Proteccin de datos personales en Mxico

Septiembre 2010

Contenido de la exposicin
I. II.

III.

IV. VI.

Generalidades del derecho a la proteccin de datos El derecho a la proteccin de datos en Mxico Normatividad federal Normatividad estatal De aplicacin general en toda la Repblica El derecho a la proteccin de datos en el sector pblico LFTAIPG Principios y DerechosActuacin del IFAI como autoridad garante Retos

I
Generalidades del derecho a la proteccin de datos

Cmo surge el derecho?

Del derecho a la intimidad (nocin tradicional a ser dejado solo). Por el uso vertiginoso de tecnologas de la informacin. las

En qu consiste el derecho?

Es el poder de disposicin y control que faculta a su titular a decidir cules de sus datos proporciona a un tercero, as como el saber quin posee esos datos y para qu, pudiendo oponerse a esa posesin o uso (autodeterminacin informativa).
Es el derecho que tiene toda persona a conocer y decidir, quin, cmo y de qu manera recaban y utilizan sus datos personales.

Qu son los datos personales?

Toda informacin concerniente o relativa a una persona fsica identificada o identificable.

Ejemplos

Identificacin Nombre, edad, domicilio, sexo, RFC, CURP... Patrimoniales Cuentas bancarias, saldos, propiedades... Salud Estados de salud fsicos y mentales... Biomtricos Huellas dactilares, iris, voz, firma autgrafa... ntimos Ideologa, afiliacin poltica, religin, preferencia sexual...

Datos personales sensibles

Revelan aspectos ntimos o particulares de las personas:

El origen racial o tnico. El estado de salud presente y futuro. La informacin gentica. Las creencias religiosas, filosficas y morales. La afiliacin sindical. Las opiniones polticas. La preferencia sexual.

Los datos personales sensibles o especialmente protegidos al revelar aspectos muy ntimos y particulares de la vida privada de las personas, merecen de medidas de proteccin ms exigentes y robustas.

Otros conceptos importantes

Titular: persona fsica a quien corresponden los datos personales.

Bases de datos: conjunto ordenado de datos personales referentes a una persona identificada o identificable.

Tratamiento: obtencin, uso, divulgacin o almacenamiento de datos personales, por cualquier medio. El uso abarca cualquier accin de acceso, manejo, aprovechamiento, transferencia o disposicin de datos personales.

Responsable: persona fsica o moral de carcter privado que decide sobre el tratamiento de datos personales.

Encargado: persona fsica o jurdica que sola o conjuntamente con otras trate datos personales por cuenta del responsable.

Transferencia: toda comunicacin de datos realizada a persona distinta del

responsable o encargado del tratamiento.

II
El derecho a la proteccin de datos en Mxico

La primera mencin a nivel constitucional

Reforma al artculo 6 constitucional, en la cual se reconoce el derecho de acceso a la informacin como una garanta fundamental -el 20 de julio de 2007-.
Las fracciones II y III tienen la virtud de ser las primeras menciones constitucionales expresas que hacen un reconocimiento del derecho a la proteccin de datos personales y se constituyen como limitantes al ejercicio del derecho de acceso a la informacin. Estas fracciones sealan que:

La informacin a que se refiere la vida privada ser protegida en trminos de ley respectiva. Toda persona tiene derecho a acceder y rectificar sus datos personales.

Los artculos 16 y 73 constitucionales

El 2009 se distingue por la concrecin de dos relevantes acontecimientos relacionados con la consolidacin del derecho a la proteccin de datos en Mxico, la aprobacin de las reformas a los artculos 16 y 73 de la Constitucin. El artculo 16 constitucional incorpora a la lista de garantas fundamentales consagradas en nuestra Carta Magna, el derecho a la proteccin de datos personales y lo dota de contenido, a saber: Artculo 16. Toda persona tiene derecho a la proteccin de sus datos personales, al acceso, rectificacin y cancelacin de los mismos, as como a manifestar su oposicin, en los trminos que fije la ley, la cual establecer los supuestos de excepcin a los principios que rijan el tratamiento de datos, por razones de seguridad nacional, disposiciones de orden pblico, seguridad y salud pblicas o para proteger los derechos de terceros.

