Autorregulacion- Proteccion de Datos

Report
Ley Federal de Protección de Datos
Personales en Posesión de los
Particulares
Elementos de la Ley y el anteproyecto
de Reglamento
¿Quién protege tus datos personales
por Internet?
Dirección General de Comercio Interior y Economía Digital
Subsecretaría de Industria y Comercio
Secretaría de Economía
Agenda
Agenda
1. Contexto México
2. Características generales de la Ley y el Anteproyecto de
Reglamento
3. Aviso de Privacidad
4. Autorregulación Vinculante
5. Equilibrio entre la protección del derecho fundamental y la
práctica comercial
6. Las consideraciones sobre privacidad y el entorno digital
7. Consideraciones finales
Contexto para México
Perfil de México
 11° país más
poblado
del
mundo y el 1°
entre
las
naciones
de
habla hispana
 Más de 112
millones
de
habitantes
 5.1 millones

unidades
económicas

 95.2% son micro
empresas
 4.3% son
pequeñas
 0.2% son
grandes
Fuentes: FMI, INEGI, Secretaría de Economía
14ª economía más  Tratados de
grande del mundo
apertura y libre
El valor de las
comercio con
exportaciones e
más de 40 países
importaciones
 EE.UU. es el
representa el
destino del 80%
59.7% del PIB
de las
exportaciones y
48% de las
importaciones
Cultura de Privacidad
Uno de los principales retos que enfrentan las
empresas y los consumidores en nuestro país
es la baja cultura de privacidad y por tanto de
la protección de datos personales.
Empresas
Cultura de
Privacidad
Consumidores
Encuesta sobre cultura de privacidad de datos
en las MiPYMES
• Con el objetivo de fomentar la cultura sobre Protección
de Datos Personales en las Empresas e identificar las
brechas en el conocimiento actual entre las empresas
la Secretaría realizó una encuesta en línea enfocada a
MiPYMES
• El periodo sobre el que se reportan los respuestas
comprenden del 2 de febrero al 23 de febrero de 2011
• Se establecieron sólo 9 reactivos con respuestas
cerradads para facilitar el llenado y envío de
información.
• Se recibieron las respuestas de 155 empresas
Encuesta Cultura de Privacidad: Tipo de
empresa
Tamaño
Giro
TI
28%
45%
Micro
Pequeña
27%
Mediana
Legal
1% 5%
1% 1%
Logística
7%
Salud
34%
12%
Sector
5%
Internacional
Academia
9%
Servicios
Industria
81%
Consultoría
Alimentos
3%
16%
Seguros
Comercio
16%
3% 3%
2%
1%
Automotriz
BPO
Financiero
Internacional
Encuesta Cultura de Privacidad: Ámbito de
operación
Medio de contacto con clientes
Ubicación de clientes
Otro
6%
14%
26%
Ninguno
Fax
54%
Módulo de…
Página de Internet
Nacional
Extranjero
Correo Electrónico
Misma ciudad
Celular
Varios estados
Teléfono
Entre otros medios se señalan: chat, twitter, piezas
impresas, redes sociales, vía postal
0
20
40
60
80
% utilizado por las encuestadas
Cultura de privacidad empresarial
Resultados de encuesta sobre cultura de privacidad
100%
80%
60%
40%
20%
No
Medio de contacto
con cliente
Conoce Ley
FPDPPP
Responsable
designado
Política de
privacidad
Datos
automatizados
Tratamiento de
datos
0%
Sí
Fuente: Encuesta realizada en línea por la DGCIED de en febrero de 2011. Participaron 155 MiPYMES
Características de la Ley y el
Reglamento
Regulación sobre Protección de Datos
Personales
• Ley Federal de Protección
de Datos personales en
Posición de los Particulares
Datos
Personales
• Publicada en DOF el 5 de
julio de 2010 .
Gobierno
• Finalidad:
• Regular el tratamiento
legítimo,
controlado
e
informado, a efecto de
garantizar la privacidad y el
derecho
a
la
autodeterminación
informativa
de
las
personas.
