Privacidad de datos por Jorge Delgado José Manuel Cano

50 %
50 %
Information about Privacidad de datos por Jorge Delgado José Manuel Cano
Education

Published on February 5, 2014

Author: alapsiac

Source: slideshare.net

Description

Día de la Seguridad 8va edición.

Marco de referencia
–¿Porqué estamos aquí reunidos?
–La Gobernanza de las empresas y la seguridad de la información
–Privacidad de datos; el nuevo paradigma
•Ley Federal de Protección de Datos Personales en Posesión de los Particulares
–¿Qué son los datos personales?
–¿De que se trata la LFPDPPP?
–¿Quiénes están obligados?
–¿Qué deben hacer los particulares?
–Principios y derechos
–¿Qué hay que cumplir?
–Sanciones

Taller 3: Privacidad de datos Obligaciones y oportunidades para las empresas José Manuel Cano Muñiz Director General Optimización Administrativa, S.A. de C.V. correo@oasa.net.mx www.oasa.net.mx OASA®

Agenda • Marco de referencia – ¿Porqué estamos aquí reunidos? – La Gobernanza de las empresas y la seguridad de la información – Privacidad de datos; el nuevo paradigma • Ley Federal de Protección de Datos Personales en Posesión de los Particulares – – – – – – – ¿Qué son los datos personales? ¿De que se trata la LFPDPPP? ¿Quiénes están obligados? ¿Qué deben hacer los particulares? Principios y derechos ¿Qué hay que cumplir? Sanciones

Agenda • La privacidad de datos y la Ley federal para la Prevención e Identificación de Operaciones con Recursos de Procedencia Ilícita. • El proyecto de cumplimiento de la LFPDPPP: – – – – ¿Qué impacto tienen la Ley en las organizaciones? ¿Quiénes deben involucrarse? Definiendo el plan de acción Recomendaciones

MARCO DE REFERENCIA

¿ Porqué estamos aquí reunidos ? ¿ Alguien sabe de la importancia de los Datos Personales y su privacidad? ¿A quién aplica la ley y su reglamento? ¿Qué tienen que hacer las empresas y sus empleados? ¿Quiénes deben participar? ¿Cuáles son las consecuencias de no cumplir la Ley? ¿Qué hemos hecho en nuestra organización?

La gobernanza de las empresas y la seguridad de la información El éxito de cualquier organización se fundamenta en la integración de tres elementos básicos que deben estar completamente alineados e integrados: Procesos de negocio, Tecnologías de Información y Personas Personas Gobierno (Organización) Tecnologías de Información Procesos de negocio La Tecnología de Información: • Aportando valor • Bajo control • Bien utilizada y aprovechada • Habilitando las estrategias de negocio • Acelerando la innovación • Medida en su desempeño • Evaluada en su inversión y retorno ¿Porqué considerar el Gobierno de TI? • • • • • Seguridad de la información Seguridad informática La TI es crítica para el negocio La TI es estratégica para el negocio Las expectativas y la realidad no coinciden La TI no ha conseguido la atención que merece LA TI involucra importantes inversiones y grandes riesgos

Privacidad de datos; el nuevo paradigma Aceptando entonces que la seguridad de la información y por consecuencia la seguridad informática son esenciales para el funcionamiento y supervivencia de una empresa, la privacidad de datos surge como una obligación, que además de ser importante para nuestro negocio, es protegida por las leyes de muchos países. Privacidad: Ambito de la vida privada que se tiene derecho a proteger de cualquier intromisión. Datos: Información dispuesta de manera adecuada para su tratamiento. Diccionario de la Lengua española Protegiendo: Confidencialidad: la información es accesible sólo para aquéllos que están autorizados. Integridad: la información sólo puede ser creada y modificada por quien esté autorizado a hacerlo. Disponibilidad: la información debe ser accesible para su consulta o modificación cuando se requiera.

Privacidad de datos; el nuevo paradigma Antes Hoy • El DP es de quien lo capta. • El DP es propiedad del titular. • El DP no tiene valor. • El DP es un derecho fundamental. • El DP es un bien libre. • El DP es un bien privado. • No hay restricción en su uso. • Uso sujeto a finalidad y consentimiento. • No es necesario protegerlo. • Medidas de seguridad específicas. • El titular no tiene derechos. • Derechos ARCO. En México, la privacidad de los datos personales esta protegida por la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP).