Por su parte, el artculo 73 constitucional dota de facultades al Congreso de la Unin para legislar en materia de proteccin de datos personales en posesin de particulares.

A nivel Federal: LFTAIPG

Este instrumento reconoce por primera vez en Mxico la proteccin de los datos personales.
Se limita a las bases de datos del sector pblico a nivel federal. Es a la vez, una ley de acceso a la informacin y una ley de proteccin de datos personales (limitada en su mbito de aplicacin). Su captulo IV establece un marco muy general que regula la obtencin, almacenamiento, transmisin, uso y manejo de los datos personales en posesin de dependencias y entidades federales.

A nivel estatal

En todos los Estados y el D.F. se regula la Proteccin de Datos Personales en entes Pblicos, ya sea en las mismas Leyes de Transparencia o en Leyes especiales sobre Proteccin de Datos Personales. En 4 Estados (Colima, D.F., Guanajuato y Oaxaca) existe Ley especial en materia de Proteccin de Datos Personales (Ley de Datos Personales) En 4 Estados (Colima, Jalisco, Quertaro y Tlaxcala) se regula la Proteccin de Datos Personales en entes Privados o Particulares. En 2 Estados (Jalisco y Quertaro) se aplica supletoriamente el Cdigo Civil Local para la Proteccin de Datos Personales en Privados. Cabe sealar que no es claro lo establecido en el Cdigo Civil Local. 21 Estados han emitido Lineamientos, Reglamentos o Manuales en materia de Proteccin de Datos Personales en entes Pblicos (Sujetos Obligados) Slo 2 Estados (Oaxaca y Tlaxcala) regulan la implementacin de un Registro Estatal de Datos Personales.

De aplicacin en toda la Repblica: LFPDPPP

El 13 de abril de 2010 la Cmara de Diputados aprob el proyecto de decreto por el que se expide la Ley Federal de Proteccin de Datos Personales en posesin de los particulares.
Por su parte, la Cmara de Senadores aprob por unanimidad dicho dictamen, el 27 de abril de 2010. Finalmente, el 5 de julio de 2010 el Poder Ejecutivo Federal public en el Diario Oficial de la Federacin la Ley.

El derecho a la proteccin de datos en el sector pblico LFTAIPG -Principios y Derechos-

Uno de los objetivos de la LFTAIPG es:

Artculo 4, fraccin III: Garantizar la proteccin de los datos personales en posesin de los sujetos obligados.

Lineamientos de proteccin de datos personales

Publicados por el IFAI el 30 de septiembre de 2005.

Establecen procedimientos para garantizar a las personas la facultad de decisin sobre el uso y destino de sus datos, con el propsito de asegurar su adecuado tratamiento e impedir su transmisin ilcita y lesiva; Establecen las condiciones y requisitos para el manejo y custodia de los sistemas de datos personales en posesin de las dependencias y entidades;

Definen los principios de la proteccin de datos personales que deben observar las dependencias y entidades para su tratamiento.

Principios
Licitud

Custodia y Cuidado Responsabilidad

Finalidad

Tratamiento
Consentimiento
Proporcionalidad

Informacin

Calidad

Licitud

El tratamiento de datos debe obedecer a una atribucin conferida por una ley, reglamento, decreto, acuerdo o circular que faculte a recabar los datos personales contenidos en los sistemas de datos personales.

Sexto de los Lineamientos de Proteccin de datos

Finalidad

Tratamiento en el mbito de finalidades determinadas, explcitas y legtimas. El tratamiento para fines distintos a los establecidos en la leyenda de informacin (aviso de privacidad) requiere consentimiento.

Sexto de los Lineamientos de Proteccin de datos

Proporcionalidad
Slo se debern recabar los datos adecuados o necesarios para la finalidad que justifica el tratamiento. El tratamiento obedecer a tratar la mnima cantidad de informacin necesaria para conseguir la finalidad perseguida.

Sptimo de los Lineamientos de proteccin de Datos Personales.

