Ministerio de Industria, Comercio y Turismo - Industria y PYME
Protección de Datos Personales para la industria, comercio y servicios
-
Upload
nyce -
Category
Data & Analytics
-
view
727 -
download
3
Transcript of Protección de Datos Personales para la industria, comercio y servicios
![Page 1: Protección de Datos Personales para la industria, comercio y servicios](https://reader034.fdocuments.es/reader034/viewer/2022051706/58efcf011a28ab885b8b45dd/html5/thumbnails/1.jpg)
La protección de los datos personales en la industria, comercio y servicios
M.A. Miriam PADILLA
![Page 2: Protección de Datos Personales para la industria, comercio y servicios](https://reader034.fdocuments.es/reader034/viewer/2022051706/58efcf011a28ab885b8b45dd/html5/thumbnails/2.jpg)
Por qué la protección de datos personales
![Page 3: Protección de Datos Personales para la industria, comercio y servicios](https://reader034.fdocuments.es/reader034/viewer/2022051706/58efcf011a28ab885b8b45dd/html5/thumbnails/3.jpg)
Marco legal y normativo
Ley Federal de Protección de Datos Personales en Posesión de los Particulares (Ley)
Reglamento de la LFPDPPP (Reglamento)
Lineamientos del aviso de privacidad (lineamientos)
Recomendaciones de Seguridad
(recomendaciones)
Recomendaciones para la designación de
la persona o Departamento de Datos Personales
Guía para implementar un
SGSDP
Parámetros de autorregulación en
materia de protección de datos personales
Guía para cumplir con los principios y deberes de la
LFPDPPP
![Page 4: Protección de Datos Personales para la industria, comercio y servicios](https://reader034.fdocuments.es/reader034/viewer/2022051706/58efcf011a28ab885b8b45dd/html5/thumbnails/4.jpg)
La LFPDPPP
“Artículo 1.- La presente Ley es de orden público y de observancia general
en toda la República y tiene por objeto la protección de los datos
personales en posesión de los particulares, con la finalidad de
regular su tratamiento legítimo, controlado e informado, a
efecto de garantizar la privacidad y el derecho a la
autodeterminación informativa de las personas.”
De la
Ley
![Page 5: Protección de Datos Personales para la industria, comercio y servicios](https://reader034.fdocuments.es/reader034/viewer/2022051706/58efcf011a28ab885b8b45dd/html5/thumbnails/5.jpg)
Aviso de privacidad
Procedimientos para atención
de derechos ARCODesignación
de responsable
o departamento
al interior
Políticas de Seguridad y
protección de datos
Convenios de confidencialidad
y contratos
Inventario de
Datos personales y
sistemas de tratamiento
Identificación de personas que tratan los datos, privilegios, roles y
responsabilidades
Análisis de riesgos
Análisis de brecha
Datos
Identificar
Finalidades
¿Para qué?
Tratamientos
¿Qué voy a hacer con ellos?
Consentimiento
Tácito - Expreso
Evidencia
Privilegios de
Acceso y transferencias
Internos Externos
Capacitar al
personal
involucrado
Acciones y procedimientos
en caso de vulneración
Medidas de seguridad Administrativas Medidas de seguridad Físicas Medidas de seguridad Técnicas
Lo mínimo ….
![Page 6: Protección de Datos Personales para la industria, comercio y servicios](https://reader034.fdocuments.es/reader034/viewer/2022051706/58efcf011a28ab885b8b45dd/html5/thumbnails/6.jpg)
1.Política de datos personales
![Page 7: Protección de Datos Personales para la industria, comercio y servicios](https://reader034.fdocuments.es/reader034/viewer/2022051706/58efcf011a28ab885b8b45dd/html5/thumbnails/7.jpg)
2. Designación responsable al interior de la protección de datos personales
![Page 8: Protección de Datos Personales para la industria, comercio y servicios](https://reader034.fdocuments.es/reader034/viewer/2022051706/58efcf011a28ab885b8b45dd/html5/thumbnails/8.jpg)
3. Inventario de datos personales
![Page 9: Protección de Datos Personales para la industria, comercio y servicios](https://reader034.fdocuments.es/reader034/viewer/2022051706/58efcf011a28ab885b8b45dd/html5/thumbnails/9.jpg)
Identifica el tipo de titulares
Clientes
Proveedores
Empleados
Candidatos
Menores
![Page 10: Protección de Datos Personales para la industria, comercio y servicios](https://reader034.fdocuments.es/reader034/viewer/2022051706/58efcf011a28ab885b8b45dd/html5/thumbnails/10.jpg)
¿Tu organización que tipo datospersonales trata ?
