LEY NÚMERO 581 PARA LA TUTELA DE LOS DATOS PERSONALES EN EL ESTADO DE VERACRUZ DE

JKL

LEY NMERO 581PARA LA TUTELA DE LOS DATOS PERSONALESEN EL ESTADO DE VERACRUZ DEIGNACIO DE LA LLAVEArtculo 6. Para los efectos de la presente Ley, se entiende por:Datos personales: La informacin numrica, alfabtica, grfica, acstica o de cualquier otro tipo concerniente a una persona fsica, identificada o identificable, concerniente a:TTULO PRIMEROCAPTULO NICODisposiciones GeneralesSu origen tnicoCaractersticas fsicas, morales o emocionalesVida afectiva y familiarDomicilio y telfono particularesCorreo electrnico no oficialPatrimonioIdeologa y opiniones polticas Artculo 6. Para los efectos de la presente Ley, se entiende por:Datos personales: La informacin numrica, alfabtica, grfica, acstica o de cualquier otro tipo concerniente a una persona fsica, identificada o identificable, concerniente a:TTULO PRIMEROCAPTULO NICODisposiciones GeneralesCreenciasConvicciones religiosas y filosficasEstado de saludPreferencia sexualHuella digitalADNNmero de seguridad socialOtros similares.Artculo 6. Para los efectos de la presente Ley, se entiende por:Sistema de Datos Personales: Todo conjunto organizado de archivos, registros, ficheros, bases o banco de datos personales de los entes pblicos, cualquiera que sea la forma o modalidad de su creacin, almacenamiento, organizacin y acceso;TTULO PRIMEROCAPTULO NICODisposiciones Generales

4Artculo 6. Para los efectos de la presente Ley, se entiende por:Tratamiento de Datos Personales: Cualquier operacin o conjunto de operaciones efectuadas mediante procedimientos automatizados, informticos, manuales, mecnicos, digitales o electrnicos, aplicados a los sistemas de datos personales, relacionados con la obtencin, registro, organizacin, conservacin, elaboracin, utilizacin, cesin, difusin, cotejo o interconexin o cualquier otra forma que permita obtener informacin de los mismos y facilite al interesado el acceso, rectificacin, cancelacin u oposicin de sus datos, as como su bloqueo, supresin o destruccin;TTULO PRIMEROCAPTULO NICODisposiciones Generales5Responsable de los Sistemas de Datos Personales

Responsable del Sistema de Datos

Encargado del tratamiento de los datos personalesTitular de la Unidad de Acceso (coordinador interno y enlace ante el IVAI)

Titular-persona fsica de la Instancia responsable (unidad, rea, departamento, oficina o nivel administrativo con capacidad jurdica de decisin)

Servidor Pblico que realiza tratamiento cotidiano de los datos personales

CONCEPTOS BSICOS6Tipos de sistemas de datos personales (art. 4 LTDP)

Categoras de datos personales (art. 5 LTDP)

FsicosAutomatizados

IdentificativosElectrnicosLaboralesPatrimoniales Sobre procedimientos administrativos y/o jurisdiccionalesAcadmicos De trnsito y movimientos migratoriosSaludBiomtricosEspecialmente protegidos (sensibles)Datos personales de naturaleza pblicaCONCEPTOS BSICOSArtculo 6. Para los efectos de la presente Ley, se entiende por:Ficheros de control de acceso: Registros de datos personales que se requieren para controlar las entradas y salidas a un edificio pblico;TTULO PRIMEROCAPTULO NICODisposiciones Generales8CAPTULO VVideo-Vigilancia y Ficherosde Control de AccesoArtculo 26. Cuando la utilizacin de sistemas de vigilancia mediante videocmaras d lugar a la creacin de ficheros donde se almacenen las imgenes en un disco duro, o en cualquier otro soporte informtico, que permitan localizarlas atendiendo a criterios como el da y hora de grabacin, el cruce de imgenes o el lugar fsico registrado, el ente pblico deber colocar de manera visible y de fcil localizacin la sealizacin correspondiente, en la que se indique la zona que es objeto de video vigilancia. 9Artculo 10. Cada ente pblico determinar, a travs de su titular o, en su caso, del rea correspondiente, la creacin, modificacin o supresin de sistemas de datos personales, conforme a su mbito de competencia, con respeto a los principios y garantas establecidos en esta Ley.TTULO SEGUNDOSistemas de Datos PersonalesCAPTULO IDisposiciones Generales