LEY FEDERAL DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE LOS PARTICULARES

¿Qué son los datos personales? Cualquier información concerniente a una persona física identificada o identificable (a través de los mismos), expresados en forma numérica, alfabética, gráfica, fotográfica, acústica o cualquier otro tipo. Existen datos personales y datos personales sensibles (*) Identificación • Nombre, domicilio, teléfono, correo electrónico, firma, RFC, CURP, edad, estado civil, etc. Laborales • Area, puesto, sueldo, prestaciones, cuenta bancaria, historia laboral, etc. Patrimoniales (*) • Información fiscal, historial crediticio, cuentas bancarias, ingresos y egresos, etc. Académicos • Trayectoria educativa, título, número de cédula, certificados, etc. Ideológicos (*) • Creencias religiosas, afiliación política o sindical, pertenencia a organizaciones civiles o religiosas, etc. De salud (*) • Estado de salud, historial clínico, enfermedades, información de carácter psicológico y/o psiquiátrico, etc. Características personales (*) • Tipo de sangre, ADN, huella digital, preferencia sexual, color de piel, origen étnico y racial, señas particulares, etc. entre otros….. Y que se encuentran en medios magnéticos o papel (base de datos, documentos, hojas de cálculo, etc.)

¿De que se trata la LFPDPPP? 1. Tiene por objeto la protección de los datos personales en posesión de los particulares, con la finalidad de regular su tratamiento legítimo, controlado e informado, a efecto de garantizar la privacidad y el derecho a la autodeterminación informativa de las personas. 2. Establece que los responsables en el tratamiento de datos personales, deben observar los principios de licitud, consentimiento, información, calidad, finalidad, lealtad, proporcionalidad y responsabilidad. 3. Señala que tratándose de datos personales sensibles, el responsable deberá obtener el consentimiento expreso y por escrito del titular para su tratamiento. 4. Establece como obligación de los responsables en el tratamiento de datos personales, informar a los titulares de los datos, qué se recaba de ellos y con qué fines, a través del aviso de privacidad. 5. Dispone que el titular de datos o su representante legal podrán solicitar al responsable de datos personales, el acceso, rectificación, cancelación u oposición respecto de los datos personales que le conciernen . 6. Establece que el Instituto Federal de Acceso a la Información y Protección de Datos (IFAI), difundirá el conocimiento del derecho a la protección de datos personales en la sociedad mexicana, promoverá su ejercicio y vigilará por la debida observancia.

¿Quiénes están obligados LFPDPPP? Los particulares, sean personas físicas o morales de carácter privado que para sus actividades cotidianas, recabe, maneje y utilice información personal. Aplica también cuando los DP son tratados por un tercero a solicitud del responsable. No están sujetos a las disposiciones de esta ley: • Las sociedades de información crediticia. • Las personas físicas o morales que lleven a cabo la recolección y almacenamiento de datos personales, para uso exclusivamente personal y sin fines de divulgación o utilización comercial. (Ej. Directorio telefónico de los amigos y contactos personales).

¿Qué deben hacer los particulares? Informar sobre el uso que dará a la información. Nombrar a un responsable que atienda las solicitudes de Acceso, Rectificación, Cancelación y Oposición de los datos personales. Contar con las medidas de seguridad administrativas, técnicas y físicas necesarias para garantizar los datos contra un uso indebido o ilícito, un acceso no autorizado, o contra la pérdida, alteración, robo o modificación de información personal. Capacitar a su personal.

Principios y derechos Son las reglas mínimas que deben observar las empresas o entes privados que tratan datos personales (personas físicas o morales), garantizando con ello un uso adecuado de la información personal. Principios: Licitud Consentimiento Información Calidad Finalidad Lealtad Proporcionalidad Responsabilidad Derechos Acceso Rectificación Cancelación Oposición

¿QUÉ HAY QUE CUMPLIR?

Avisos de Privacidad • Cualquier empresa o ente privado que solicite datos personales deberá elaborar un Aviso de Privacidad, documento a través del cual se podrá conocer la finalidad que tendrá la información que se solicite. • El Aviso de Privacidad deberá proporcionar además, información que permita identificar a la empresa que recaba los datos y deberá precisar la forma de hacer efectivos los derechos de Acceso, Rectificación, Cancelación y Oposición (ARCO), indicando la persona o departamento encargado de atender las solicitudes. • En el Aviso de Privacidad, la empresa deberá consultar al titular si autoriza que se transfiera su información a terceros. La empresa deberá notificarte de cualquier cambio que realice al Aviso de Privacidad y pedir consentimiento para el nuevo uso que quiera dar a los datos. • El Aviso de Privacidad podrá ponerse a disposición a través de medios impresos, digitales, visuales, sonoros o de cualquier otra tecnología.

