Story Transcript
Criterios para la protección de datos personales
_______________ _____________________________________________________
ADMINISTRACIÓN PORTUARIA INTEGRAL DE VERACRUZ, S.A. DE C.V.
____________________________
ÍNDICE
I ntroducción M arco Legal Capítulo I Disposiciones Generales Definiciones Capítulo I I Principios de la Protección de Datos Personales Capítulo I I I Tratamiento Capítulo I V Transmisión Capítulo V Seguridad Capítulo VI Sistema Persona
1
INTRODUCCIÓN En cumplimiento a los establecido en los artículos 20 y 21 de la Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental, publicada en el Diario Oficial de la Federación el 11 de junio del 2002 así como al artículo Vigésimo Séptimo de los Lineamientos de Protección de Datos Personales, publicados en el mismo medio el 30 de Septiembre de 2005, el Comité de Información de la Administración Portuaria Integral de Veracruz, S.A. de C.V., elaboró los presentes criterios, los cuales tienen como finalidad, establecer las políticas y procedimientos a observarse por la Entidad para garantizar y resguardar el derecho a la intimidad y privacidad de los servidores públicos, así como la plena facultad para decidir sobre el uso y destino de sus datos personales, con el propósito de llevar a cabo su adecuado tratamiento e impedir su transmisión ilícita y lesiva para la dignidad y derechos del posible afectado.
En el presente documento se establecen las condiciones y requisitos mínimos para el manejo y custodia del sistema de datos personales de la Administración Portuaria Integral de Veracruz, S.A. de C.V., y en su caso, de los futuros que se lleguen a adoptar con motivo del ejercicio de sus atribuciones.
2
MARCO LEGAL
·
Constitución Política de los Estados Unidos Mexicanos. D.O.F. 02II1917
·
Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental. D.O.F. 11062002
·
Ley Orgánica de la Administración Pública Federal. D.O.F. 29XII1976
·
Ley de las Entidades Paraestatales. D.O.F. 14V1986
·
Reglamento de la Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental. D.O.F. 11062003
·
Reglamento de la Ley Federal de las Entidades Paraestatales. D.O.F. 07041995
·
Lineamientos de Protección de Datos Personales D.O.F. 30092005
3
CAPÍTULO I DISPOSICIONES GENERALES
Los presentes criterios son de orden e interés público y de observancia general; tienen por objeto establecer las políticas generales y procedimientos que deberá observar la Administración Portuaria Integral de Veracruz, S.A. de C.V., para garantizar la facultad de decisión de las personas a su servicio, sobre el uso y destino de sus datos personales, con el propósito de asegurar su adecuado tratamiento e impedir su transmisión ilícita y lesiva a su dignidad y derechos, con total apego a lo dispuesto en la Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental, su Reglamento y los Lineamientos emitidos por el Instituto Federal de Acceso a la Información Pública (IFAI). Para la consecución del objeto anterior, en los presentes criterios se establecen las condiciones y requisitos mínimos para el debido manejo y custodia del Sistema de Datos Personales de la Administración Portuaria Integral de Veracruz, S.A. de C.V.
4
DEFINICIONES Para efectos del presente documento, los términos y definiciones contenidos guardan relación directa con los que se mencionan en la Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental, así como su Reglamento. Acceso: Derecho de los ciudadanos a la consulta del Patrimonio Documental, de acuerdo con la Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental. Clasificación: Acto por el cual se determina que la información que poseé una unidad administrativa es confidencial, reservada total o parcialmente. (Art. 2 d el Reg.) Criterios: Los presentes criterios. Comité: Comité de Información de la Administración Portuaria Integral de Veracruz, S.A. de C.V. ( Art. 3 de la ley.) Datos personales: La información concerniente a una persona física, identificada o identificable, entre otra, la relativa a su origen étnico o racial, o que esté referida a las características físicas, morales o emocionales, a su vida afectiva y familiar, domicilio, número telefónico, patrimonio, ideología y opiniones políticas, creencias o convicciones religiosas o filosóficas, los estados de salud físicos o mentales, las preferencias sexuales, u otras análogas que afecten su intimidad.(Art. 3 Ley) Derecho a la información: Reconocimiento por el que se autoriza a acceder a la información y archivos que no se encuentren sujetos a restricción alguna. Desclasificación de información: Proceso para determinar que la información deja de tener el carácter de clasificada. Destinatario: Cualquier persona física o moral pública o privada que recibe datos personales. Encarg ado: El servidor público que ocupe el cargo de Jefe del Departamento de Recursos Humanos, designado o autorizado por el Responsable para llevar a cabo el tratamiento físico o automatizado de los datos personales. Entidad: Administración Portuaria Integral de Veracruz, S.A. de C.V. 5