10Sistema de Datos Personales

ACTIVIDAD NO. 1

1).- Identificar los Sistemas de Datos que se manejen en su Ente Pblico, definir si es Fsico o Automatizado.PROCEDIMIENTO SUGERIDO2).- Revisar y detectar la existencia de datos personales dentro del Sistema identificado (en base a LPTDP Art. 5). 3).- Declarar (renombrar, rebautizar) el Sistema de Datos cmo Sistema de Datos Personales de __________.4).- Normalizar o depurar la relacin de Sistemas de Datos Personales.12CAPTULO VIIMedidas de Seguridad Artculo 29. Los entes pblicos establecern las medidas de seguridad tcnica y organizativa para garantizar la confidencialidad e integridad de cada sistema de datos personales que posean Las medidas sern adoptadas en relacin con el menor o mayor grado de proteccin que ameriten los datos personales, debern constar por escrito y ser comunicadas al Instituto para su registro 13CAPTULO VIBoletines Judiciales, Listas deAcuerdos y EstradosArtculo 28. Si la publicacin de los datos personales lleva por fin la notificacin al titular de un determinado acto, y la notificacin se realiza por medios informticos, digitales o de internet, una vez efectuada aqulla y transcurridos los plazos de ejercicio de los posibles recursos, no se mantendrn dichos datos para su localizacin a travs de los buscadores electrnicos. Al efecto, se dictarn las rdenes oportunas para limitar la indexacin del nombre y apellidos de las personas en los mencionados documentos mediante la incorporacin de un cdigo norobot.txt, con objeto de que los motores de bsqueda de internet no puedan asociarlo al titular. 14CAPTULO VIBoletines Judiciales, Listas deAcuerdos y EstradosArtculo 28 El archivo robots.txt ms simple utiliza dos reglas:

User-Agent:el robot al que se aplica la siguiente reglaDisallow:la URL que quieres bloquear

Ejemplo:

User-Agent:*Disallow /http://support.google.com/webmasters/bin/answer.py?hl=es&answer=156449 15Un archivo .htaccess (hypertext access) o archivo de configuracin distribuida es un archivo en formato ASCII como el que cualquiera puede crear con el bloc de notas, popularizado por el Servidor HTTP Apache, que es el ms usado en el mundo cuando hablamos de servidores Web. Permite definir diferentes directivas de configuracin para cada directorio (con sus respectivos subdirectorios) sin necesidad de editar el archivo de configuracin principal de Apache..htaccessEVITAR QUE SE LISTE EL CONTENIDO DE UN DIRECTORIOEVITA EL ACCESO DE ARCHIVOS Y CARPETASPGINAS DE ERRORES PERSONALIZADASEVITA EL HOTLINKBLOQUEAR A USUARIOS O A SITIOShttp://www.expresionbinaria.com/archivo-htaccess-que-es-y-como-funciona/16CAPTULO VIIMedidas de Seguridad Artculo 30. El ente pblico responsable de la tutela y tratamiento del sistema de datos personales adoptar las medidas de seguridad conforme a lo siguiente:

I. Tipos de seguridad:Fsica. b) Lgica. c) De desarrollo y aplicaciones. d) De cifrado. e) De comunicaciones y redes.Se refiere a toda medida orientada a la proteccin de instalaciones, equipos, soportes o sistemas de datos para la prevencin de riesgos por caso fortuito o causas de fuerza mayor17CAPTULO VIIMedidas de Seguridad Artculo 30. El ente pblico responsable de la tutela y tratamiento del sistema de datos personales adoptar las medidas de seguridad conforme a lo siguiente:

I. Tipos de seguridad:Fsica. b) Lgica. c) De desarrollo y aplicaciones. d) De cifrado. e) De comunicaciones y redes.Se refiere a las medidas de proteccin que permiten la identificacin y autentificacin de las personas o usuarios autorizados para el tratamiento de los datos personales de acuerdo con su funcin18CAPTULO VIIMedidas de Seguridad Artculo 30. El ente pblico responsable de la tutela y tratamiento del sistema de datos personales adoptar las medidas de seguridad conforme a lo siguiente:

I. Tipos de seguridad:Fsica. b) Lgica. c) De desarrollo y aplicaciones. d) De cifrado. e) De comunicaciones y redes.Autorizaciones con las que deber contar la creacin o tratamiento de sistemas de datos personales para garantizar el adecuado desarrollo y uso de los datos, previendo la participacin de usuarios, la separacin de entornos, la metodologa a seguir, ciclos de vida y gestin, as como las consideraciones especiales respecto de aplicaciones y pruebas;

