LFPDPPP, Aviso de Privacidad y Derecho ARCO

29/02/2012 Categoría Seguridad

¿Qué tanto sabes de la Ley de protección de Datos?, ¿Sabes qué es un aviso de privacidad?, ¿sabes si te afecta a ti?, ¿sabes ejercer tu derecho ARCO?, ¿sabes dónde y cómo realizar una queja o corrección del uso de tus datos personales?

Quienes no saben a qué me refiero, déjenme decirles que se perdieron la semana pasada del “Evento de Protección de Datos Personales en Posesión de Particulares” Celebrado el 21 de Febrero en el World Trade Center de la Ciudad de México (Antes Hotel de México).

Dicho evento se creó para todos nosotros, para atender todas las necesidades y dudas que tenemos en relación al tema LFPDPPP.

Me permito hacer una breve introducción para aquellos que no saben a qué me refiero:

• El 5 de julio de 2010, se publico en el Diario Oficial de la Federación (DOF), la “Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP)”, Dicha ley indicaba que para el 6 de Julio de 2011, todos aquellos que solicitan información deberían de contar con su Aviso de Privacidad en donde se indicara que datos y para que se utilizaría la información.
• El 21 de Diciembre de 2011, se publico en el DOF, el “Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (RLFPDPPP)”, en la cual se determinan todas las reglamentaciones para la protección de los datos, Aplicación de seguridad de la información, etc.
• El pasado 6 de Enero de 2012, el IFAI, publica su Guía para ejercer el Derecho ARCO (Acceso, Rectificación, Cancelación y Oposición), entrando en vigor el mismo día, esto forma la última fase de la LFPDPPP, ya que el ARCO permite a los titulares ejercer su derecho ante las empresas, compañías, profesionistas, etc., responsables del manejo y procesamiento de los datos e información de particulares.

Pero esto a quien aplica realmente, pues si tienes una empresa sin importar su tamaño o eres una persona física que brinda sus servicios, eres responsable de la información que solicitas, ya que si en tu sitio web, recepción, registro de visitas, etc., recabas información de los particulares de los señalados en la LFPDPPP, debes considerar y dar cumplimiento a lo que la LFPDPPP (Ley de Protección de Datos en Posesión de los Particulares) y  el RLFPDPPP (Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares).

El evento fue todo el Día, y me permito resumir lo más destacado de los expositores y sus comentarios atinados:

Introducción a la Ley Federal de Protección de Datos Personales en Posesión de los Particulares y su Reglamento – Alfredo Reyes Krafft

El nos presento las Innovaciones de la Ley:

1. Derecho fundamental
2. Legislación federal
3. Autoridades reguladoras
4. Régimen de infracciones y sanciones

Datos Sensibles: Que los datos catalogados como sensibles deben tener una justificación y documento en donde el titular de el consentimiento expreso para el uso de su información.

Aviso de Privacidad: Debe estar a disposición de todo el público, muy completo y simplificado.

Infracciones: menciona que en caso de un incumplimiento de las normas y estándares, las sanciones como máximos son de hasta 3 millones de pesos y hasta 10 años de prisión.

Próximas fechas importantes:

• Publicación de los Criterios Generales del IFAI el 22 de Marzo del 2012.
• Publicación de las Medidas Compensatorias por parte de la Secretaria de Economía el 22 de Junio del 2012.

 

Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares: Medidas de seguridad – Elizabeth Arguello

Nos explico sobre las solicitudes de los particulares para ejercer su derecho ARCO (Acceso, Rectificación, Cancelación, Oposición),  ya que las empresas a las que se les haga dicha solicitud, solo tienen 20 días para responder a la misma, de lo contrario, el titular podrá levantar su queja ante el IFAI.

Nos aclaro el trato de la información cuando es transferida a un tercero, el cual también comparte las mismas regulaciones y sanciones.