Fundamento: Argumento en el que se señala el ó los ordenamientos jurídicos (artículo, fracción, inciso y párrafo), que expresamente otorgan el carácter de clasificada a una información. I FAI : Instituto Federal de Acceso a la Información Pública. I nformación: La contenida en los documentos que los sujetos obligados generen, obtengan, adquieran, transformen o conserven por cualquier título. (Art. 3 Ley) . Ley: Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental (Art. 3 Ley). Lineamientos: Lineamientos de Protección de Datos Personales. M otivación: Se refiere a las razones, motivos o circunstancias especiales que llevaron al área que clasifica la información a concluir que el caso corresponde al (los) supuesto (s) o norma (s) legal (es) señalada (s) en el (los) fundamento(s). Reglamento: Reglamento de la Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental. Responsable: El titular de la Gerencia de Administración y Finanzas, quien fue designado por el Director General y está facultado para decidir sobre el tratamiento físico o automatizado de datos personales, así como el contenido y finalidad de los sistemas de datos personales. Servidores P úblicos: Los mencionados en el párrafo primero del artículo 108 constitucional y todas aquellas personas que manejen o apliquen recursos públicos federales. Sistem a “ P ersona” : Aplicación informática desarrollada por el Instituto para mantener actualizado el listado de los sistemas de datos personales que poseé la Administración Portuaria Integral de Veracruz, S.A. de C.V., para registrar e informar sobre las transmisiones, modificaciones y cancelaciones de los mismos. Titular de los datos: Persona física a quien se refieren los datos personales que sean objeto de tratamiento. Transmisión: Toda entrega total o parcial de sistemas de datos personales realizada por la Administración Portuaria Integral de Veracruz, S.A. de C.V., a cualquier persona distinta al Titular de los datos, mediante el uso de medios físicos o electrónicos tales como la interconexión de computadoras, interconexión de bases de datos, acceso a redes de 6
telecomunicación, así como a través de la utilización de cualquier otra tecnología que lo permita. Transmisor: La Administración Portuaria Integral de Veracruz, S.A. de C.V. Tratamiento: Operaciones y procedimientos físicos o automatizados que permitan recabar, registrar, reproducir, conservar, organizar, modificar, transmitir y cancelar datos personales. Usuario: Servidor público autorizado por el Responsable que utiliza de manera cotidiana datos personales para el ejercicio de sus atribuciones, por lo que accede a los sistemas de datos personales, sin posibilidad de agregar o modificar su contenido. Unidad de Enlace: Unidad de Enlace de la Entidad.
7
CAPÍTULO II PRINCIPIOS DE LA PROTECCIÓN DE DATOS PERSONALES
En el tratamiento que la Entidad le de a los datos personales que tenga bajo su resguardo, deberá observar los principios de licitud, calidad, acceso y corrección de información, seguridad, custodia y consentimiento para su transmisión.
P rincipio de Licitud La posesión de sistemas de datos personales deberá obedecer exclusivamente a las atribuciones legales o reglamentarias que tenga la Entidad, y deberán obtenerse a través de los medios previstos en dichas disposiciones. Los datos personales deberán tratarse únicamente para la finalidad para la cual fueron obtenidos. Dicha finalidad debe ser determinada y legítima. P rincipio de Calidad El tratamiento de datos personales deberá ser exacto, adecuado, pertinente y no excesivo, respecto de las atribuciones legales de la Entidad. A efecto de cumplir con el principio de calidad, se considerará que el tratamiento de datos personales es: ·
Exacto: Cuando los datos personales se mantienen actualizados, de manera tal que no altere la veracidad de la información, situación que traería como consecuencia que el Titular de los datos se viera afectado por dicha situación;
·
Adecuad o: Cuando se observan las medidas de seguridad aplicables;
·
P ertinente: Cuando es realizado por el personal autorizado para el cumplimiento de las atribuciones de la Entidad;
N o excesivo: Cuando la información solicitada al Titular de los datos es estrictamente la necesaria para cumplir con los fines para los cuales se hubieran recabado. (Art. Decimotercero de los L ineamientos) ·
8
P rincipio de Acceso y Corrección Los sistemas de datos personales deberán almacenarse de forma tal que permitan el ejercicio de los derechos de acceso y corrección previstos por la Ley, el Reglamento y los Lineamientos. P rincipio de I nformación Se deberá hacer del conocimiento del Titular de los datos, al momento de recabarlos y de forma escrita, el fundamento y motivo de ello, así como los propósitos para los cuales se tratarán dichos datos. P rincipio de Seg uridad Se deberán adoptar las medidas necesarias para garantizar la integridad, confiabilidad, confidencialidad y disponibilidad de los datos personales mediante acciones que eviten su alteración, pérdida, transmisión y acceso no autorizado. P rincipio de Custodia y Cuidad o de la I nformación Los datos personales serán debidamente custodiados y los Responsables, Encargados y Usuarios deberán garantizar el manejo cuidadoso en su tratamiento. P rincipio de Consentimiento para la transmisión Toda transmisión de datos personales deberá contar con el consentimiento de su Titular, mismo que deberá otorgarse en forma libre, expresa e informada, salvo lo dispuesto en el Artículo 22 de la Ley. Así mismo, deberá otorgar acceso a aquellos datos que no se consideran como confidenciales, por ubicarse en los supuestos establecidos por sus Artículos 7, 12 y 18, último párrafo.
