Story Transcript
Ley Federal de Protección de Datos Personales en Posesión de Particulares Situación actual alrededor de la LFPDPPP
ERS/TR | Security & Privacy Febrero 13, 2014 ©2014 Galaz, Yamazaki, Ruiz Urquiza, S.C.
Contenido • Actividades y fechas relevantes • Seguridad de datos personales
• Sistema de Gestión de Seguridad de Datos Personales (SGSDP) • Autorregulación • Esquema de Autorregulación Vinculante • Guías y Herramientas del IFAI
• Multas impuestas por el IFAI
2
©2014 Galaz, Yamazaki, Ruiz Urquiza, S.C.
Actividades y fechas relevantes
Asignación de un líder de protección de datos La asignación de un responsable para la protección de datos es importante para la coordinación de todas las actividades
Solicitudes ARCO Los mecanismos automáticos o manuales son habilitados para titulares
Diseño del proceso ARCO
Emisión de avisos de privacidad Conocimiento LFPDPPP Entendimiento de la Ley y definición de un patrocinador Cerrar brechas • • •
Jul 5, 2010 LFPDPPP
3
Diagnóstico de brechas Diseño de avisos Diseño del área de PD
Jul 6, 2011 Dic 21, 2011 Ene 6, 2012 Persona o Reglamento Derechos ARCO departamento de y procedimiento datos personales de protección de y avisos de derechos privacidad a los titulares
Ene 17, 2013 Lineamientos del aviso de privacidad y autorregulación de la SE
Medidas de Seguridad: • Inventario de datos • Análisis de brechas • Análisis de riesgos • Programa de concientización • Políticas y procedimientos de privacidad • Medidas de seguridad administrativas, técnicas y físicas • Auditoría de cumplimiento
Junio 21, 2013 Medidas de Seguridad en el Tratamiento de Datos Personales
Octubre 30, 2013 Recomendaciones en materia de Seguridad de Datos Personales
HOY
©2014 Galaz, Yamazaki, Ruiz Urquiza, S.C.
Seguridad de datos personales Capítulo III “De las Medidas de Seguridad en el Tratamiento de Datos Personales” Art. 57 Alcance Art.58 Atenuación de sanciones Art. 59 Funciones de seguridad Art. 60 Factores para determinar las medidas de seguridad Art. 61 Acciones para la seguridad de los datos personales Art.62 Actualizaciones de las medidas de seguridad Art. 63 Vulneraciones de seguridad Art. 64 Notificación de vulneraciones de seguridad Art. 65 Información mínima al titular en caso de vulneraciones de seguridad Art. 66 Medidas correctivas en caso de vulneraciones de seguridad
4
©2014 Galaz, Yamazaki, Ruiz Urquiza, S.C.
Seguridad de datos personales (cont.)
5
©2014 Galaz, Yamazaki, Ruiz Urquiza, S.C.
Seguridad de datos personales (cont.) El 30 de octubre de 2013 el IFAI emite las recomendaciones en materia de seguridad de datos personales a fin de que los responsables y encargados tengan un marco de referencia respecto de las acciones que se consideran como las mínimas necesarias para la seguridad de los datos personales. Para la seguridad de los datos personales, el IFAI recomienda la adopción de un Sistema de Gestión de Seguridad de Datos Personales (SGSDP), basado en el ciclo PHVA (Planear-HacerVerificar-Actuar) o PDCA (Plan-Do-Check-Act).
6
©2014 Galaz, Yamazaki, Ruiz Urquiza, S.C.
Sistema de Gestión de Seguridad de Datos Personales (SGSDP) El SGSDP es un sistema de gestión general para: 1. Establecer 2. Implementar 3. Operar 4. Monitorear 5. Revisar 6. Mantener y 7. Mejorar el tratamiento y seguridad de los datos personales Lo anterior en función del riesgo de los activos y de los principios básicos de licitud, consentimiento, información, calidad, finalidad, lealtad, proporcionalidad y responsabilidad previstos en la Ley, su Reglamento, normatividad secundaria y cualquier otro principio que la buena práctica internacional estipule en la materia.
El SGSDP tiene como objetivo proveer un marco de trabajo para el tratamiento de datos personales, que permita mantener vigente y mejorar el cumplimiento de la legislación sobre protección de datos personales y fomentar las buenas prácticas.
7
©2014 Galaz, Yamazaki, Ruiz Urquiza, S.C.
Sistema de Gestión de Seguridad de Datos Personales (SGSDP) Las acciones mínimas a realizar en el Sistema de Gestión de Seguridad de Datos Personales son las siguientes: FASE 1. PLANEAR EL SGSDP Definir los objetivos, políticas, procesos y procedimientos relevantes del SGSDP para gestionar los riesgos de los datos personales, con el fin de cumplir con la legislación sobre protección de datos y obtener resultados acordes con las políticas y objetivos generales de la organización.