Calidad
Datos pertinentes, correctos y actualizados. Datos que reflejen la realidad. Se debe implementar los plazos de conservacin de los datos personales,

Art. 20, fraccin IV de la LFTAIPG y Sptimo de los Lineamientos

Informacin

Dar a conocer a los titulares la existencia del tratamiento y sus caractersticas. En trminos fcilmente comprensibles y previo a la recolecta de los datos. A travs de la leyenda de informacin aviso de privacidad- por diversos medios.
Art. 20, fraccin III y Noveno de los Lineamientos.

Informacin
El principio de informacin se materializa en la leyenda de informacin -aviso de privacidad-, mediante la cual se hace del conocimiento del titular:

Identidad y domicilio del responsable que recaba sus datos; Finalidades del tratamiento; Medios para ejercer los derechos de acceso, rectificacin, cancelacin u oposicin, y Transferencias de datos.

Consentimiento

La voluntad del titular es la causa principal legitimadora del tratamiento de los datos personales. Excepciones: la ley, celebracin de un contrato Aunque en la mayora de los casos el consentimiento es tcito, la manifestacin deber ser libre, especfica, inequvoca e informada.

Art. 21 y 22 de la LFTAIPG y Duodcimo de los Lineamientos.

Custodia y Cuidado Responsabilidad

Deber

de la persona responsable del tratamiento de los datos de velar por el cumplimiento de los principios y rendir cuentas al titular en caso de incumplimiento.
Art. 20, fraccin VI y Undcimo de los Lineamientos.

Deberes

Deber de seguridad

Obligacin de adoptar las medidas necesarias para garantizar la integridad, confidencialidad y disponibilidad de los datos personales mediante acciones que eviten su alteracin, prdida, transmisin y acceso no autorizado.

Obligaciones en materia de seguridad de las bases de datos

Todo responsable deber establecer y mantener medidas de seguridad de carcter administrativo, tcnico y fsico que permitan proteger los datos personales contra dao, prdida, alteracin, destruccin o el uso, acceso, o tratamiento no autorizado.
Los responsables no debern adoptar medidas de seguridad menores a aquellas que mantengan para el manejo de su informacin. Para la implementacin de dichas medidas stos debern tomar en cuenta factores como riesgo existente y posibles consecuencias para los titulares, la sensibilidad de los datos personales y el desarrollo tecnolgico.

Deber de confidencialidad

Secreto, discrecin, confidencialidad y custodia al que est obligada toda persona que maneja, usa, recaba o transfiere datos personales en cualquier fase del tratamiento.

Derechos

Derechos ARCO

Acceso: derecho del titular a obtener informacin sobre s

sus propios datos estn siendo objeto de tratamiento, la finalidad del tratamiento que, en su caso, se est realizando, as como la informacin disponible sobre el origen de dichos datos y las comunicaciones realizadas o previstas de los mismos.

Rectificacin: derecho del titular a que se modifiquen los

datos que resulten ser inexactos o incompletos.

Cancelacin: derecho del titular que da lugar a que se

supriman los datos que resulten ser inadecuados o excesivos.

Oposicin: derecho del titular a que no se lleve a cabo el

tratamiento de sus datos cuando se trate de sistemas de datos que tengan por finalidad la realizacin de actividades de publicidad

Oposicin

El derecho a la proteccin de datos en el sector privado LFPDPPP

Generalidades de la ley

Reviste las caractersticas de ser una legislacin moderna que reconoce y protege los llamados derechos de tercera generacin, en particular la autodeterminacin informativa. Coloca a la persona en el centro de la tutela del Estado, reconociendo y respetando su dignidad y vala. Establece un marco general que contempla reglas claras, concretas y mnimas para lograr un equilibrio entre proteccin de la informacin personal y la libre circulacin de la misma en un mundo globalizado, en concordancia con los estndares internacionales.

Ejes rectores de la ley

1. 2. 3. 4. 5. 6. mbito de aplicacin. Principios y derechos. Rgimen especial para datos sensibles. Ejercicio de los derechos ARCO. Transferencias de datos. Autoridades: IFAI garante- y Reguladoras. 7. Procedimientos: Proteccin de datos. Verificacin. imposicin de sanciones. 8. Infracciones y sanciones. 9. Delitos en materia de tratamiento indebido.