Federal
Particulares
Estatal
Hitos importantes
Junio 2011
• Guía para la
generación de avisos
de privacidad
Julio 2010
Expedición
de la Ley
Enero 2012
• Ejercicio de derechos
ARCO (titulares)
• Protección de
derechos (IFAI)
Julio 2011
• Designación de persona o
departamento que fomente la
protección de datos personales
• Expedición de Avisos de Privacidad
2011
Expedición
de
Reglamento
Actores y Mecanismo Simplificado de aplicación
de la Ley y Reglamento
En México
Secretaría de
Economía
Coadyuvancia
Lineamientos
A
En México u otro país
Entidades privadas Autorregulación
Parámetros
5
Aviso de privacidad
Encargado
Transmisión
3
Responsable
Titular
1
Solicitud de
Protección
de derechos
2
Consentimiento
(tácito, expreso)
Terceros
Derechos ARCO
(acceso, rectificación,
corrección, oposición)
B
IFAI
Verificación
Sanción
Transferencia
4
Autoridades – resumen simplificado
• Autoridades – resumen simplificado
IFAI
Secretaría de Economía
• Procedimientos de
verificación
• Procedimientos de
imposición de
sanciones
• Protección de los
derechos
• Cultura de privacidad a
los individuos
• Lineamientos sobre
Avisos de Privacidad
• Parámetros
Autorregulación
Vinculante
• Coordinación con la
Iniciativa Privada –
flujo comercial
Otras Secretarías
• Regulación secundaria
- sectorial
Trabajo conjunto para la elaboración del Reglamento
Avisos de privacidad
Definición - Aviso de Privacidad
Documento físico, electrónico o en cualquier otro formato generado
por el responsable que es puesto a disposición del titular, previo al
tratamiento de sus datos personales.
Finalidades
Características
Fortalecer el nivel de confianza entre
responsable y titular con relación al
tratamiento de su información personal
Transparentar al titular las finalidades y
transferencias a que son sometidos sus datos
personales
Informar al titular cómo ejercer los derechos
que la ley le otorga y los mecanismos para que
decida sobre el tratamiento de sus datos.
Mejorar el canal de comunicación
Disminuir las quejas, inconformidades o
disputas de los titulares.
Es redactado de manera concisa
Contiene la información relevante y
necesaria que permita al titular identificar
las características principales del
tratamiento
Cuenta con un diseño y presentación
apropiada que facilite su comprensión
Para la difusión se pueden usar formatos
físicos, electrónicos, medios verbales o
cualquier otra tecnología, siempre y
cuando garantice y cumpla con el deber
de informar al titular.
Aviso de
privacidad
Se pone a disposición
previo al tratamiento
• Tipos de aviso de privacidad
Completo
Art. 16 (…al menos)
• Identidad y domicilio
• Finalidades
• Opciones y medios para limitar el
uso o divulgación
• Medios para ejercer derechos ARCO
• Transferencias de datos
• Procedimiento y medio para
comunicar cambios al aviso.
• Señalar si se tratan datos sensibles
La opción y el plazo que tiene el titular de
presentar ante el IFAI el procedimiento de
protección de derechos
Simplificado
Art. 17
• Identidad y domicilio
• Finalidades
• Mecanismo para conocer el aviso
completo
• Señalar si se tratan datos sensible
Principio
Vínculo con aviso de privacidad
quéde
datos
personales se
• PrincipiosDadea conocer
la Leyalytitular
aviso
privacidad
Información
recaban y con qué fines
El consentimiento tácito se obtiene si se pone a
Consentimiento
disposición del titular
El tratamiento se limita al cumplimiento de las
Finalidades
finalidades previstas en él
Los datos que se traten deberán ser los necesarios,
adecuados y relevantes en relación con las
Proporcionalidad
finalidades establecidas en él
El responsable debe tomar medidas para garantizar
que el aviso sea respetado por él, encargados o
Responsabilidad
terceros, aún cuando éstos estén fuera del país
Autorregulación Vinculante
Principio de responsabilidad y autorregulación
vinculante
• El responsable tiene la obligación de velar, responder, así como de
rendir cuentas al titular sobre el tratamiento de sus datos
personales.