19CAPTULO VIIMedidas de Seguridad Artculo 30. El ente pblico responsable de la tutela y tratamiento del sistema de datos personales adoptar las medidas de seguridad conforme a lo siguiente:

I. Tipos de seguridad:Fsica. b) Lgica. c) De desarrollo y aplicaciones. d) De cifrado. e) De comunicaciones y redes.Es implementacin de algoritmos, claves, contraseas, as como dispositivos concretos de proteccin que garanticen la integralidad y confidencialidad de la informacin

20CAPTULO VIIMedidas de Seguridad Artculo 30. El ente pblico responsable de la tutela y tratamiento del sistema de datos personales adoptar las medidas de seguridad conforme a lo siguiente:

I. Tipos de seguridad:Fsica. b) Lgica. c) De desarrollo y aplicaciones. d) De cifrado. e) De comunicaciones y redes.Se refiere a las restricciones preventivas o de riesgos que debern observar los usuarios de datos o sistemas de datos personales para acceder a dominios o cargar programas autorizados, as como para el manejo de telecomunicaciones.

21CAPTULO VIIMedidas de SeguridadARTCULO 30 II. Niveles de seguridad:

a) Bsico. El relativo a las medidas generales de seguridad cuya aplicacin es obligatoria para todos los sistemas de datos personales. 22CAPTULO VIIMedidas de SeguridadARTCULO 30 II. Niveles de seguridad:

a) Bsico. El relativo a las medidas generales de seguridad cuya aplicacin es obligatoria para todos los sistemas de datos personales.

b) Medio. Se refiere a la adopcin de medidas de seguridad cuya aplicacin corresponde a aquellos sistemas de datos relativos a la comisin de infracciones administrativas o penales, hacienda pblica, servicios financieros, datos patrimoniales, as como a los sistemas que contengan datos personales suficientes para obtener una evaluacin de la personalidad del individuo.23CAPTULO VIIMedidas de SeguridadARTCULO 30 II. Niveles de seguridad:

c) Alto. Corresponde a las medidas de seguridad aplicables a sistemas de datos concernientes a la ideologa, religin, creencias, afiliacin poltica, origen tnico, salud, biomtricos, genticos o vida sexual, as como los que contengan datos recabados para fines policiales, de seguridad, prevencin, investigacin y persecucin de delitos.24AltoIdeologaReliginCreenciasAfiliacin polticaOrigen tnicoSaludBiomtricosMedioComisin de infracciones administrativas o penales, hacienda pblica, servicios financieros, datos patrimoniales

BsicoNIVELESTodos los sistemas de datos personales

CAPTULO VIIMedidas de SeguridadARTCULO 30LDP 16ACTIVIDAD NO. 2

DEFINIR EL NIVEL DE SEGURIDAD APLICABLE A CADA UNO DE LOS SISTEMAS DE DATOS PERSONALESGenticos o vida sexualDatos recabados para fines policialesDe seguridad, Prevencin, investigacin y persecucin de delitos.25AltoBsicoNIVELESMEDIDASTodos los sistemas de datos personales

1. Documento de seguridad; 2. Funciones y obligaciones del personal que intervenga en el tratamiento de los sistemas de datos personales;3. Registro de incidencias;4. Identificacin y autentificacin;5. Control de acceso;6. Gestin de soportes;7. Copias de respaldo y recuperacin.CAPTULO VIIMedidas de SeguridadARTCULO 30LDP-16ACTIVIDAD NO. 326AltoBsicoNIVELESMEDIDASTodos los sistemas de datos personales

1. Documento de seguridad; 2. Funciones y obligaciones del personal que intervenga en el tratamiento de los sistemas de datos personales;3. Registro de incidencias;4. Identificacin y autentificacin;5. Control de acceso;6. Gestin de soportes;7. Copias de respaldo y recuperacin.CAPTULO VIIMedidas de SeguridadARTCULO 30Las funciones y obligaciones de todos los que intervengan en el tratamiento de datos personales deben estar claramente definidas en el documento de seguridad.

El responsable del sistema de datos personales adoptar las medidas necesarias para que el personal conozca las normas de seguridad que afecten al desarrollo de sus funciones, as como las responsabilidades y consecuencias en que pudiera incurrir en caso de incumplimiento.