Identificación y contactoPatrimoniales / FinancierosVozUbicaciónSensibles
Identificación y contactoPatrimoniales / FinancierosUbicación
Identificación y contactoPatrimoniales / FinancierosUbicación
Identificación y contactoPatrimoniales / FinancierosSensiblesFotografíaHuella digitalIdentificación y contacto
Patrimoniales / financieros
AGENCIAS DE VIAJES
ENTRETENIMIENTO
TIENDAS DEPARTAMENTALES
CLUBES DEPORTIVOS
CALL CENTERS
![Page 11: Protección de Datos Personales para la industria, comercio y servicios](https://reader034.fdocuments.es/reader034/viewer/2022051706/58efcf011a28ab885b8b45dd/html5/thumbnails/11.jpg)
€
£
฿¥
$
¿Cuánto valen esos datos personales?
Pasaportes reales
escaneados
1 a 2 US
Cuentas de juegos en Internet12 a 3,500 US
Tarjetas de crédito
robadas
50 centavos- 20 US
1,000 cuentas de correos electrónicos
10 US
1,000 seguidores2 a 12 US
Enviar spam
70 a 150 US
Género2.9 US
Nombre3.9 US
Localización GPS16 US
No. Teléfono5.9 US
Historial de compra
20 US
Historial de crédito
30 US
Passwords76 US
Fuente:Ponemon Institute, Privacy and Security in a Connected Life, Marzo 2015 http://goo.gl/C5pj89
¿Cuánto cuestan los datos robados y servicios de ataque en el mercado clandestino?Symantec http://goo.gl/e41bec
![Page 12: Protección de Datos Personales para la industria, comercio y servicios](https://reader034.fdocuments.es/reader034/viewer/2022051706/58efcf011a28ab885b8b45dd/html5/thumbnails/12.jpg)
Sensibilidad de los datos
Ubicación en conjunto con financieros, patrimoniales
Información adicional de cuentas bancarias (CVV, dirección,
fecha de vencimiento, nombre del titular)
Titulares de alto riesgo (mayor impacto por extorsión,
reputación o beneficio económico para un tercero)
Salud (antecedentes e historial clínico, tratamientos,
enfermedades)
Religión, origen racial, filiación política
Ubicación
Financieros y Patrimoniales (cuentas bancarias, transacciones,
montos, propiedades y bienes inmuebles)
Validación (nombres de usuario y contraseñas, firma
electrónica
Antecedentes
Identificación
![Page 13: Protección de Datos Personales para la industria, comercio y servicios](https://reader034.fdocuments.es/reader034/viewer/2022051706/58efcf011a28ab885b8b45dd/html5/thumbnails/13.jpg)
¿A quién debo involucrar en mi organización?
Organización
RH
MKT
LegalFinanzas
Operaciones
Sistemas
![Page 14: Protección de Datos Personales para la industria, comercio y servicios](https://reader034.fdocuments.es/reader034/viewer/2022051706/58efcf011a28ab885b8b45dd/html5/thumbnails/14.jpg)
Ciclo de vida de los datos personales
Obtención
Uso•Acceso
•Monitoreo
•Procesamiento
Divulgación
•Transferencia
Almacenamiento
• Respaldo
Bloqueo
Cancelación / Supresión
•Destrucción
¿Cómo?
