Upload
abella-concha
View
14
Download
0
Embed Size (px)
Citation preview
Ley Federal de Protección de Datos Personales en Posesión de los
Particulares
Elementos de la Ley y el anteproyecto de Reglamento
¿Quién protege tus datos personales por Internet?
Dirección General de Comercio Interior y Economía DigitalSubsecretaría de Industria y Comercio
Secretaría de Economía
AgendaAgenda
1. Contexto México2. Características generales de la Ley y el Anteproyecto de
Reglamento3. Aviso de Privacidad4. Autorregulación Vinculante5. Equilibrio entre la protección del derecho fundamental y la
práctica comercial6. Las consideraciones sobre privacidad y el entorno digital7. Consideraciones finales
Contexto para México
5.1 millones unidades económicas
95.2% son micro empresas
4.3% son pequeñas
0.2% son grandes
Perfil de México
11° país más poblado del mundo y el 1° entre las naciones de habla hispana
Más de 112 millones de habitantes
14ª economía más grande del mundo
El valor de las exportaciones e importaciones representa el 59.7% del PIB
Tratados de apertura y libre comercio con más de 40 países
EE.UU. es el destino del 80% de las exportaciones y 48% de las importaciones
Fuentes: FMI, INEGI, Secretaría de Economía
Cultura de Privacidad
Uno de los principales retos que enfrentan las empresas y los consumidores en nuestro país es la baja cultura de privacidad y por tanto de la protección de datos personales.
Cultura de Privacidad
Empresas Consumidores
• Con el objetivo de fomentar la cultura sobre Protección de Datos Personales en las Empresas e identificar las brechas en el conocimiento actual entre las empresas la Secretaría realizó una encuesta en línea enfocada a MiPYMES
• El periodo sobre el que se reportan los respuestas comprenden del 2 de febrero al 23 de febrero de 2011
• Se establecieron sólo 9 reactivos con respuestas cerradads para facilitar el llenado y envío de información.
• Se recibieron las respuestas de 155 empresas
Encuesta sobre cultura de privacidad de datos en las MiPYMES
28%
27%
45%
Tamaño
MicroPequeñaMediana
81%
15%
3%
Sector
ServiciosIndustriaComercio
34%
16%
2%1%3%3%
9%
5%
12%
1%
1%
1%5
% 7%
Giro
TILegalLogísticaSaludSegurosConsultoríaAlimentosInternacionalAcademiaAutomotrizBPOFinancieroInternacionalOtro
Encuesta Cultura de Privacidad: Tipo de empresa
54%26%
6% 14%
Ubicación de clientes
NacionalExtranjeroMisma ciudadVarios estados Teléfono
Celular
Correo Electrónico
Página de Internet
Módulo de información físico
Fax
Ninguno
Otro
0 10 20 30 40 50 60 70
Medio de contacto con clientes
% utilizado por las encuestadas
Entre otros medios se señalan: chat, twitter, piezas impresas, redes sociales, vía postal
Encuesta Cultura de Privacidad: Ámbito de operación
Cultura de privacidad empresarial
Trat
amie
nto
de d
atos
Dat
os a
utom
atiza
dos
Políti
ca d
e pr
ivac
idad
Resp
onsa
ble
desi
gnad
o
Cono
ce L
ey F
PDPP
P
Med
io d
e co
ntac
to c
on
clie
nte
0%20%40%60%80%
100%
Resultados de encuesta sobre cultura de privacidad
NoSí
Fuente: Encuesta realizada en línea por la DGCIED de en febrero de 2011. Participaron 155 MiPYMES
Características de la Ley y el Reglamento
Regulación sobre Protección de Datos Personales
• Ley Federal de Protección de Datos personales en Posición de los Particulares• Publicada en DOF el 5 de julio
de 2010 .
• Finalidad: • Regular el tratamiento
legítimo, controlado e informado, a efecto de garantizar la privacidad y el derecho a la autodeterminación informativa de las personas.
Hitos importantes
Julio 2011• Designación de persona o
departamento que fomente la protección de datos personales
• Expedición de Avisos de Privacidad
Enero 2012• Ejercicio de derechos
ARCO (titulares)• Protección de
derechos (IFAI)
Julio 2010Expedición de la Ley
Junio 2011• Guía para la
generación de avisos de privacidad
2011Expedición de Reglamento
Actores y Mecanismo Simplificado de aplicación de la Ley y Reglamento
1
3
2
4
Titular
Responsable
Aviso de privacidad
Consentimiento(tácito, expreso)
Encargado
Terceros
En México u otro país
Derechos ARCO(acceso, rectificación, corrección, oposición)
B
Solicitud de Protección
de derechos
VerificaciónSanción
IFAI
A
Secretaría de Economía
Lineamientos 5
Entidades privadas - Autorregulación
Transferencia
CoadyuvanciaParámetros
Transmisión
En México
Autoridades – resumen simplificado
• Autoridades – resumen simplificado
Trabajo conjunto para la elaboración del Reglamento
Avisos de privacidad
Definición - Aviso de Privacidad
Documento físico, electrónico o en cualquier otro formato generado por el responsable que es puesto a disposición del titular, previo al tratamiento de sus datos personales.