27AltoBsicoNIVELESMEDIDASTodos los sistemas de datos personales

1. Documento de seguridad; 2. Funciones y obligaciones del personal que intervenga en el tratamiento de los sistemas de datos personales;3. Registro de incidencias;4. Identificacin y autentificacin;5. Control de acceso;6. Gestin de soportes;7. Copias de respaldo y recuperacin.CAPTULO VIIMedidas de SeguridadARTCULO 30Los procedimientos de notificacin gestin y respuesta ante incidencias contarn necesariamente con un registro en el que se haga constar:El tipo de incidencia.El momento en que se ha producido.La persona que realiza la notificacin.A quin se le comunica.Los efectos que se hubieran derivado de la misma.Las acciones implementadas.


1. Documento de seguridad; 2. Funciones y obligaciones del personal que intervenga en el tratamiento de los sistemas de datos personales;3. Registro de incidencias;4. Identificacin y autentificacin;5. Control de acceso;6. Gestin de soportes;7. Copias de respaldo y recuperacin.CAPTULO VIIMedidas de SeguridadARTCULO 30El responsable del sistema de datos personales tendr a su cargo la elaboracin de una relacin actualizada de servidores pblicos que tengan acceso autorizado al sistema y de establecer procedimientos que permitan la correcta identificacin y autenticacin para dicho acceso.Establecer un mecanismo que permita la identificacin, de forma inequvoca y personalizada, de toda aquella persona que intente acceder al sistema y la verificacin de que est autorizada.Cuando el mecanismo de autenticacin se base en la existencia de contraseas se establecer un procedimiento de asignacin, distribucin y almacenamiento que garantice su confidencialidad e integridad.Las contraseas se cambiarn con la periodicidad que se determine en el documento de seguridad y se conservarn cifradas.Se establecer un procedimiento de creacin y modificacin de contraseas (longitud, formato, contenido).29AltoBsicoNIVELESMEDIDASTodos los sistemas de datos personales

1. Documento de seguridad; 2. Funciones y obligaciones del personal que intervenga en el tratamiento de los sistemas de datos personales;3. Registro de incidencias;4. Identificacin y autentificacin;5. Control de acceso;6. Gestin de soportes;7. Copias de respaldo y recuperacin.CAPTULO VIIMedidas de SeguridadARTCULO 30El responsable del sistema de datos personales deber adoptar medidas para que los encargados del tratamiento de datos personales y usuarios tengan acceso autorizado nicamente a aquellos datos y recursos que precisen para el desarrollo de sus funciones.Deber mantener actualizada una relacin de personas autorizadas y los accesos autorizados para cada una de ellas. Asimismo, deber establecer los procedimientos para el uso de bitcoras respecto de las acciones cotidianas llevadas a cabo en el sistema de datos personales.Solamente el responsable del sistema de datos personales podr conceder, alterar o anular la autorizacin para el acceso a los sistemas de datos personales.


1. Documento de seguridad; 2. Funciones y obligaciones del personal que intervenga en el tratamiento de los sistemas de datos personales;3. Registro de incidencias;4. Identificacin y autentificacin;5. Control de acceso;6. Gestin de soportes;7. Copias de respaldo y recuperacin.CAPTULO VIIMedidas de SeguridadARTCULO 30Al almacenar los soportes fsicos y electrnicos que contengan datos de carcter personal se deber cuidar que estn etiquetados para permitir identificar el tipo de informacin que contienen, ser inventariados y slo podrn ser accesibles por el personal autorizado para ello en el documento de seguridad.La salida de soportes y documentos que contengan datos de carcter personal, fuera de las instalaciones u oficinas bajo el control del responsable del sistema de datos personales, deber ser autorizada por ste, o encontrarse debidamente autorizada en el documento de seguridad. En el traslado de soportes fsicos y electrnicos se adoptarn medidas dirigidas a evitar la sustraccin, prdida o acceso indebido a la informacin durante su transporte.Siempre que vaya a desecharse cualquier soporte que contenga datos de carcter personal deber procederse a su destruccin o borrado, mediante la adopcin de medidas dirigidas a evitar el acceso a la informacin contenida en el mismo o su recuperacin posterior.