![Page 15: Protección de Datos Personales para la industria, comercio y servicios](https://reader034.fdocuments.es/reader034/viewer/2022051706/58efcf011a28ab885b8b45dd/html5/thumbnails/15.jpg)
4. Tratamiento de DP por Internos / Externos
![Page 16: Protección de Datos Personales para la industria, comercio y servicios](https://reader034.fdocuments.es/reader034/viewer/2022051706/58efcf011a28ab885b8b45dd/html5/thumbnails/16.jpg)
Convenios de confidencialidad y contratos con terceros
![Page 17: Protección de Datos Personales para la industria, comercio y servicios](https://reader034.fdocuments.es/reader034/viewer/2022051706/58efcf011a28ab885b8b45dd/html5/thumbnails/17.jpg)
5.Análisis de riesgos y Análisis de brecha
![Page 18: Protección de Datos Personales para la industria, comercio y servicios](https://reader034.fdocuments.es/reader034/viewer/2022051706/58efcf011a28ab885b8b45dd/html5/thumbnails/18.jpg)
La clave
Análisis de riesgos
Medio Alto
Bajo Medio
• El valor de los datos personales para lostitulares.
• La exposición de los activos involucradoscon los datos personales
• El valor potencial para un atacante otercera persona no autorizada para laposesión de los datos personales
• La trazabilidad y posibilidad deidentificar quién tuvo acceso a los datospersonales.
![Page 19: Protección de Datos Personales para la industria, comercio y servicios](https://reader034.fdocuments.es/reader034/viewer/2022051706/58efcf011a28ab885b8b45dd/html5/thumbnails/19.jpg)
Medidas de seguridad documentadasN
ivel
de
imp
lem
enta
ció
n
Quieres /Debes estar aquí
Actualmente estás aquí
El análisis de brechapermite Identificar elnivel de cumplimientode una organizacióncon respecto a losrequerimientosestablecidos en laLFPDPPP y suReglamento.
Análisis de brecha
El análisis de brecha permitirá identificar la diferencia de las medidas de seguridad existentes y aquéllas faltantes
![Page 20: Protección de Datos Personales para la industria, comercio y servicios](https://reader034.fdocuments.es/reader034/viewer/2022051706/58efcf011a28ab885b8b45dd/html5/thumbnails/20.jpg)
6.Medidas de seguridad
Sistema de Gestión de Seguridad de Datos Personales
Políticas del SGSDP
Estructura Org. De la seguridad
Clasificación y acceso a activos
Seguridad del personal
Seguridad física y ambiental
Gestión de comunicaciones y
operaciones
Desarrollo y mantenimiento de
sistemas
Cumplimiento legalVulneraciones de Seguridad
Control de acceso
![Page 21: Protección de Datos Personales para la industria, comercio y servicios](https://reader034.fdocuments.es/reader034/viewer/2022051706/58efcf011a28ab885b8b45dd/html5/thumbnails/21.jpg)
La LFPDPPP en su Art. 19 establece que:
“Todo responsable que lleve a cabo tratamiento de datos personales
deberá establecer y mantener medidas de seguridad
administrativas, técnicas y físicas que permitan proteger los datos
personales contra daño, pérdida, alteración, destrucción o el uso, acceso o
tratamiento no autorizado.
Los responsables no adoptarán medidas de seguridad menores
a aquéllas que mantengan para el manejo de su
información. Asimismo se tomará en cuenta el riesgo existente, las
posibles consecuencias para los titulares, la sensibilidad de
los datos y el desarrollo tecnológico.”
De la
Ley
![Page 22: Protección de Datos Personales para la industria, comercio y servicios](https://reader034.fdocuments.es/reader034/viewer/2022051706/58efcf011a28ab885b8b45dd/html5/thumbnails/22.jpg)
7. Procedimientos en caso de vulneración
![Page 23: Protección de Datos Personales para la industria, comercio y servicios](https://reader034.fdocuments.es/reader034/viewer/2022051706/58efcf011a28ab885b8b45dd/html5/thumbnails/23.jpg)
Robo, extravío o copia no autorizada
Pérdida o destrucción no autorizada
Uso, acceso o tratamiento no
autorizado
Daño, la alteración o modificación no
autorizada
Vulneraciones
Pérdida de la disponibilidad
Re
glam
ento
LFP
DP
PP
Art
ícu
lo 6
3.