Finalidades Características
Fortalecer el nivel de confianza entre responsable y titular con relación al tratamiento de su información personal Transparentar al titular las finalidades y transferencias a que son sometidos sus datos personalesInformar al titular cómo ejercer los derechos que la ley le otorga y los mecanismos para que decida sobre el tratamiento de sus datos.Mejorar el canal de comunicaciónDisminuir las quejas, inconformidades o disputas de los titulares.
Es redactado de manera concisaContiene la información relevante y necesaria que permita al titular identificar las características principales del tratamientoCuenta con un diseño y presentación apropiada que facilite su comprensiónPara la difusión se pueden usar formatos físicos, electrónicos, medios verbales o cualquier otra tecnología, siempre y cuando garantice y cumpla con el deber de informar al titular.
• Tipos de aviso de privacidad
• Identidad y domicilio • Finalidades • Opciones y medios para limitar el
uso o divulgación• Medios para ejercer derechos ARCO• Transferencias de datos • Procedimiento y medio para
comunicar cambios al aviso.• Señalar si se tratan datos sensibles
• Identidad y domicilio • Finalidades • Mecanismo para conocer el aviso
completo• Señalar si se tratan datos sensible
Art. 16 (…al menos) Art. 17
Se pone a disposición previo al tratamiento
La opción y el plazo que tiene el titular de presentar ante el IFAI el procedimiento de protección de derechos
• Principios de la Ley y aviso de privacidad Principio Vínculo con aviso de privacidad
InformaciónDa a conocer al titular qué datos personales se recaban y con qué fines
ConsentimientoEl consentimiento tácito se obtiene si se pone a disposición del titular
FinalidadesEl tratamiento se limita al cumplimiento de las finalidades previstas en él
Proporcionalidad
Los datos que se traten deberán ser los necesarios, adecuados y relevantes en relación con las finalidades establecidas en él
Responsabilidad
El responsable debe tomar medidas para garantizar que el aviso sea respetado por él, encargados o terceros, aún cuando éstos estén fuera del país
Autorregulación Vinculante
Principio de responsabilidad y autorregulación vinculante
• El responsable tiene la obligación de velar, responder, así como de rendir cuentas al titular sobre el tratamiento de sus datos personales.
• Para cumplir con esta obligación, el responsable puede valerse de estándares y mejores prácticas internacionales, así como de esquemas de autorregulación.
• Lo anterior puede traducirse en códigos deontológicos o de buenas prácticas profesionales, sellos de confianza u otros mecanismos
• Estos esquemas son vinculantes para quienes se adhieran a los mismos; no obstante, la adhesión es de carácter voluntario
Objetivos primordiales (1/2)
• Establecer procesos y prácticas cualitativos • Fomentar que los responsables establezcan políticas, procesos y
buenas prácticas• Promover que los responsables de manera voluntaria cuente con
constancias o certificaciones sobre el cumplimiento de la Ley y mostrar su compromiso con la protección de datos personales
• Identificar a los responsables que cuenten con políticas de privacidad alineadas al cumplimiento de los principios y derechos, así como de competencia laboral
Objetivos primordiales (2/2)
• Promover el compromiso de los responsables con la rendición de cuentas y adopción de políticas internas consistentes con criterios externos, así como para auspiciar mecanismos para implementar políticas de privacidad, incluyendo herramientas, transparencia, supervisión interna continua, evaluaciones de riesgo, verificaciones externas y sistemas de remediación; y
• Encauzar mecanismos de solución alternativa de controversias entre responsables, titulares y terceros, como son los de conciliación y mediación.
SE
2
1 1
2
1 1 1
Independientes e imparciales para otorgar certificados
Puede acreditar y revocar
Pueden realizar verificaciones y auditorías a certificados
Se someten a la certificación de manera voluntaria pero se obligan a partir de ese momento
Pueden otorgar y revocar certificaciones
IFAI
Puede sugerir revocar acreditaciones o certificados
Establece parámetros para desarrollo y medidas de autorregulación
Puede encauzar mecanismos de solución alternativa de controversias
5
Esquemas de autorregulación reconocidos por autoridad
Equilibrio entre la protección del derecho
fundamental y la práctica comercial
El equilibrio entre la práctica empresarial y el ejercicio de los derechos de los titulares
• Se busca precisar las disposiciones y los procedimientos para que:– Los titulares de los datos hagan efectivo su derecho– Los particulares cumplan con las obligaciones previstas por Ley
• Titulares del derecho y empresas se benefician:– Regula aspectos que permiten su interacción y con autoridades.– Brinda seguridad y certeza jurídica a los sujetos involucrados.
