Ley Federal de Protección de Datos Personales en Posesión de los

Particulares

Elementos de la Ley y el anteproyecto de Reglamento

¿Quién protege tus datos personales por Internet?

Dirección General de Comercio Interior y Economía DigitalSubsecretaría de Industria y Comercio

Secretaría de Economía

AgendaAgenda

1. Contexto México2. Características generales de la Ley y el Anteproyecto de

Reglamento3. Aviso de Privacidad4. Autorregulación Vinculante5. Equilibrio entre la protección del derecho fundamental y la

práctica comercial6. Las consideraciones sobre privacidad y el entorno digital7. Consideraciones finales

Contexto para México

5.1 millones unidades económicas

95.2% son micro empresas

4.3% son pequeñas

0.2% son grandes

Perfil de México

11° país más poblado del mundo y el 1° entre las naciones de habla hispana

Más de 112 millones de habitantes

14ª economía más grande del mundo

El valor de las exportaciones e importaciones representa el 59.7% del PIB

Tratados de apertura y libre comercio con más de 40 países

EE.UU. es el destino del 80% de las exportaciones y 48% de las importaciones

Fuentes: FMI, INEGI, Secretaría de Economía

Cultura de Privacidad

Uno de los principales retos que enfrentan las empresas y los consumidores en nuestro país es la baja cultura de privacidad y por tanto de la protección de datos personales.

Cultura de Privacidad

Empresas Consumidores

• Con el objetivo de fomentar la cultura sobre Protección de Datos Personales en las Empresas e identificar las brechas en el conocimiento actual entre las empresas la Secretaría realizó una encuesta en línea enfocada a MiPYMES

• El periodo sobre el que se reportan los respuestas comprenden del 2 de febrero al 23 de febrero de 2011

• Se establecieron sólo 9 reactivos con respuestas cerradads para facilitar el llenado y envío de información.

• Se recibieron las respuestas de 155 empresas

Encuesta sobre cultura de privacidad de datos en las MiPYMES

28%

27%

45%

Tamaño

MicroPequeñaMediana

81%

15%

3%

Sector

ServiciosIndustriaComercio

34%

16%

2%1%3%3%

9%

5%

12%

1%

1%

1%5

% 7%

Giro

TILegalLogísticaSaludSegurosConsultoríaAlimentosInternacionalAcademiaAutomotrizBPOFinancieroInternacionalOtro

Encuesta Cultura de Privacidad: Tipo de empresa

54%26%

6% 14%

Ubicación de clientes

NacionalExtranjeroMisma ciudadVarios estados Teléfono

Celular

Correo Electrónico

Página de Internet

Módulo de información físico

Fax

Ninguno

Otro

0 10 20 30 40 50 60 70

Medio de contacto con clientes

% utilizado por las encuestadas

Entre otros medios se señalan: chat, twitter, piezas impresas, redes sociales, vía postal

Encuesta Cultura de Privacidad: Ámbito de operación

Cultura de privacidad empresarial

Trat

amie

nto

de d

atos

Dat

os a

utom

atiza

dos

Políti

ca d

e pr

ivac

idad

Resp

onsa

ble

desi

gnad

o

Cono

ce L

ey F

PDPP

P

Med

io d

e co

ntac

to c

on

clie

nte

0%20%40%60%80%

100%

Resultados de encuesta sobre cultura de privacidad

NoSí

Fuente: Encuesta realizada en línea por la DGCIED de en febrero de 2011. Participaron 155 MiPYMES

Características de la Ley y el Reglamento

Regulación sobre Protección de Datos Personales

• Ley Federal de Protección de Datos personales en Posición de los Particulares• Publicada en DOF el 5 de julio

de 2010 .

• Finalidad: • Regular el tratamiento

legítimo, controlado e informado, a efecto de garantizar la privacidad y el derecho a la autodeterminación informativa de las personas.

Hitos importantes

Julio 2011• Designación de persona o

departamento que fomente la protección de datos personales

• Expedición de Avisos de Privacidad

Enero 2012• Ejercicio de derechos

ARCO (titulares)• Protección de

derechos (IFAI)

Julio 2010Expedición de la Ley

Junio 2011• Guía para la

generación de avisos de privacidad

2011Expedición de Reglamento

Actores y Mecanismo Simplificado de aplicación de la Ley y Reglamento

1

3

2

4

Titular

Responsable

Aviso de privacidad

Consentimiento(tácito, expreso)

Encargado

Terceros

En México u otro país

Derechos ARCO(acceso, rectificación, corrección, oposición)

B

Solicitud de Protección

de derechos

VerificaciónSanción

IFAI

A

Secretaría de Economía

Lineamientos 5

Entidades privadas - Autorregulación

Transferencia

CoadyuvanciaParámetros

Transmisión

En México

Autoridades – resumen simplificado

• Autoridades – resumen simplificado

Trabajo conjunto para la elaboración del Reglamento

Avisos de privacidad

Definición - Aviso de Privacidad

Documento físico, electrónico o en cualquier otro formato generado por el responsable que es puesto a disposición del titular, previo al tratamiento de sus datos personales.