Pé
rdid
a d
e la
con
fid
en
cial
idad
Pérdida de la integridad
Vulneraciones
![Page 24: Protección de Datos Personales para la industria, comercio y servicios](https://reader034.fdocuments.es/reader034/viewer/2022051706/58efcf011a28ab885b8b45dd/html5/thumbnails/24.jpg)
Notificación de vulneraciones de seguridad
1 La naturaleza de la vulneración
2 Los datos personales comprometidos
3Recomendaciones al titular para
proteger sus intereses
4Las acciones correctivas realizadas de
forma inmediata
5Los medios donde se puede obtener
más información al respecto
Deberá informarse a los titulares involucrados en la vulneración:
Art
ícu
lo 6
5 d
el R
egl
ame
nto
d
e la
LFP
DP
PP
![Page 25: Protección de Datos Personales para la industria, comercio y servicios](https://reader034.fdocuments.es/reader034/viewer/2022051706/58efcf011a28ab885b8b45dd/html5/thumbnails/25.jpg)
8. Capacitación y concientización
![Page 26: Protección de Datos Personales para la industria, comercio y servicios](https://reader034.fdocuments.es/reader034/viewer/2022051706/58efcf011a28ab885b8b45dd/html5/thumbnails/26.jpg)
9. Derechos ARCO
Acceso Rectificación
Cancelación Oposición
![Page 27: Protección de Datos Personales para la industria, comercio y servicios](https://reader034.fdocuments.es/reader034/viewer/2022051706/58efcf011a28ab885b8b45dd/html5/thumbnails/27.jpg)
Derechos ARCOD
erec
ho
s ar
co Acceso
Rectificación
Cancelación
Oposición0 10 20 30 40 50 60 70 80 90
Acceso
Rectificación
Cancelación
Oposición
Derechos ARCO reclamados 2013-2014
2014 2013
Fuente: Elaboración propia con información de Informe de labores 2014,INAI
![Page 28: Protección de Datos Personales para la industria, comercio y servicios](https://reader034.fdocuments.es/reader034/viewer/2022051706/58efcf011a28ab885b8b45dd/html5/thumbnails/28.jpg)
12. Avisos de privacidad
![Page 29: Protección de Datos Personales para la industria, comercio y servicios](https://reader034.fdocuments.es/reader034/viewer/2022051706/58efcf011a28ab885b8b45dd/html5/thumbnails/29.jpg)
29
El Aviso de Privacidad debe contener (como mínimo):
Datos del responsable
Las finalidades del tratamiento de datos (y si se recaban o no datos sensibles)
Las opciones y medios para limitar el uso o divulgación de los datos
Los medios para ejercer los derechos ARCO
En su caso, las transferencias de datos que se efectúen
El procedimiento y medio por el cual el responsable comunicará a los titulares los cambios al aviso de privacidad
Estructura
![Page 30: Protección de Datos Personales para la industria, comercio y servicios](https://reader034.fdocuments.es/reader034/viewer/2022051706/58efcf011a28ab885b8b45dd/html5/thumbnails/30.jpg)
Infracciones y sancionesIn
cum
plir
so
licit
ud
es A
RC
O
100-160mil DSMGVDF• Negligencia o dolo en trámites
ARCO• Declarar dolosamente
inexistencia• Incumplimiento de principios
de Ley• Omisiones en aviso de
privacidad• Datos inexactos• Incumplimiento de
apercibimiento
ApercibimientoR
ein
cid
enci
a
Las sanciones pueden duplicarse en caso de
Datos Sensibles
Delitos:
• 3 meses a 3 años de prisión – con ánimo de lucro, vulnerar seguridad a bases de datos
• 6 meses a 5 años de prisión – con ánimo de lucro indebido, tratar datos personales mediante engaño o error
200-320mil DSMGVDF• Incumplimiento de deber de