¿Cómo consiente una persona el uso de sus datos? • Consentimiento expreso: • • • • Consentimiento tácito: • • • Necesario para datos personales sensibles, patrimoniales o financieros. La voluntad se manifiesta verbalmente, por escrito, por medios electrónicos, ópticos o cualquier otro que permita demostrar de manera clara y patente que la persona otorgó su consentimiento. Para DP sensibles, a través de su firma autógrafa, firma electrónica o cualquier mecanismo de autenticación que se establezca. Se utiliza para el resto de los datos personales. No es necesaria una manifestación expresa, es suficiente que se haya hecho del conocimiento de la persona el aviso de privacidad y que no se haya opuesto a él. No es necesario el consentimiento: • • • • • • Cuando este previsto en una Ley. Los DP figuren en fuentes de acceso público. Tengan el propósito de cumplir obligaciones derivadas de una relación jurídica entre el titular y el responsable. Exista una situación de emergencia que pueda dañar a un individuo. Indispensables para la atención y tratamiento médico, asistencia sanitaria y el titular no este en condiciones de otorgarlo. Previamente sometidos a un proceso de disociación

Transferencia de Datos Personales Se refiere a cualquier tipo de comunicación de datos realizada a una persona distinta de la empresa a la que fueron proporcionados y está sujeta al consentimiento del titular de los datos personales. El tercero receptor asume las mismas obligaciones que el responsable de los DP. La Ley prevé que la transmisión de datos se lleve a cabo sin que medie consentimiento cuando: • • • • • • Esté prevista en una ley o en un tratado del cual México sea parte. Sea necesaria para la prevención o diagnóstico médico. Se realice entre empresas pertenecientes a un grupo empresarial que compartan determinados procesos o políticas internas. Sea necesaria para el cumplimiento de un contrato de interés para el titular, celebrado entre la empresa que posee los datos y un tercero. Por el interés público de procuración o administración de justicia. Cuando lo solicite un juez dentro de un proceso judicial.

Medidas de Seguridad • Funciones y obligaciones del personal. • Responsable de seguridad. • Registro de incidencias. • Control de acceso (lógico y físico). • Instalaciones seguras. • Inventario y clasificación de la información. • Registros de datos. • Identificación y autenticación. • Gestión de soportes y documentos.

Medidas de Seguridad… • Transmisión a través de redes públicas o redes inalámbricas de comunicaciones. • Copias de respaldo y recuperación. • Archivos no automatizados • • • • • • • • • Criterios de archivo. Dispositivos de almacenamiento. Custodia de soportes. Almacenamiento de la información. Copia o reproducción. Acceso a la documentación. Traslado de documentación. Retención y desecho. Auditoría de TI.

Derechos ARCO Para ejercer los derechos ARCO, se debe presentar una solicitud (por escrito, por medios electrónicos o cualquier otra tecnología): • • • • Acceso. Se puede solicitar a una determinada empresa que informe si en sus bases de datos tiene algún dato personal del titular. Rectificación. Para corregir los datos personales que alguna empresa tenga en sus bases. Aplica cuando los datos son incorrectos, imprecisos, incompletos o están desactualizados. Cancelación. Es la facultad para solicitar la cancelación de datos de las bases que tenga una determinada empresa, la cual deberá dejar de tratar tales datos, en especial cuando dicho tratamiento no cumpla con las disposiciones legales aplicables y ya no es necesaria para las actividades relacionadas con la empresa que los tiene . Los datos deberán ser bloqueados y posteriormente, suprimidos de las bases de datos. Oposición. Facultad para solicitar a la empresa que pretenda realizar el tratamiento de datos personales que se abstenga de hacerlo en determinadas situaciones, por ejemplo, para fines publicitarios.