9
CAPÍTULO III TRATAMIENTO En caso de que los Responsables, Encargados o Usuarios detecten que hay datos personales inexactos, deberán de oficio actualizarlos en el momento en que tengan conocimiento de la inexactitud de los mismos, siempre que posean los documentos que justifiquen la actualización. En el momento en que se recaben datos personales, la Entidad deberá hacer del conocimiento al Titular de los datos en los formatos utilizados para ese fin, lo siguiente: ·
La mención de que los datos recabados serán protegidos en términos de lo dispuesto por la Ley;
·
El fundamento legal para ello, y
· La finalidad del Sistema de datos personales. (Art. Decimosép timo de los Lineamientos) El texto que utilizará la Entidad para informar al Titular de los datos lo establecido por la Ley y los Lineamientos será el siguiente:
Los datos personales recabados serán protegidos, incorporados y tratados en el Sistema de datos personales “Nómina de Oracle”, con fundamento en los Artículos 18, 19 y 20 de la Ley, 37 y 41 del Reglamento, Capítulo Segundo de los Lineamientos de Protección de Datos Personales; así como en sus Políticas Internas, cuya finalidad es administrar, resguardar y controlar los datos personales de sus colaboradores. Dicho sistema fue registrado en el Listado de Sistemas de Datos Personales ante el Instituto Federal de Acceso a la Información Pública (www.ifai.org.mx), y podrán ser transmitidos a las personas u organismos competentes, con la finalidad que ellos acrediten en apego a sus atribuciones, además de otras transmisiones previstas en la Ley. La Unidad Administrativa responsable del Sistema es la Gerencia de Administración y Finanzas, y la dirección donde el interesado podrá ejercer los derechos de acceso y corrección ante la misma es Avenida Marina Mercante #210, 2do. Piso, Col. Centro, Veracruz, Ver. Lo anterior se informa en cumplimiento del numeral Decimoséptimo de los Lineamientos de Protección de Datos Personales, publicados en el Diario Oficial de la Federación el 30 de Septiembre de 2005.
10
CAPÍTULO IV TRANSMISIÓN Para la transmisión de los datos, el consentimiento del Titular de los mismos deberá otorgarse por escrito, incluyendo la firma autógrafa y la copia de identificación oficial; o bien, a través de un medio de autenticación. En su caso, la Entidad deberá cumplir con las disposiciones aplicables en materia de certificados digitales y/o firmas electrónicas. El servidor público encargado de recabar el consentimiento del Titular de los datos para la transmisión de los mismos, deberá entregar a éste en forma previa a cada transmisión, la información suficiente acerca de las implicaciones de otorgar, de ser el caso, su consentimiento. Las transmisiones totales o parciales de sistemas de datos personales que la Entidad en el ejercicio de sus atribuciones lleve a cabo, deberán ser notificadas por el Responsable al IFAI.
El informe antes mencionado deberá contener por lo menos lo siguiente: ·
Identificación del Sistema de datos personales, del transmisor y del destinatario;
·
Finalidad de la transmisión; así como el tipo de datos que son objeto de la misma;
·
Las medidas de seguridad y custodia que adoptaron por el transmisor y el destinatario;
·
Plazo por el que conservará el destinatario los datos que le hayan sido transmitidos, el cual podrá ser ampliado mediante aviso al IFAI, y
Señalar si una vez concluidos los propósitos de la transmisión, los datos personales deberán ser destruidos o devueltos al transmisor, al igual que cualquier soporte o documento en que conste algún dato de carácter personal objeto de la transmisión. (Art. Vigésimo sexto de los L ineamientos) ·
11
CAPÍTULO V SEGURIDAD ·
Para proveer la seguridad del sistema de datos personales, se deberá:
·
Proponer al Comité la difusión de la normatividad entre el personal involucrado en el manejo de los sistemas de datos personales, y elaborar un plan de capacitación en materia de seguridad de datos personales, dirigida a los Responsables, Encargados y Usuarios, proponiéndolo también al Comité.