confidencialidad• Uso desapegado a la finalidad marcada
en Aviso• Transferir datos sin comunicar aviso de
privacidad• Vulneración a la seguridad• Transferir sin consentimiento del titular• Obstruir verificación de autoridad• Transferencia o cesión en contra de Ley• Recabar datos en forma engañosa o
fraudulenta• Uso ilegítimo de datos en caso de
solicitud de cese• Impedir ejercicio derechos ARCO• No justificar tratamiento de datos
sensibles
El INAI considerará:Naturaleza del dato (sensibles, financieros y patrimoniales)Negativa injustificada del Responsable a solicitudes del TitularIntencionalidad en la infracciónCapacidad económicaReincidencia
LFPD
PP
P C
apítu
lo X
y XI A
rtículo
63
al 69
![Page 31: Protección de Datos Personales para la industria, comercio y servicios](https://reader034.fdocuments.es/reader034/viewer/2022051706/58efcf011a28ab885b8b45dd/html5/thumbnails/31.jpg)
CERTIFICACIÓN
Política de DP
Responsable al interior
Inventario de DP
Roles y responsabilidades
Terceros
Análisis de Riesgos y Brecha
Medidas de Seguridad
Acciones en caso de vulneración
Capacitación
Derechos ARCO
Avisos de privacidad
Todo camino, por más largo que sea,
comienza por un pequeño paso …
![Page 32: Protección de Datos Personales para la industria, comercio y servicios](https://reader034.fdocuments.es/reader034/viewer/2022051706/58efcf011a28ab885b8b45dd/html5/thumbnails/32.jpg)
RLFPDPPP
21 Diciembre 2011
Artículos 47, 79-86,
LFPDPPP
5 Julio 2010
Artículo 44
Parámetros de Autorregulación en Materia de Datos
Personales
29 Mayo 2014
Artículos 13-37,
Esquema de autorregulación vinculante o esquema: Conjunto de
principios, normas y procedimientos, de adopción voluntaria y cumplimiento vinculante, que tiene como finalidad regular el comportamiento de los
responsables y encargados respecto a los tratamientos de datos personales que lleven a cabo
Mar
co L
egal
Esquema de Autorregulación Vinculante
![Page 33: Protección de Datos Personales para la industria, comercio y servicios](https://reader034.fdocuments.es/reader034/viewer/2022051706/58efcf011a28ab885b8b45dd/html5/thumbnails/33.jpg)
Autoridad
INAI
Autorregulación mediante políticas y procedimientos
internos
REGISTRADA ANTE EL INAI
Autorregulación certificada por un tercero
ACREDITADA ANTE ENTIDAD COMPETENTE
ACREDITADOR
ema
Certificador
NYCE
ResponsableResponsableResponsable
Autorregulación
Autorregulación Vinculante
![Page 34: Protección de Datos Personales para la industria, comercio y servicios](https://reader034.fdocuments.es/reader034/viewer/2022051706/58efcf011a28ab885b8b45dd/html5/thumbnails/34.jpg)
El Instituto comenta …
![Page 35: Protección de Datos Personales para la industria, comercio y servicios](https://reader034.fdocuments.es/reader034/viewer/2022051706/58efcf011a28ab885b8b45dd/html5/thumbnails/35.jpg)
Requisitos certificación
LFPDPPP RLFPDPPP Lineamiento Aviso de
Privacidad Medidas compensatorias
EAV-Parámetros de AutorregulaciónArtículos 14-37
![Page 36: Protección de Datos Personales para la industria, comercio y servicios](https://reader034.fdocuments.es/reader034/viewer/2022051706/58efcf011a28ab885b8b45dd/html5/thumbnails/36.jpg)
Micro-Pequeñas y Medianas empresas
Medianas y grandes empresas
Documentos de apoyo