Finalidades Características

Fortalecer el nivel de confianza entre responsable y titular con relación al tratamiento de su información personal Transparentar al titular las finalidades y transferencias a que son sometidos sus datos personalesInformar al titular cómo ejercer los derechos que la ley le otorga y los mecanismos para que decida sobre el tratamiento de sus datos.Mejorar el canal de comunicaciónDisminuir las quejas, inconformidades o disputas de los titulares.

Es redactado de manera concisaContiene la información relevante y necesaria que permita al titular identificar las características principales del tratamientoCuenta con un diseño y presentación apropiada que facilite su comprensiónPara la difusión se pueden usar formatos físicos, electrónicos, medios verbales o cualquier otra tecnología, siempre y cuando garantice y cumpla con el deber de informar al titular.

• Tipos de aviso de privacidad

• Identidad y domicilio • Finalidades • Opciones y medios para limitar el

uso o divulgación• Medios para ejercer derechos ARCO• Transferencias de datos • Procedimiento y medio para

comunicar cambios al aviso.• Señalar si se tratan datos sensibles

• Identidad y domicilio • Finalidades • Mecanismo para conocer el aviso

completo• Señalar si se tratan datos sensible

Art. 16 (…al menos) Art. 17

Se pone a disposición previo al tratamiento

La opción y el plazo que tiene el titular de presentar ante el IFAI el procedimiento de protección de derechos

• Principios de la Ley y aviso de privacidad Principio Vínculo con aviso de privacidad

InformaciónDa a conocer al titular qué datos personales se recaban y con qué fines

ConsentimientoEl consentimiento tácito se obtiene si se pone a disposición del titular

FinalidadesEl tratamiento se limita al cumplimiento de las finalidades previstas en él

Proporcionalidad

Los datos que se traten deberán ser los necesarios, adecuados y relevantes en relación con las finalidades establecidas en él

Responsabilidad

El responsable debe tomar medidas para garantizar que el aviso sea respetado por él, encargados o terceros, aún cuando éstos estén fuera del país

Autorregulación Vinculante

Principio de responsabilidad y autorregulación vinculante

• El responsable tiene la obligación de velar, responder, así como de rendir cuentas al titular sobre el tratamiento de sus datos personales.

• Para cumplir con esta obligación, el responsable puede valerse de estándares y mejores prácticas internacionales, así como de esquemas de autorregulación.

• Lo anterior puede traducirse en códigos deontológicos o de buenas prácticas profesionales, sellos de confianza u otros mecanismos

• Estos esquemas son vinculantes para quienes se adhieran a los mismos; no obstante, la adhesión es de carácter voluntario

Objetivos primordiales (1/2)

• Establecer procesos y prácticas cualitativos • Fomentar que los responsables establezcan políticas, procesos y

buenas prácticas• Promover que los responsables de manera voluntaria cuente con

constancias o certificaciones sobre el cumplimiento de la Ley y mostrar su compromiso con la protección de datos personales

• Identificar a los responsables que cuenten con políticas de privacidad alineadas al cumplimiento de los principios y derechos, así como de competencia laboral

Objetivos primordiales (2/2)

• Promover el compromiso de los responsables con la rendición de cuentas y adopción de políticas internas consistentes con criterios externos, así como para auspiciar mecanismos para implementar políticas de privacidad, incluyendo herramientas, transparencia, supervisión interna continua, evaluaciones de riesgo, verificaciones externas y sistemas de remediación; y

• Encauzar mecanismos de solución alternativa de controversias entre responsables, titulares y terceros, como son los de conciliación y mediación.

SE

2

1 1

2

1 1 1

Independientes e imparciales para otorgar certificados

Puede acreditar y revocar

Pueden realizar verificaciones y auditorías a certificados

Se someten a la certificación de manera voluntaria pero se obligan a partir de ese momento

Pueden otorgar y revocar certificaciones

IFAI

Puede sugerir revocar acreditaciones o certificados

Establece parámetros para desarrollo y medidas de autorregulación

Puede encauzar mecanismos de solución alternativa de controversias

5

Esquemas de autorregulación reconocidos por autoridad

Equilibrio entre la protección del derecho

fundamental y la práctica comercial

El equilibrio entre la práctica empresarial y el ejercicio de los derechos de los titulares

• Se busca precisar las disposiciones y los procedimientos para que:– Los titulares de los datos hagan efectivo su derecho– Los particulares cumplan con las obligaciones previstas por Ley

• Titulares del derecho y empresas se benefician:– Regula aspectos que permiten su interacción y con autoridades.– Brinda seguridad y certeza jurídica a los sujetos involucrados.