Así mismo, el Responsable del Sistema deberá: ·
Adoptar las medidas para el resguardo de los sistemas de datos personales en soporte físico, de manera que se evite su alteración, pérdida o acceso no autorizado;
·
Autorizar expresamente, a los Encargados y Usuarios, y llevar una relación actualizada de las personas que tengan acceso a los sistemas de datos personales que se encuentran en soporte físico, y
·
Informar al Comité los nombres de los Encargados y Usuarios.
Por otra parte el Encargado deberá: Asignar un espacio seguro y adecuado para la operación del sistema; además de controlar el acceso físico a las instalaciones donde se encuentra el equipamiento que soporta su operación, debiendo registrarse para ello en una bitácora; contar con al menos dos lugares distintos, que cumplan con las condiciones de seguridad, destinados a almacenar medios de respaldo de sistemas de datos personales; realizar procedimientos de control, registro de asignación y baja de los equipos de cómputo a los Usuarios que utilizan datos personales, considerando al menos las siguientes actividades: verificar y llevar un registro del contenido del equipo para facilitar los reportes del Usuario que lo recibe o lo entrega para su baja, implantar procedimientos para el control de asignación y renovación de claves de acceso a equipos de cómputo y al sistema e implantar medidas de seguridad para el uso de los dispositivos electrónicos y físicos de salida, así como para evitar el retiro no autorizado de los mismos fuera de las instalaciones de la Entidad.
12
La Entidad, a través del Comité y conjuntamente con el Responsable, expedirá un documento que contenga las medidas administrativas, físicas y técnicas de seguridad aplicables al sistema El documento de seguridad será de observancia obligatoria para todos los servidores públicos de la Entidad, así como para las personas externas que debido a la prestación de un servicio tengan acceso al sistema y/o al sitio donde se ubican los mismos.
El documento antes mencionado deberá contener como mínimo, los siguientes aspectos: ·
El nombre, cargo y adscripción del Responsable, Encargado y Usuarios;
·
Estructura y descripción del sistema;
·
Especificación detallada del tipo de datos personales contenidos en el sistema;
·
Funciones y obligaciones de los servidores públicos autorizados para acceder al sitio seguro y para el tratamiento de datos personales;
·
Medidas, normas, procedimientos y criterios enfocados a garantizar el nivel de seguridad, las cuales deberán incluir lo siguiente: a) Establecer procedimientos para generar, asignar, distribuir, modificar, almacenar y dar de baja usuarios y claves de acceso para la operación del Sistema; b) Actualización de información contenida en el Sistema; c) Procedimientos de creación de copias de respaldo y de recuperación de los datos; d) Bitácoras de acciones llevadas a cabo en el Sistema; e) Procedimiento para la cancelación del Sistema. f) El contenido del documento deberá actualizarse anualmente.
El Encargado deberá llevar un registro de incidentes en el que se consignen los procedimientos realizados para la recuperación de los datos o para permitir una disponibilidad del proceso, indicando la persona que resolvió el incidente, la metodología aplicada, los datos recuperados y, en su caso, qué datos ha sido necesario grabar manualmente en el proceso de recuperación. 13
CAPÍTULO VI SISTEMA PERSONA El Responsable deberán registrar e informar al IFAI, dentro de los primeros diez días hábiles de marzo y septiembre de cada año, lo siguiente: ·
Los sistemas de datos personales;
·
Cualquier modificación sustancial o cancelación de dichos sistemas, y
·
Cualquier transmisión de sistemas de datos personales.
El registro de cada Sistema de datos personales deberá contener, los siguientes datos: ·
Nombre del sistema;
·
Unidad administrativa en la que se encuentra el sistema;
·
Nombre del Responsable del sistema;
·
Cargo del Responsable;
·
Teléfono y correo electrónico del Responsable;
·
Finalidad del sistema, y Normatividad aplicable al sistema.
·
El IFAI otorgará al Responsable un folio de identificación por cada Sistema de datos personales registrado.
14