Nos detallo las necesidades de las medidas de seguridad:

• Análisis de Riesgos
• Inventario de Datos Personales
• Establecer Funciones y Responsabilidades
• Revisiones y/o Auditorias
• Medidas de Seguridad
• Análisis de Brechas
• Plan de Trabajo para solucionar y fortalecer las medidas de Seguridad en las Brechas encontradas
• Capacitar al personal responsable

Ejercicio de los Derechos ARCO:

Así mismo, índico que la Secretaria de Economía en conjunto con el IFAI, se iniciarán las certificaciones a las empresas a partir de Junio del presente año, lo cual dejará al usuario tranquilo de que su información estará protegida, pero si nos indica que:

“Vean los enlaces de las certificaciones ya que muchas veces no corresponden o son apócrifas sin validez”

Ella concluyo indicando que:

• Debe existir un equilibrio entre la protección de la información y la actividad de las empresas.
• El personal debe de estar capacitado, en especial quien funge como responsable de la información.
• Tener bien definido el flujo de datos, su uso y tratamiento.
• Aprovechar de forma inicial, la infraestructura tecnológica para el cumplimiento de la Ley y reglamentos.

Esquemas de Autorregulación de Protección de Datos – Lina Órnelas Núñez

Nos explico el funcionamiento de la Autorregulación, en donde nos dice que cualquier conjunto de normas de protección de datos que se apliquen a uno o varios responsables de un mismo sector y cuyo contenido es determinado por dichos responsables.

También hizo énfasis de que todo esto aplica a personas físicas sin importar la profesión.

El IFAI busca que las empresas de forma voluntaria las personas responsables den cumplimiento a las leyes y cuidar la información que se ocupa.

También hizo un reconocimiento a todos los Ingenieros, ya que si los abogados primero estudiaran ingeniería, tendrían sus ideas más claras (Con respeto a todos los abogados).

Su intervención fue muy valiosa y realizo comentarios, muy atinados:

“Ya no existen empresas con grandes o dueñas de Bases de Datos, ya que nosotros somos los dueños, ellos solo la almacenan”

“Las Pizzerias son quienes tienen mejor actualizadas sus bases de datos”

“México está convertido en un mercado de Datos, ya que muchos empleados extraen los datos de las empresas para ser vendidas”

Concluye diciendo que el concepto de autorregulación depende de las necesidades, valor y factores culturales de cada país.

 

Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares y su puesta en marcha: lo importante y lo urgente – Joel Gómez Treviño

La participación fue muy extensa ya que nos describió cada uno de los artículos importantes del RLFPDPPP y nos brindo una serie de ejemplos, en donde todas las dudas referentes  a la LFPDPPP y RLFPDPPP fueron aclaradas sin mayor problema, nos dio tips para la generación de un buen Aviso de Privacidad y como se debe tratar la información cuando es transferida a un tercero y como hacer partícipe de la responsabilidad en el manejo de la información.

Nos ayudo en el entendimiento de la LFPDPPP dando ejemplos prácticos en su uso y revocación/negación de privacidad.

Estas son algunas de sus expresiones importantes:

“En los Avisos de Privacidad, deben de ser totalmente claros, determinando y describiendo la finalidad del uso de la información, se deben de dejar muy en claro y determinar bien las diferencias entre la finalidad principal y las consecuentes”

“El titular podrá negar o revocar el tratamiento de la información cuando lo desee haciendo uso de su derecho ARCO”

Se aclaro que en relación a los datos en la Nube, se deben de adherir a los contratos de adhesión o clausulas generales para la protección de los datos; se recomienda tener un contrato especifico y delimitar las condiciones del uso de la información de acuerdo con el Aviso de privacidad con el que fueron obtenidas.

En relación a las redes sociales, menciona que dentro de sus avisos y políticas de privacidad que ellos son los dueños de todo lo que se publique dentro de su sistema (Facebook, Twitter, Youtube, etc.);  así mismo, entre 6 y 8 meses tarda Facebook en borrar los datos e información de tu cuenta al ser cancelada.