1. Documento de seguridad; 2. Funciones y obligaciones del personal que intervenga en el tratamiento de los sistemas de datos personales;3. Registro de incidencias;4. Identificacin y autentificacin;5. Control de acceso;6. Gestin de soportes;7. Copias de respaldo y recuperacin.CAPTULO VIIMedidas de SeguridadARTCULO 30Debern establecerse procedimientos para la realizacin de copias de respaldo y su periodicidad. En caso de que los datos personales se encuentren en soporte fsico, se procurar que el respaldo se efecte mediante la digitalizacin de los documentos.Asimismo, para soportes electrnicos se establecern procedimientos para la recuperacin de los datos que garanticen en todo momento su reconstruccin en el estado en que se encontraban al tiempo de producirse la prdida involuntaria o destruccin accidental.El responsable del sistema de datos personales se encargar de verificar, al menos, cada seis meses la correcta definicin, funcionamiento y aplicacin de los procedimientos de realizacin de copias de respaldo y de recuperacin de los datos.


1. Documento de seguridad; 2. Funciones y obligaciones del personal que intervenga en el tratamiento de los sistemas de datos personales;3. Registro de incidencias;4. Identificacin y autentificacin;5. Control de acceso;6. Gestin de soportes;7. Copias de respaldo y recuperacin.CAPTULO VIIMedidas de SeguridadARTCULO 30LDP-16El responsable del sistema elaborar, difundir e implementar la normativa de seguridad mediante el documento.Ser de observancia obligatoria para todos los servidores pblicos del ente pblico, as como para toda aquella persona que debido a la prestacin de un servicio tenga acceso a los sistemas de datos personales y/o al sitio donde se ubican los mismos.

Deber contener, como mnimo:

Nombre del sistema;II. Cargo y adscripcin del responsable del sistema de datos personales;III. mbito de aplicacin;IV. Estructura y descripcin del sistema de datos personales;V. Especificacin detallada de la categora de datos personales contenidos en el sistema;VI. Funciones y obligaciones del personal que intervenga en el tratamiento de los sistemas de datos personales;VII. Medidas, normas, procedimientos y criterios enfocados a garantizar el nivel de seguridad.VIII. Procedimientos de notificacin, gestin y respuesta ante incidencias;IX. Procedimientos para la realizacin de copias de respaldo y recuperacin de los datos, para los sistemas automatizados;X. Procedimientos para la realizacin de auditoras, en su caso.El documento de seguridad deber actualizarse anualmente o cuando se produzcan cambios relevantes en el tratamiento, que puedan repercutir en el cumplimiento de las medidas de seguridad implantadas.

33MedioDatos relativos a la comisin de infracciones administrativas o penales, hacienda pblica, servicios financieros, datos patrimoniales

BsicoNIVELESMEDIDASTodos los sistemas de datos personales

1. Documento de seguridad; 2. Funciones y obligaciones del personal que intervenga en el tratamiento de los sistemas de datos personales;3. Registro de incidencias;4. Identificacin y autentificacin;5. Control de acceso;6. Gestin de soportes;7. Copias de respaldo y recuperacin.8. Responsable de seguridad;9. Auditora;10. Control de acceso fsico;11. Pruebas con datos reales.CAPTULO VIIMedidas de SeguridadARTCULO 30El responsable del sistema de datos personales designar uno o varios responsables de seguridad para coordinar y controlar las medidas definidas en el documento de seguridad. Esta designacin podr ser nica para todos los sistemas de datos en posesin del ente pblico, o diferenciada, dependiendo de los mtodos de organizacin y tratamiento de los mismos. En todo caso dicha circunstancia deber especificarse en el documento de seguridad.En ningn caso esta designacin supone una delegacin de las facultades y atribuciones que corresponden al responsable del sistema de datos personales de acuerdo con la Ley y los Lineamientos.



1. Documento de seguridad; 2. Funciones y obligaciones del personal que intervenga en el tratamiento de los sistemas de datos personales;3. Registro de incidencias;4. Identificacin y autentificacin;5. Control de acceso;6. Gestin de soportes;7. Copias de respaldo y recuperacin.8. Responsable de seguridad;9. Auditora;10. Control de acceso fsico;11. Pruebas con datos reales.CAPTULO VIIMedidas de SeguridadARTCULO 30Las medidas de seguridad implementadas para la proteccin de los sistemas de datos personales se sometern a una auditora interna o externa, mediante la que se verifique el cumplimiento de la Ley, de los Lineamientos y dems procedimientos vigentes en materia de seguridad de datos, al menos, cada dos aos. La auditora interna podr realizarse a travs del rgano de control interno del ente pblico.El informe de resultados de la auditora deber dictaminar sobre la adecuacin de las medidas de seguridad previstas en los Lineamientos, as como en las recomendaciones, que en su caso, haya emitido el Instituto. Adems, deber identificar sus deficiencias y proponer las medidas preventivas, correctivas o complementarias necesarias.El informe de auditora deber ser comunicado por el responsable del sistema de datos personales al Instituto dentro de los veinte das hbiles siguientes a su emisin. Asimismo, se deber informar al Instituto de la adopcin de las medidas correctivas derivadas de la auditora en el plazo referido, a partir de que stas hayan sido atendidas.35MedioDatos relativos a la comisin de infracciones administrativas o penales, hacienda pblica, servicios financieros, datos patrimoniales