Sanciones • • El IFAI tiene la facultad de imponer sanciones: • Apercibimiento para que el responsable lleve a cabo los actos solicitados por el titular. • Multa de 100 a 160,000 días de salario mínimo vigente en el DF, cuando la empresa actúe con negligencia o dolo con respecto a la información personal, no observe los principios de protección de datos establecidos en la Ley u omita datos en el Aviso de Privacidad. • Multa de 200 a 320,000 días de salario mínimo general vigente en el Distrito Federal, cuando incumpla con su deber de confidencialidad en el tratamiento de los datos, cambie la finalidad del tratamiento de los mismo sin dar aviso al titular, transfiriera datos a terceros sin el consentimiento del titular, obstruya los actos de verificación del IFAI o realice un uso ilegítimo de los datos. • En caso de que persistan las infracciones de manera reiterada, el IFAI podrá imponer una multa adicional que irá de 100 a 320,000 días de salario mínimo vigente en el DF. Tratándose de infracciones cometidas en el tratamiento de datos sensibles, los montos de las sanciones podrán incrementarse hasta por dos veces.

La privacidad de datos y la LFPIORPI  La LFPIORPI tiene por objeto proteger el sistema financiero y la economía nacional, estableciendo medidas y procedimientos para prevenir y detectar actos u operaciones que involucren recursos de procedencia ilícita.  Los clientes o usuarios de quienes realicen Actividades Vulnerables (AV), proporcionarán la información y documentación necesaria para el cumplimiento de sus obligaciones.  Identificar a los clientes y usuarios con quiénes realicen las propias AV sujetas a supervisión, verificar su identidad y recabar información sobre su actividad u ocupación.  Presentar los Avisos en la SHCP en los tiempos y bajo la forma prevista en la Ley, a través de los medios electrónicos y en el formato oficial que establezca la SHCP, quién podrá comprobar el cumplimiento de las obligaciones.  Quiénes realicen AV, deberán cumplir con criterios de integridad, disponibilidad, audibilidad y confidencialidad en materia de conservación y resguardo de información y documentación.  Custodiar, proteger, resguardar y evitar la destrucción u ocultamiento de la información y documentación soporte a la AV, así como la que identifique a sus clientes o usuarios.

Entonces … LFPIORPI Datos Personales LFPDPPP • Contar con los sistemas informáticos que reúnan las características técnicas y de seguridad necesarias para presentar los Avisos. • Establecer y mantener las medidas de seguridad administrativas, técnicas y físicas que permitan proteger la información y documentación.

EL PROYECTO DE CUMPLIMIENTO DE LA LFPDPPP

¿Qué impacto tiene en las organizaciones? • Legal: • • • • • Negocio: • • • • Afectación de imagen (publicidad negativa o positiva) Mala reputación Desconfianza de clientes, empleados y proveedores Procesos de negocio: • • • • Nuevas obligaciones Posibilidad de sanciones Riesgo de cometer un delito Acciones por daño moral Nuevas actividades Nuevos y mejores controles Afectación a los tiempos de ciclo Tecnología de Información: • • • Modificación de arquitectura de la infraestructura Adquisición de hardware y software Implantación de políticas y procedimientos de seguridad de la información

¿Quiénes deben involucrarse? • Dirección General: Afectación a la empresa, a su reputación o a la marca, promoción de la cultura de protección de datos y seguridad de la información . • Finanzas y Administración: Costo de cumplimiento, desarrollo de políticas y procedimientos, adquisición de infraestructura de TI, sanciones e implantación de medidas físicas. • Comercial: Servicio al cliente, uso de los datos para promoción, afectación del plan de ventas. • Legal: Definición del alcance del cumplimiento y excepciones para disminuir costos de cumplimiento, notificación de vulneraciones, atención de auditorías del IFAI y demandas. • Recursos Humanos: Intercambio de información, confianza de los trabajadores. • Auditoría interna: Seguimiento a medidas de seguridad y solicitudes ARCO, implantación de esquemas de autoregulación. • Tecnología de Información: Implantación de medidas técnicas de seguridad, aseguramiento de los procesos de administración de la TI.

Definiendo el plan de acción 4. Revisión de Medidas de Seguridad 1. Organización 2. Flujos de Información ( procesos administrativos y tecnológicos ) 3. Análisis de activos 6. Implantación de remediaciones 5. Análisis de Cumplimiento Gestión del proyecto La seguridad de la información y el cumplimiento de la LFPDPPP no es un proyecto específico de una vez. Al contrario, es es un procesos que debemos mantener en mejora y revisión continua.

