mismo que a continuación se transcribe:

3.8 órganos garantes

La Constitución Política reconoce la existencia de 33 órganos de transparencia especializados, imparciales y autónomos que garantizan el derecho de acceso a la información, integrados en 31 órganos estatales, el INFODF y el INAI. Consulta aquí sus portales de internet y conoce más sobre sus funciones y actividades.