• Para cumplir con esta obligación, el responsable puede valerse de
estándares y mejores prácticas internacionales, así como de
esquemas de autorregulación.
• Lo anterior puede traducirse en códigos deontológicos o de
buenas prácticas profesionales, sellos de confianza u otros
mecanismos
• Estos esquemas son vinculantes para quienes se adhieran a los
mismos; no obstante, la adhesión es de carácter voluntario
Objetivos primordiales (1/2)
• Establecer procesos y prácticas cualitativos
• Fomentar que los responsables establezcan políticas, procesos y
buenas prácticas
• Promover que los responsables de manera voluntaria cuente con
constancias o certificaciones sobre el cumplimiento de la Ley y
mostrar su compromiso con la protección de datos personales
• Identificar a los responsables que cuenten con políticas de
privacidad alineadas al cumplimiento de los principios y derechos,
así como de competencia laboral
Objetivos primordiales (2/2)
• Promover el compromiso de los responsables con la rendición de
cuentas y adopción de políticas internas consistentes con criterios
externos, así como para auspiciar mecanismos para implementar
políticas de privacidad, incluyendo herramientas, transparencia,
supervisión interna continua, evaluaciones de riesgo, verificaciones
externas y sistemas de remediación; y
• Encauzar mecanismos de solución alternativa de controversias
entre responsables, titulares y terceros, como son los de
conciliación y mediación.
Esquemas de autorregulación reconocidos por
autoridad
Establece parámetros para
desarrollo y medidas de
autorregulación
Puede acreditar y revocar
SE
Puede sugerir revocar
acreditaciones o
certificados
IFAI
Pueden otorgar y revocar
certificaciones
Pueden realizar verificaciones
y auditorías a certificados
5
Independientes e imparciales
para otorgar certificados
Puede encauzar mecanismos
de solución alternativa de
controversias
2
2
1
1
1
1
1
Se someten a la certificación
de manera voluntaria pero se
obligan a partir de ese
momento
Equilibrio entre la
protección del derecho
fundamental y la práctica
comercial
El equilibrio entre la práctica empresarial y el
ejercicio de los derechos de los titulares
• Se busca precisar las disposiciones y los procedimientos para que:
– Los titulares de los datos hagan efectivo su derecho
– Los particulares cumplan con las obligaciones previstas por Ley
• Titulares del derecho y empresas se benefician:
– Regula aspectos que permiten su interacción y con autoridades.
– Brinda seguridad y certeza jurídica a los sujetos involucrados.
• Se propicia una cultura de protección de datos personales que
fortalece el esquema legal para garantizar el poder de disposición
de las personas respecto de sus datos personales y da certeza a las
transacciones comerciales.
El equilibrio entre la práctica empresarial y el
ejercicio de los derechos de los titulares
Actividad de la empresa
Actividad del titular del dato personal
• La persona o departamento dentro de
la organización designado para dar
trámite a las solicitudes;
• Los medios de autenticación del
titular;
• El plazo máximo de respuesta a las
solicitudes;
• La forma de entrega de la información
en caso de ejercer el derecho de
acceso;
• El carácter gratuito de la atención de
las solicitudes o el costo de
reproducción en caso de que aplique,
• Entre otras cuestiones que el
responsable considere relevantes
incluir en el aviso de privacidad.
• Conocer la persona o departamento
de datos personales designada por el
responsable, ante el cual podrá
ejercer sus derechos ARCO, y
• Ejercer sus derechos ARCO;
• Revocar el consentimiento otorgado
• Limitar el uso de su información.
• Se encuentra informado y conoce los
cambios en el aviso de privacidad
• Solicita ante el IFAI los procedimientos
de protección de derechos o
verificación.
• Conocer el aviso de privacidad
completo;
• Otorgar su consentimiento expreso;
• Conocer los listados de exclusión
existentes.