![Page 37: Protección de Datos Personales para la industria, comercio y servicios](https://reader034.fdocuments.es/reader034/viewer/2022051706/58efcf011a28ab885b8b45dd/html5/thumbnails/37.jpg)
Sistema de Gestión de Datos Personales
![Page 38: Protección de Datos Personales para la industria, comercio y servicios](https://reader034.fdocuments.es/reader034/viewer/2022051706/58efcf011a28ab885b8b45dd/html5/thumbnails/38.jpg)
Fin
anci
ero
Salu
d
Edu
caci
ón
Ind
ust
ria
Co
me
rcio
y s
erv
icio
s
Tele
com
un
icac
ion
es
Cám
aras
y
aso
ciac
ion
es
Call centers y contact centers
Agencias de viajes
Tiendas departamentales
Clubes deportivos
Entretenimiento
Hospitales
Clínicas
Cadenas de farmacias
Laboratorios
Servicios funerarios
Bancos
Seguros
Afores
Casas de bolsa
Escuelas
Universidades
Centros de capacitación
Centros de Idiomas
ISP
Telefonía
Servicios de suscripción
Para todos los sectores
![Page 39: Protección de Datos Personales para la industria, comercio y servicios](https://reader034.fdocuments.es/reader034/viewer/2022051706/58efcf011a28ab885b8b45dd/html5/thumbnails/39.jpg)
Beneficios
Confianza de parte de los consumidores de productos o servicios
Prestigio al ostentar una certificación con validez internacional
Apego a estándares y normas internacionales
Adopción voluntaria del esquema
Atenuación de sanciones
Demostración de cumplimiento ante la autoridad
![Page 40: Protección de Datos Personales para la industria, comercio y servicios](https://reader034.fdocuments.es/reader034/viewer/2022051706/58efcf011a28ab885b8b45dd/html5/thumbnails/40.jpg)
Proceso de certificación
CERTIFICADO
(VIGENCIA DE 2 AÑOS)
SOLICITUD DE CERTIFICACIÓN
ACCIONES
CORRECTIVAS
SON
ADECUADAS?
EVALUACIÓN, ACUERDOS Y DECISIÓN
SOBRE LA CERTIFICACIÓN
ANÁLISIS DE LOS RESULTADOS DE LA AUDITORÍA
COMISIÓN TÉCNICA DE CERTIFICACIÓN
REVISIÓN
DOCUMENTAL
NO
NOSI
RENOVACIÓN DE LACERTIFICACIÓN
AUDITORIAS DE VIGILANCIA
REVISIÓN EN SITIO
INFORME
AUDITORIA DE CERTIFICACIÓN
NO
CONFORMIDADES
SI
INFORME
![Page 41: Protección de Datos Personales para la industria, comercio y servicios](https://reader034.fdocuments.es/reader034/viewer/2022051706/58efcf011a28ab885b8b45dd/html5/thumbnails/41.jpg)
Servicios disponibles
![Page 42: Protección de Datos Personales para la industria, comercio y servicios](https://reader034.fdocuments.es/reader034/viewer/2022051706/58efcf011a28ab885b8b45dd/html5/thumbnails/42.jpg)
Tipos de certificación
![Page 43: Protección de Datos Personales para la industria, comercio y servicios](https://reader034.fdocuments.es/reader034/viewer/2022051706/58efcf011a28ab885b8b45dd/html5/thumbnails/43.jpg)
Staff operativo
M.A. Miriam PADILLA ESPINOSASubgerente de Certificación de Protección de
Datos PersonalesNormalización y Certificación Electrónica S.C.
1204 5191 ext 417
Katia MORALES LUQUEAnalista de Certificación de Protección de
Datos PersonalesNormalización y Certificación Electrónica S.C.
1204 5191 ext 418
@Ing_Mili
GRACIAS
![Page 44: Protección de Datos Personales para la industria, comercio y servicios](https://reader034.fdocuments.es/reader034/viewer/2022051706/58efcf011a28ab885b8b45dd/html5/thumbnails/44.jpg)
Staff ventas
Nelly FRANCO ROMEROCoordinadora de Ventas
Normalización y Certificación Electrónica S.C.1204 5191 ext 446
Nancy MOSCAIRA PALOMINOEjecutivo de ventas
Normalización y Certificación Electrónica S.C.1204 5191 ext 404