Actuacin del IFAI como autoridad garante

Actuacin del IFAI

Emisin e implementacin de regulacin secundaria.

Solucin de controversias para la tutela de derechos de acceso y rectificacin

Supervisin del cumplimiento verificaciones/recomendaciones-. regulatorio

Promocin de la cultura de seguridad de los datos personales documento de seguridad-.

Implementacin de regulacin secundaria

Lineamientos de Proteccin de Datos Personales:

Disposiciones generales que establecen las condiciones y requisitos mnimos para el debido manejo y custodia de las bases de datos en posesin de la Administracin Pblica Federal.

Supervisin del cumplimiento regulatorio

Desde el ao 2007, el IFAI se ha dado a la tarea de verificar las bases de datos en posesin de la Administracin Pblica Federal.

Numeralia:

16 dependencias o entidades verificadas. 62 recomendaciones votadas por el Pleno del IFAI.

Supervisin del cumplimiento regulatorio

Destacan por su importancia las siguientes bases de datos verificadas:

Base de Datos Nacional de la Clave nica de Registro Nacional de Poblacin. Sistema de Acreditacin de Derechohabiente. Sistema Integral de Operacin Migratoria. Padrn de Beneficiarios de los Programas de Desarrollo Social.

Elaboracin de Manifestaciones de Impacto a la Privacidad

NOM-024-SSA3-2007 del Expediente Clnico Electrnico

Esta poltica pblica tiene como objetivo primordial promover el establecimiento de reglas y estndares homogneos que permitan la comunicacin e interoperabilidad entre los diferentes sistemas de informacin de salud que existen en el Sistema Nacional de Salud. Por la complejidad del diseo de la estructura funcional de la NOM, la Secretara de Salud y el IFAI, en su carcter de rgano garante, sometieron el proyecto a una Manifestacin de Impacto a la Privacidad. Lo anterior, a fin de garantizar que antes de la puesta en operacin dicha poltica pblica cumpliera con los estndares internacionales en materia de proteccin, teniendo especial cuidado en los controles de seguridad que se requieren en un proyecto de tal envergadura. Emisin de una serie de recomendaciones tendientes a garantizar la confidencialidad, disponibilidad e integridad de los datos de salud con la puesta en operacin de esta poltica pblica.

Elaboracin de Manifestaciones de Impacto a la Privacidad

Cdula de Identidad Ciudadana

Este proyecto tiene como objeto expedir un documento que acredite fehacientemente la identidad de los ciudadanos mexicanos, a travs de la obtencin de datos biomtricos huellas dactilares e iris-.
Emisin de una serie de recomendaciones relativas a:

Adecuar el marco jurdico para la expedicin de la CEDI. Recabar los datos estrictamente necesarios para la finalidad perseguida. Implementar estrictas medidas de seguridad.

Retos

Retos LFTAIPG
Para los organismos de transparencias estatales: Adecuar las leyes de transparencia a las reformas constitucionales y nuevas exigencias de la administracin pblica estatal y municipal. Emitir regulacin secundaria en materia de proteccin de datos personales en posesin del sector pblico, tomando en consideracin los estndares internacionales.
Para el IFAI: Impulsar el dictamen aprobado por el Senado de la Repblica que reforma la Ley Federal de Transparencia y Acceso a la informacin Pblica Gubernamental. Establecer mecanismos de cooperacin eficaces con los diversos institutos de transparencia para la difusin y capacitacin de este nuevo derecho.

Retos LFPDPPP

Coadyuvar con el Ejecutivo Federal en la emisin del reglamento, dentro del ao siguiente a la entrada en vigor de la ley. Emitir criterios que coadyuven a un mejor cumplimiento de la ley. Disear mecanismos eficaces para la recepcin y atencin de solicitudes de proteccin de datos. Difusin y capacitacin al interior y exterior. Solicitar a la Unin Europea el nivel de adecuacin como un pas seguro en materia de proteccin de datos personales. Disear la estructura organizacional ms adecuada para asumir y ejecutar con eficiencia las nuevas tareas y responsabilidades del IFAI.

GRACIAS

www.ifai.org.mx http://www.infomex.org.mx

01800 TEL IFAI