• Se propicia una cultura de protección de datos personales que fortalece el esquema legal para garantizar el poder de disposición de las personas respecto de sus datos personales y da certeza a las transacciones comerciales.
Actividad de la empresa Actividad del titular del dato personal
• La persona o departamento dentro de la organización designado para dar trámite a las solicitudes;
• Los medios de autenticación del titular;
• El plazo máximo de respuesta a las solicitudes;
• La forma de entrega de la información en caso de ejercer el derecho de acceso;
• El carácter gratuito de la atención de las solicitudes o el costo de reproducción en caso de que aplique,
• Entre otras cuestiones que el responsable considere relevantes incluir en el aviso de privacidad.
• Conocer la persona o departamento de datos personales designada por el responsable, ante el cual podrá ejercer sus derechos ARCO, y
• Ejercer sus derechos ARCO; • Revocar el consentimiento otorgado• Limitar el uso de su información.• Se encuentra informado y conoce los
cambios en el aviso de privacidad• Solicita ante el IFAI los procedimientos
de protección de derechos o verificación.
• Conocer el aviso de privacidad completo;
• Otorgar su consentimiento expreso; • Conocer los listados de exclusión
existentes.
El equilibrio entre la práctica empresarial y el ejercicio de los derechos de los titulares
Las consideraciones sobre privacidad y el entorno
digital
Avances Tecnológicos/Cobertura
Nuevos Modelos de Negocio
Nuevos Consumidores
INFORMACIÓN
La Importancia de los Datos Personales en el Desarrollo Económico
• Las tecnologías de Información en las últimas décadas han ido cambiando constantemente la dinámica comercial, derivado de la creación de nuevos modelos de negocio, lo que ha requerido un constante flujo de información entre consumidores y empresas.
• De igual forma, la necesidad de contar con presencia mundial ha obligado a las empresas y consumidores a crear procesos comerciales dependientes de la identificación de los mismos a través de la transferencia de datos globalmente para proveer o adquirir un producto o servicio.
La Importancia de los Datos Personales en el Desarrollo Económico
• Diversos países han podido encontrar beneficios económicos al contar con modelos que permiten el correcto y ágil flujo de datos con sus socios comerciales.
Riesgos asociados al mal uso de datos personales
La ley y el anteproyecto fomentan la protección a bases de datos con información personal, ya sea física o electrónica, impulsando el tratamiento legítimo y control de los datos personales.
El Instituto desarrollará y pondrá a disposición de los responsables una herramienta para identificar las medidas de seguridad mínimas que aplicarán a los datos personales tratados.
Cuando exista un bajo riesgo para los datos personales tratados, de conformidad con las recomendaciones que emita el Instituto, la herramienta facilitará la elaboración del documento de seguridad y la identificación de las acciones.
Medidas de seguridad en la normativa
¿Las empresas en México establecen medidas de seguridad?
– Un 56% de las empresa manifiesta invertir en el tema de protección de información personal.
– En caso de no implementar medidas de seguridad, el 72% de los encuestados considera que las consecuencias más significativas son el daño a la reputación y la marca por la pérdida de la información para el desarrollo de los negocios, así como el no establecer dichas medidas podría representar sanciones y penas que la LFPDPPP establece por incumplimiento.
Fuente: Ernst&Young. Seguridad sin fronteras Resultados de la Encuesta Global de Seguridad de la Información. Marzo, 2011
¿Las empresas en México establecen medidas de seguridad?
• Las principales prioridades de seguridad de la información son:1. Continuidad de negocio2. Cumplimiento con requerimientos regulatorios LFPDPPP3. Cumplimiento con políticas corporativas
Fuente: Ernst&Young. Seguridad sin fronteras Resultados de la Encuesta Global de Seguridad de la Información. Marzo, 2011
Consideraciones finales
Empresas Titulares
Consideraciones finales - Beneficios de la Normatividad
Ley Federal de Protección de Datos Personales en Posesión de los
ParticularesElementos de la Ley y el
anteproyecto de Reglamento
¿quién protege tus datos personales por Internet?
Dirección General de Comercio Interior y Economía DigitalSubsecretaría de Industria y Comercio
Secretaría de Economía