1. Documento de seguridad; 2. Funciones y obligaciones del personal que intervenga en el tratamiento de los sistemas de datos personales;3. Registro de incidencias;4. Identificacin y autentificacin;5. Control de acceso;6. Gestin de soportes;7. Copias de respaldo y recuperacin.8. Responsable de seguridad;9. Auditora;10. Control de acceso fsico;11. Pruebas con datos reales.CAPTULO VIIMedidas de SeguridadARTCULO 30El acceso a las instalaciones donde se encuentren los sistemas de datos personales, ya sea en soporte fsico o electrnico, deber permitirse exclusivamente a quienes estn expresamente autorizados en el documento de seguridad.



1. Documento de seguridad; 2. Funciones y obligaciones del personal que intervenga en el tratamiento de los sistemas de datos personales;3. Registro de incidencias;4. Identificacin y autentificacin;5. Control de acceso;6. Gestin de soportes;7. Copias de respaldo y recuperacin.8. Responsable de seguridad;9. Auditora;10. Control de acceso fsico;11. Pruebas con datos reales.CAPTULO VIIMedidas de SeguridadARTCULO 30Las pruebas que se lleven a cabo con efecto de verificar la correcta aplicacin y funcionamiento de los procedimientos para la obtencin de copias de respaldo y de recuperacin de los datos, anteriores a la implantacin o modificacin de los sistemas informticos que traten sistemas de datos personales, no se realizarn con datos reales, salvo que se asegure el nivel de seguridad correspondiente al tipo de datos tratados. Si se realizan pruebas con datos reales, se elaborar con anterioridad una copia de respaldo.

37AltoDatos concernientes a la ideologa, religin, creencias, afiliacin poltica, origen tnico, salud, biomtricos, genticos o vida sexual, as como los que contengan datos recabados para fines policiales, de seguridad, prevencin, investigacin y persecucin de delitos.MedioDatos relativos a la comisin de infracciones administrativas o penales, hacienda pblica, servicios financieros, datos patrimoniales


1. Documento de seguridad; 2. Funciones y obligaciones del personal que intervenga en el tratamiento de los sistemas de datos personales;3. Registro de incidencias;4. Identificacin y autentificacin;5. Control de acceso;6. Gestin de soportes;7. Copias de respaldo y recuperacin.8. Responsable de seguridad;9. Auditora;10. Control de acceso fsico;11. Pruebas con datos reales.12. Distribucin de soportes;13. Registro de acceso; y14. Telecomunicaciones.CAPTULO VIIMedidas de SeguridadARTCULO 30La distribucin de los soportes que contengan datos de carcter personal se realizar cifrando dichos datos, o bien utilizando cualquier otro mecanismo que garantice que dicha informacin no sea inteligible ni manipulada durante su traslado o transmisin.



1. Documento de seguridad; 2. Funciones y obligaciones del personal que intervenga en el tratamiento de los sistemas de datos personales;3. Registro de incidencias;4. Identificacin y autentificacin;5. Control de acceso;6. Gestin de soportes;7. Copias de respaldo y recuperacin.8. Responsable de seguridad;9. Auditora;10. Control de acceso fsico;11. Pruebas con datos reales.12. Distribucin de soportes;13. Registro de acceso; y14. Telecomunicaciones.CAPTULO VIIMedidas de SeguridadARTCULO 30El acceso a los sistemas de datos personales se limitar exclusivamente al personal autorizado, estableciendo mecanismos que permitan identificar los accesos realizados en el caso en que los sistemas puedan ser utilizados por mltiples autorizados.Los mecanismos que permiten el registro de accesos estarn bajo el control directo del responsable de seguridad correspondiente, sin que se permita la desactivacin o manipulacin de los mismos.De cada acceso se guardarn:La identificacin del usuario.La fecha y hora en que se realiz.El sistema accedido.El tipo de acceso y si ste fue autorizado o denegado.El periodo de conservacin de los datos consignados en el registro de acceso ser de, al menos, dos aos.