 

Hacia una conducta de prevención y no de corrección entorno a la Ley Federal de Protección de Datos Personales en Posesión de los Particulares y su Reglamento – Cynthia Gabriela Solís Arredondo

Ella iniciando hizo una valiosa mención “EL DESCONOCIMIENTO DE LA LEY NO TE EXIME DEL DELITO Y/O RESPONSABILIDAD”, simplemente se resume a preguntar ¿Cuántas veces has leído los avisos de privacidad, licencias, contratos de lo que usas cotidianamente? (redes sociales, contratos de tarjetas de crédito, al hacer compras en línea, etc.)

Los tipos de datos más atractivos para su venta o uso ilícito son:

• Financieros
• Salud
• Secretos Industriales
• Información confidencial
• Educación
• Datos Personales
• Robo de Identidad

La receta perfecta seria:

1. Identificar el tipo de información
2. Clasificar y catalogar la información
3. Crear un esquema de flujo de información
4. Diseñar uno ó más avisos de privacidad
5. Mecanismos para el ejercicio de los Derechos ARCO
6. Diseñar el tipo de medidas que se van a aplicar
7. Adoptar medidas de autorregulación

Finalizo haciendo énfasis en “El aviso de privacidad debe ser a la medida no genérico”

 

Estándares para la Gestión de Seguridad de la Información – Pablo Corona Fraga

 

El es un experto en ISO 27001 y nos hablo de los estándares para la gestión de seguridad de la información, donde toda información al ser remisionada a un tercero, deberá ser entregada con el aviso de privacidad por el cual se recolecto dicha información.

 

El estándar que aplica para la LFPDPPP es el ISO 27002 en donde se establece el detalle de los controles para las empresas.

 

 Panel de Expertos

Los participantes en la mesa fueron:

• Manuel Ballesteros
• Juan Carlos Carrillo
• Joel Gómez
• Pablo Corona
• Juan Carlos Rodriguez

Moderador: Javier Allard Taboada

Se trataron los siguientes temas:

• ¿Cuál es el nuevo paradigma en el ámbito de la privacidad de la información?
• Aspectos legal y técnicas para la implementación de la LFPDPPP
• ¿Qué va a pasar con mi empresa ahora que debo implementar el Reglamento?

Los comentarios más relevantes:

“Es un derecho fundamental la privacidad de la información”

“La privacidad debe ser ya un proceso en todas las empresas”

“Ya es un nuevo estilo de vida en México”

“El aviso de privacidad es esencial para iniciar el aspecto legal”

“Se debe contar con una persona capacitada para recibir las solicitudes ARCO”

“Profesionales Certificados en protección de datos personales”

“La persona que sea responsable, debe estar capacitada, no importa de que área sea, debe ser del área dueña del activo de información”

“Es importante contar con un documento de seguridad”

“La ley de transparencia es más Laxa que la LFPDPPP”

“El cambio del Paradigma es hacer los negocios más confiables y seguros”

“No hay tamaño de empresas, es lo sensible de la información y  su volumen”

“Capacitación, análisis de riesgos, planificación; son la clave de todo”

“La ley no discrimina ni distingue si eres grande o chica y todas están obligadas”

“En México no existe una cultura de Confidencialidad ni de Seguridad”

“La seguridad debe convertirse parte del sentido común”

“La protección de datos es una nueva forma de vida”

El evento fue organizado por Lex Informática Abogados, S.C.  & Nyce y patrocinado por Tecno XXI y Microsoft.

Estas son algunas ligas de interés.

http://www.ifai.org.mx/

http://www.diputados.gob.mx/LeyesBiblio/pdf/LFPDPPP.pdf

http://dof.gob.mx/nota_detalle.php?codigo=5226005&fecha=21/12/2011

http://www.ifai.org.mx/pdf/temas_transparencia/publicaciones/publicaciones/01GuiaPracticaEjercerelDerecho.pdf

Espero que la información les sirva y creanme que deben hacer su aviso de privacidad, no lo olviden.

Reciban un cordial saludo.

Victor Miranda

Tags: Aviso de Privacidad, Derecho ARCO, Evento de proteccion de datos, Lex Informatica, LFPDPPP, Nyce, Protección de Datos, RLFPDPPP, victor miranda, WTC