• Se propicia una cultura de protección de datos personales que fortalece el esquema legal para garantizar el poder de disposición de las personas respecto de sus datos personales y da certeza a las transacciones comerciales.

Actividad de la empresa Actividad del titular del dato personal

• La persona o departamento dentro de la organización designado para dar trámite a las solicitudes;

• Los medios de autenticación del titular;

• El plazo máximo de respuesta a las solicitudes;

• La forma de entrega de la información en caso de ejercer el derecho de acceso;

• El carácter gratuito de la atención de las solicitudes o el costo de reproducción en caso de que aplique,

• Entre otras cuestiones que el responsable considere relevantes incluir en el aviso de privacidad.

• Conocer la persona o departamento de datos personales designada por el responsable, ante el cual podrá ejercer sus derechos ARCO, y

• Ejercer sus derechos ARCO; • Revocar el consentimiento otorgado• Limitar el uso de su información.• Se encuentra informado y conoce los

cambios en el aviso de privacidad• Solicita ante el IFAI los procedimientos

de protección de derechos o verificación.

• Conocer el aviso de privacidad completo;

• Otorgar su consentimiento expreso; • Conocer los listados de exclusión

existentes.

El equilibrio entre la práctica empresarial y el ejercicio de los derechos de los titulares

Las consideraciones sobre privacidad y el entorno

digital

Avances Tecnológicos/Cobertura

Nuevos Modelos de Negocio

Nuevos Consumidores

INFORMACIÓN

La Importancia de los Datos Personales en el Desarrollo Económico

• Las tecnologías de Información en las últimas décadas han ido cambiando constantemente la dinámica comercial, derivado de la creación de nuevos modelos de negocio, lo que ha requerido un constante flujo de información entre consumidores y empresas.

• De igual forma, la necesidad de contar con presencia mundial ha obligado a las empresas y consumidores a crear procesos comerciales dependientes de la identificación de los mismos a través de la transferencia de datos globalmente para proveer o adquirir un producto o servicio.

La Importancia de los Datos Personales en el Desarrollo Económico

• Diversos países han podido encontrar beneficios económicos al contar con modelos que permiten el correcto y ágil flujo de datos con sus socios comerciales.

Riesgos asociados al mal uso de datos personales

La ley y el anteproyecto fomentan la protección a bases de datos con información personal, ya sea física o electrónica, impulsando el tratamiento legítimo y control de los datos personales.

El Instituto desarrollará y pondrá a disposición de los responsables una herramienta para identificar las medidas de seguridad mínimas que aplicarán a los datos personales tratados.

Cuando exista un bajo riesgo para los datos personales tratados, de conformidad con las recomendaciones que emita el Instituto, la herramienta facilitará la elaboración del documento de seguridad y la identificación de las acciones.

Medidas de seguridad en la normativa

¿Las empresas en México establecen medidas de seguridad?

– Un 56% de las empresa manifiesta invertir en el tema de protección de información personal.

– En caso de no implementar medidas de seguridad, el 72% de los encuestados considera que las consecuencias más significativas son el daño a la reputación y la marca por la pérdida de la información para el desarrollo de los negocios, así como el no establecer dichas medidas podría representar sanciones y penas que la LFPDPPP establece por incumplimiento.

Fuente: Ernst&Young. Seguridad sin fronteras Resultados de la Encuesta Global de Seguridad de la Información. Marzo, 2011

¿Las empresas en México establecen medidas de seguridad?

• Las principales prioridades de seguridad de la información son:1. Continuidad de negocio2. Cumplimiento con requerimientos regulatorios LFPDPPP3. Cumplimiento con políticas corporativas

Fuente: Ernst&Young. Seguridad sin fronteras Resultados de la Encuesta Global de Seguridad de la Información. Marzo, 2011

Consideraciones finales

Empresas Titulares

Consideraciones finales - Beneficios de la Normatividad

Ley Federal de Protección de Datos Personales en Posesión de los

ParticularesElementos de la Ley y el

anteproyecto de Reglamento

¿quién protege tus datos personales por Internet?

Dirección General de Comercio Interior y Economía DigitalSubsecretaría de Industria y Comercio

Secretaría de Economía