1. Documento de seguridad; 2. Funciones y obligaciones del personal que intervenga en el tratamiento de los sistemas de datos personales;3. Registro de incidencias;4. Identificacin y autentificacin;5. Control de acceso;6. Gestin de soportes;7. Copias de respaldo y recuperacin.8. Responsable de seguridad;9. Auditora;10. Control de acceso fsico;11. Pruebas con datos reales.12. Distribucin de soportes;13. Registro de acceso; y14. Telecomunicaciones.CAPTULO VIIMedidas de SeguridadARTCULO 30La transmisin de datos de carcter personal a travs de redes pblicas o redes inalmbricas de comunicaciones electrnicas se realizar cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que la informacin no sea inteligible ni manipulable por terceros.



1. Documento de seguridad; 2. Funciones y obligaciones del personal que intervenga en el tratamiento de los sistemas de datos personales;3. Registro de incidencias;4. Identificacin y autentificacin;5. Control de acceso;6. Gestin de soportes;7. Copias de respaldo y recuperacin.8. Responsable de seguridad;9. Auditora;10. Control de acceso fsico;11. Pruebas con datos reales.12. Distribucin de soportes;13. Registro de acceso; y14. Telecomunicaciones.CAPTULO VIIMedidas de SeguridadARTCULO 3041CAPTULO VIIMedidas de Seguridad

Artculo 31. Las medidas de seguridad de los datos personales tratados en bases de datos almacenadas o soportadas en sistemas informticos debern ser analizadas y establecidas por medio del Comit de Informacin de Acceso Restringido a que se refiere el artculo 13 de la Ley de Transparencia y Acceso a la Informacin Pblica para el Estado, que se constituir como el Comit para la Seguridad Informtica de los Datos Personales.42CAPTULO VIIMedidas de Seguridad Artculo 32. El responsable del rea informtica de cada ente pblico deber integrarse de manera obligatoria al Comit para la Seguridad Informtica de los Datos Personales, el que deber:43Plan de ContingenciaInformtico para lapreservacinde la InformacinArtculo 32Sistema de Gestin de la Seguridad de la InformacinCAPTULO VIIMedidas de Seguridad

Artculo 33. Las medidas de seguridad a las que se refiere el presente Captulo constituyen mnimos exigibles, por lo que el ente pblico adoptar las medidas adicionales que estime necesariasPor la naturaleza de la informacin, las medidas de seguridad que se adopten sern consideradas confidenciales y nicamente se comunicar al Instituto, para su registro, el nivel de seguridad aplicable.Los entes pblicos podrn hacer referencia a estndares, normas, marcos de referencia y buenas prcticas estatales, nacionales e internacionales45CAPTULO VIIMedidas de SeguridadArtculo 33

Manual Administrativo de Aplicacin General en las materias de Tecnologas de la Informacin y Comunicaciones y de Seguridad de la InformacinISO/IEC 27001 ISO/IEC 27005 46TTULO QUINTOResponsabilidades y SancionesCAPTULO IDe las Infracciones

Artculo 60. Constituyen infracciones a la presente Ley:IV. Crear sistema de datos de carcter personal, sin la publicacin previa en la Gaceta Oficial del estado; 300-1000dsmVI. Incumplir los principios y garantas previstos por la presente Ley ; 300-1000dsmVII. Transgredir las medidas de proteccin y confidencialidad a las que se refiere la presente Ley; 300-1,000dsmIX. Omitir o presentar de manera extempornea los informes a que se refiere la presente Ley; 300-1,000dsmXII. Impedir u obstaculizar la inspeccin ordenada por el Instituto o su instruccin de bloqueo de sistemas de datos personales; 1,000 10,000dsmXIII. Destruir, alterar, ceder datos personales, archivos o sistemas de datos personales sin autorizacin; 1,000 10,000dsmXV. El incumplimiento de cualquiera de las disposiciones contenidas en esta Ley. 1,000 10,000dsm47Registro Electrnico de Sistemas de Datos Personales-VeracruzMarco JurdicoLey 581 para la Tutela de datos personales del estado de Veracruz (G.O. No. Ext 338 de 2 de octubre de 2012)

Lineamientos para la tutela de datos personales en el estado de Veracruz (G.O. No. Ext. 128 de 4 de abril de 2013)

TTULO SEGUNDOSistemas de Datos PersonalesCAPTULO IDisposiciones GeneralesArtculo 13. Los sistemas de datos personales en posesin de los entes pblicos debern inscribirse en el registro que al efecto habilite el Instituto.