8
1.
Alcance y Objetivos
2.
Política de Gestión de Datos Personales
3.
Funciones y Obligaciones de Quienes Traten Datos Personales
4.
Inventario de Datos Personales
5.
Análisis de Riesgo de los Datos Personales
6.
Identificación de las Medidas de Seguridad y Análisis de Brecha
©2014 Galaz, Yamazaki, Ruiz Urquiza, S.C.
Sistema de Gestión de Seguridad de Datos Personales (SGSDP) FASE 2. IMPLEMENTAR Y OPERAR EL SGSDP Implementar y operar las políticas, objetivos, procesos y procedimientos del SGSDP, así como sus controles o mecanismos con indicadores de medición. 7.
Implementación de las Medidas de Seguridad Aplicables a los Datos Personales
FASE 3. MONITOREAR Y REVISAR EL SGSDP Evaluar y medir el cumplimiento del proceso de acuerdo con la legislación de protección de datos personales, la política, los objetivos y la experiencia práctica del SGSDP, e informar los resultados a la Alta Dirección para su revisión. 8.
Revisiones y Auditoría
FASE 4. MEJORAR EL SGSDP Para lograr la mejora continua se deben adoptar medidas correctivas y preventivas, en función de los resultados obtenidos de la revisión por parte de la Alta Dirección, las auditorías al SGSDP y de la comparación con otras fuentes de información relevantes, como actualizaciones regulatorias, riesgos e impactos organizacionales, entre otros. Adicionalmente, se debe considerar la capacitación del personal. 9.
9
Mejora Continua y Capacitación
©2014 Galaz, Yamazaki, Ruiz Urquiza, S.C.
Guía para implementar un SGSDP El IFAI emitió en enero de este año la “guía para implementar un Sistema de Gestión de Seguridad de Datos Personales”. La adopción de lo establecido en la guía es de carácter voluntario, por lo que los responsables y encargados podrán decidir libremente qué metodología conviene más aplicar en su negocio para la seguridad de los datos personales. Asimismo, el seguimiento de la guía no exime a los responsables y encargados de su responsabilidad con relación a cualquier vulneración que pudiera ocurrir a sus bases de datos ya que la seguridad de dichas bases depende de una correcta implementación de las medidas o controles de seguridad.
10
©2014 Galaz, Yamazaki, Ruiz Urquiza, S.C.
Autorregulación ¿Qué es la Autorregulación? Es común que la autorregulación se asocie a la ausencia de un sistema formal de reglas y a una mínima intervención gubernamental. Sin embargo, en el caso del derecho a la protección de datos personales en México, la propia Ley Federal de Protección Datos Personales en Posesión de los Particulares (LFPDPPP) considera, en su artículo 44, a la autorregulación como una herramienta útil para fomentar la protección de los datos personales. Para el caso de la autorregulación en materia de protección de datos personales, estas reglas establecidas con la participación de los actores involucrados, servirán para complementar lo dispuesto por la LFPDPPP, y para que los responsables y encargados del tratamiento de datos personales se distingan de sus competidores, como empresas, organizaciones o profesionistas socialmente responsables.
Artículo 44.- Las personas físicas o morales podrán convenir entre ellas o con organizaciones civiles o gubernamentales, nacionales o extranjeras, esquemas de autorregulación vinculante en la materia, que complementen lo dispuesto por la presente Ley. Dichos esquemas deberán contener mecanismos para medir su eficacia en la protección de los datos, consecuencias y medidas correctivas eficaces en caso de incumplimiento. Los esquemas de autorregulación podrán traducirse en códigos deontológicos o de buena práctica profesional, sellos de confianza u otros mecanismos y contendrán reglas o estándares específicos que permitan armonizar los tratamientos de datos efectuados por los adheridos y facilitar el ejercicio de los derechos de los titulares. Dichos esquemas serán notificados de manera simultánea a las autoridades sectoriales correspondientes y al Instituto. 11
©2014 Galaz, Yamazaki, Ruiz Urquiza, S.C.
Esquema de Autorregulación Vinculante Conjunto de principios, normas y procedimientos, de adopción voluntaria y cumplimiento vinculante, validados por el Instituto, que tiene como finalidad regular el comportamiento de los responsables y encargados respecto a los tratamientos de datos personales que lleven a cabo. Objetivos: Los esquemas de autorregulación vinculante en materia de protección de datos personales tienen el objeto de complementar lo dispuesto por la Ley, el Reglamento y cualquier otra disposición aplicable en la materia, así como demostrar ante el Instituto y los titulares el cumplimiento de obligaciones previstas en dicha normativa, y contendrán reglas o estándares específicos que permitan armonizar los tratamientos de los datos personales efectuados por los adheridos y facilitar el ejercicio de derechos por parte de los titulares.