Recomendaciones Independientemente o adicionalmente a que ahora existe una Ley que debemos cumplir, exploremos las oportunidades desde el punto de vista del negocio y de la seguridad de la información, esto es, ¿que valor podemos agregar al negocio, que riesgos podemos mitigar y que cotos podemos reducir o eliminar? No dejemos la seguridad de la información y el cumplimiento de la LFPDPPP en las clásicas preguntas que no tendrán respuesta hasta que actuemos: • • • • Informático: ¿Cuánto cuesta? Jurídico: ¿Cómo me amparo y puedo reducir el riesgo legal? Directores: ¿Qué y hasta adonde realizo?, ¿Ya emití los avisos de privacidad, es todo? El resto de la organización: No sabe, no le entiende, no le importa y no es su problema. El manejo de datos personales es un asunto de Administración de Riesgos. Mientras menos datos personales tengamos y durante el menor tiempo ¡Mejor!

GENERADOR DE AVISOS DE PRIVACIDAD (GAP) Dirección General de Autorregulación

¿Qué es el GAP? Herramienta estándar dirigida a los responsables con la finalidad de que éstos puedan elaborar en línea sus respectivos avisos de privacidad.

¿Cómo surge el GAP? El IFAI en su calidad de autoridad garante en materia de protección de datos personales ha puesto a disposición de los particulares herramientas que faciliten el cumplimiento de las obligaciones que dispone la Ley Federal de Protección de Datos Personales en Posesión de los Particulares. Se crea el GAP como una herramienta electrónica para que los responsables cumplan con el principio de información en el tratamiento de los datos personales.

¿Qué ventajas obtengo al usarlo? Esta herramienta… • Facilita a los responsables la elaboración de sus avisos de privacidad; • Los avisos de privacidad generados cumplen con todos los elementos informativos que señala la normatividad en materia de datos personales. Ten en cuenta que… a) El uso del GAP, no exime a los responsables de poner a disposición de los titulares el aviso de privacidad; b) No equivale a una autorización del IFAI; y c) La veracidad de la Información proporcionada depende del usuario

¿Qué debo saber antes de usar el GAP? • Glosario de símbolos. Manual de Usuario Inicio ABC del Aviso de Privacidad Salir Previsualizar Eliminar Modificar Exportar a PDF Exportar a Word Imprimir Texto de ayuda

¿Cómo se utiliza el Generador de Avisos de Privacidad? http://generador-avisos-privacidad.ifai.org.mx/users/login

GRACIAS POR SU ATENCIÓN

José Manuel Cano Muñiz correo@oasa.net.mx www.oasa.net.mx OASA®

Add a comment

Related presentations

Related pages

Privacidad de datos por Jorge Delgado José Manuel Cano ...

LEY DEL ISSSTE Profr. José Manuel Santana Delgado Colegiado Nacional de Seguridad y Derechos Sociales.
Read more

Privacidad de datos por Jorge Delgado José Manuel Cano ...

Ejemplo de customer persona, por Manuel Delgado Las customer personas son una herramienta de marketing que nos permite representar de una manera práctica ...
Read more

José Manuel Cano - Wikipedia, la enciclopedia libre

José Manuel Cano (San Miguel de ... La decisión de Buryaile y de Cano fue duramente criticada por las diputadas Victoria Donda y Alicia Ciciliani. [7] [8
Read more

5692_0030_Texto religión Manuel Delgado - Documents

... por Manuel Delgado ... Privacidad de datos por Jorge Delgado José Manuel Cano ... José Manuel Santana Delgado Colegiado Nacional de ...
Read more

Ejemplo de customer persona, por Manuel Delgado - Business

Privacidad de datos por Jorge Delgado José Manuel Cano Día de la Seguridad 8va edición. Marco de referencia –¿Porqué estamos aquí reunidos?
Read more

José Ramos Delgado - Wikipedia, la enciclopedia libre

José Ramos Delgado; Datos personales; ... José Manuel Ramos Delgado ... Su salud estaba resquebrajada desde hacía tiempo por la enfermedad de Alzheimer. [1]
Read more

jose cano delgado - Iberlibro

... Julia Sevilla Merino, Aureliano Yanes, Manuel Delgado ... integrada por diversos portavoces ... Jorge Cano. María José Delgado. Ana ...
Read more

16 de septiembre Fernando Delgado Manuel Pelchat Santiago ...

Diapositiva 1 16 de septiembre Fernando Delgado Manuel Pelchat Santiago ... Privacidad de datos por Jorge Delgado José Manuel Cano ... Privacidad ...
Read more

Santa Diabla - Wikipedia, the free encyclopedia

Santa Diabla marks the return of Gaby Espino years after participating in Más Sabe el Diablo and Ojo Por ... Delgado Jr. / Guillermo Cano; José ... Santa ...
Read more