Las consideraciones sobre
privacidad y el entorno
digital
La Importancia de los Datos Personales en el
Desarrollo Económico
• Las tecnologías de Información en las últimas décadas han ido cambiando
constantemente la dinámica comercial, derivado de la creación de nuevos
modelos de negocio, lo que ha requerido un constante flujo de información
entre consumidores y empresas.
Avances
Tecnológico
s/Cobertura
Nuevos Modelos
de Negocio
INFORMACIÓN
Nuevos
Consumidores
• De igual forma, la necesidad de contar con presencia mundial ha obligado a las
empresas y consumidores a crear procesos comerciales dependientes de la
identificación de los mismos a través de la transferencia de datos globalmente
para proveer o adquirir un producto o servicio.
La Importancia de los Datos Personales en el
Desarrollo Económico
• Diversos países han podido encontrar beneficios económicos al contar con
modelos que permiten el correcto y ágil flujo de datos con sus socios
comerciales.
BENEFICIOS ECONÓMICOS
Economías de Alcance
Incremento del comercio en TICS y Servicios
Acceso al conocimiento
Incremento en la productividad
Oportunidades de crecimiento internacional
Acceso a nuevos Productos y Servicios
Riesgos asociados al mal uso de datos
personales
Robo de
identidad
Falta de
seguridad
en
transaccion
es
Impedir
ejercicio de
derechos
Pérdida o
destrucción
Daño o
alteración
La ley y el
anteproyecto
fomentan la
protección a bases de
datos con información
personal, ya sea física
o electrónica,
impulsando el
tratamiento legítimo y
control de los datos
personales.
Medidas de seguridad en la normativa
Art 19
Ley
Art 20
Ley
• Establecer y mantener
medidas de seguridad
• Proteger contra daño,
pérdida, alteración,
destrucción o el uso, acceso
o tratamiento no autorizado
El Instituto desarrollará y pondrá a
disposición de los responsables
una herramienta para identificar
las medidas de seguridad mínimas
que aplicarán a los datos
personales tratados.
• Las vulneraciones de
seguridad ocurridas serán
informadas de forma
inmediata por el
responsable al titular
Cuando exista un bajo riesgo para
los datos personales tratados, de
conformidad con las
recomendaciones que emita el
Instituto, la herramienta facilitará
la elaboración del documento de
seguridad y la identificación de las
acciones.
¿Las empresas en México establecen medidas
de seguridad?
– Un 56% de las empresa manifiesta invertir
en el tema de protección de información
personal.
– En caso de no implementar medidas de
seguridad, el 72% de los encuestados
considera que las consecuencias más
significativas son el daño a la reputación y
la marca por la pérdida de la información
para el desarrollo de los negocios, así
como el no establecer dichas medidas
podría representar sanciones y penas que
la LFPDPPP establece por incumplimiento.
Fuente: Ernst&Young. Seguridad sin fronteras Resultados de la Encuesta Global de Seguridad de la Información.
Marzo, 2011
¿Las empresas en México establecen medidas
de seguridad?
• Las principales
prioridades de
seguridad de la
información son:
1. Continuidad de
negocio
2. Cumplimiento con
requerimientos
regulatorios  LFPDPPP
3. Cumplimiento con
políticas corporativas
Fuente: Ernst&Young. Seguridad sin fronteras Resultados de la Encuesta Global de Seguridad de la
Información. Marzo, 2011
Consideraciones finales
Consideraciones finales - Beneficios de la
Normatividad
Certeza
jurídica para
los regulados.
Competitivida
d
Empoderamien
to del titular
Beneficios
Empresas
Evitar malos
usos de los
datos
personales
Cuidado de la
información
como activo
Mejora de la
percepción
Titulares
Ley Federal de Protección de Datos
Personales en Posesión de los
Particulares
Elementos de la Ley y el
anteproyecto de Reglamento
¿quién protege tus datos
personales por Internet?
Dirección General de Comercio Interior y Economía Digital
Subsecretaría de Industria y Comercio
Secretaría de Economía

similar documents