El registro deber comprender como mnimo la informacin siguiente:50TTULO SEGUNDOSistemas de Datos PersonalesCAPTULO IDisposiciones GeneralesArtculo 13I. Naturaleza de la informacin y su registro;II. Objetivos para los cuales se utiliza la informacin;III. Medidas que deben tomarse si se desea tener acceso al expediente;IV. Finalidad y periodo para el que se mantiene cada tipo de registro;V. Personas que tienen derecho de acceso a la informacin personal contenida en los registros y las condiciones para este derecho;VI. Nombre, correo electrnico, direccin, telfono y cargo del responsable, as como nombre de los usuarios;VII. Forma de recopilacin y actualizacin de datos;VIII. Destino de los datos y personas fsicas o morales a lasque pueden ser transmitidos;IX. Modo de interrelacionar la informacin registrada;X. Fecha de publicacin en la Gaceta Oficial del estado;XI. Normatividad aplicable al sistema, yXII. Medidas de seguridad.

51DefinicinRegistro Electrnico de Sistemas de Datos Personales-Veracruz: Aplicacin informtica desarrollada por el Instituto para la inscripcin y/o registro de los sistemas de datos personales en posesin de los entes pblicos;

RolesAdministrador General

Responsable de los Sistemas de Datos Personales (Administrador del Ente Pblico)

Responsable del Sistema de Datos PersonalesDireccin de Datos Personales del IVAI

Titular de la Unidad de Acceso a la Informacin

Titular persona fsica de la instancia responsable

REGISTRO ELECTRNICO DE SISTEMAS DE DATOS PERSONALES-VERACRUZ

www.verivai.org.mx







Responsable del Sistema de Datos Personales

Responsable del Sistema de Datos Personales

?????

FSICOAUTOMATIZADO

?????

FSICOAUTOMATIZADOSe refiere al origen de los datos personales, el grupo de interesadossobre los que se pretende obtener datos de carcter personal o queresulten obligados a suministrarlos, as como los datos personalesde cada categora de datos personales (establecida en lineamiento 5)

OK

?????

FSICOAUTOMATIZADO

FSICOAUTOMATIZADO

FSICOAUTOMATIZADO

FSICOAUTOMATIZADO

FSICOAUTOMATIZADO

?????Se refiera al fin, propsito o intensincon la que se recaban los datos personales. ?Cargo y/o Requerimientos:

?????

?Cargo y/o Requerimientos:

???Se refiere a las normas y/o procedimientosestablecidos por el ente pblico. Cargo y/o Requerimientos:

???

Se refiere al lapso durante el cual se conservarcada tipo de registro del sistema de datos personalesy la finalidad es el cumplimiento de la norma que obligaa la conservacin temporal o permanente de la informacin. Cargo y/o Requerimientos:

???

Se refiere al personal autorizado del entepblico y a los requisitos o requerimientospara el manejo o tratamiento de los datospersonales. Cargo y/o Requerimientos:

??USUARIO: Aquel autorizado por el entepblico para prestarle servicios para eltratamiento de datos personales(Ley 581; Art. 6; XVI)

??

?????

?????

Se refiere a la utilidad, inters u objeto para el que se requierela informacin y los nombres de las personas, dependenciaso entidades pblicas a las que pueden ser transmitidos.

?????

???Se refiere a las distintas reas o departamentos del entepblico que se comunican o participan entre s la mismainformacin, para su utilizacin y aprovechamiento.

?????

???

???

???

ACTIVIDAD NO. 4L.I. JORGE ARTURO GLORIA CARRALESDIRECTOR DE SISTEMA INFORMTICOS

[email protected]: (228) 8420270 ext 213 www.verivai.org.mx/datospersonales

LEY NÚMERO 581 PARA LA TUTELA DE LOS DATOS PERSONALES EN EL ESTADO DE VERACRUZ DE

Documents

Transcript of LEY NÚMERO 581 PARA LA TUTELA DE LOS DATOS PERSONALES EN EL ESTADO DE VERACRUZ DE