12
©2014 Galaz, Yamazaki, Ruiz Urquiza, S.C.
Guías y Herramientas del IFAI 1. Guía práctica para generar el aviso de privacidad
2. Recomendaciones para la designación de la persona o departamento de datos personales 3. Guía práctica para ejercer el derecho a la protección de datos personales 4. Guía práctica para la atención de las solicitudes de ejercicio de los derechos ARCO 5. Guía para implementar un Sistema de Gestión de Seguridad de Datos Personales 6. Centro Virtual de Formación en Acceso a la Información y Protección de Datos
13
©2014 Galaz, Yamazaki, Ruiz Urquiza, S.C.
Guías y Herramientas del IFAI (cont.) Generador de Avisos de Privacidad (GAP) El IFAI puso en operación el Generador de Avisos de Privacidad (GAP) para facilitar el cumplimiento de la LFPDPPP. Mediante esta herramienta informática (disponible en la página del IFAI), los responsables del tratamiento de datos pueden obtener gratuitamente avisos de privacidad. De acuerdo con las estadísticas del Instituto, a la fecha, se han generado 9,795 Avisos de Privacidad.
14
©2014 Galaz, Yamazaki, Ruiz Urquiza, S.C.
Multas impuestas por el IFAI El IFAI ha impuesto multas por $56’662,740 pesos a empresas y una persona física por incumplimiento con la Ley. 1.
Banco Nacional de México ($16’155,936 pesos)
2.
Sport City ($1’246,600 pesos)
3.
Caja Popular Cristo Rey ($2’181,550 pesos)
4.
Médico particular ($41,874 pesos)
5.
Centro de Educación Emocional y Servicios Psicológicos VivirLibre.org, A.C. ($82,587 pesos)
6.
Banco Nacional de México, Integrante del Grupo Financiero Banamex ($2’493,200 pesos)
7.
Revoware ($56,097 pesos)
8.
Seguros Banamex ($3’989,120 pesos)
9.
Operadora Oceánica Internacional ($2’493,200 pesos)
10. Tarjetas Banamex, SOFOM, E.R. ($9’ 848,140 pesos) 11. UIC Universidad Intercontinental ($3’428,150 pesos)
12. Radiomóvil Dipsa ($6’264,165 pesos) 13. Universidad Intercontinental ($5’298,050 pesos) 14. Solufinte ($542,271 pesos) 15. Afore XXI Banorte ($ 1’246,600 pesos) 16. UIC Universidad Intercontinental ($ 1’295,200 pesos)
15
©2014 Galaz, Yamazaki, Ruiz Urquiza, S.C.
Multas impuestas por el IFAI (cont.) Entre las principales faltas en que incurrieron las empresas y por las cuales se hicieron acreedoras a dichas multas, se encuentran: 1.
La transferencia de datos a terceros sin comunicar a éstos el Aviso de Privacidad con las limitaciones de la divulgación de los datos personales del titular
2.
La violación a los principios de licitud, finalidad, información, consentimiento y responsabilidad
3.
La omisión en el Aviso de Privacidad de las opciones y medios que ofrecen a los titulares para limitar el uso o divulgación de sus datos
4.
16
La obstrucción de los actos de verificación de la autoridad
©2014 Galaz, Yamazaki, Ruiz Urquiza, S.C.
Deloitte se refiere a Deloitte Touche Tohmatsu Limited, sociedad privada de responsabilidad limitada en el Reino Unido, y a su red de firmas miembro, cada una de ellas como una entidad legal única e independiente. Conozca en www.deloitte.com/mx/conozcanos la descripción detallada de la estructura legal de Deloitte Touche Tohmatsu Limited y sus firmas miembro. Deloitte presta servicios profesionales de auditoría, impuestos, consultoría y asesoría financiera, a organizaciones públicas y privadas de diversas industrias. Con una red global de firmas miembro en más de 150 países, Deloitte brinda su experiencia y profesionalismo de clase mundial para ayudar a que sus clientes alcancen el éxito desde cualquier lugar del mundo en donde operen. Los aproximadamente 170,000 profesionales de la firma están comprometidos con la visión de ser el modelo de excelencia. Esta publicación sólo contiene información general y ni Deloitte Touche Tohmatsu Limited, ni sus firmas miembro, ni ninguna de sus respectivas afiliadas (en conjunto la “Red Deloitte”), presta asesoría o servicios por medio de esta publicación. Antes de tomar cualquier decisión o medida que pueda afectar sus finanzas o negocio, debe consultar a un asesor profesional calificado. Ninguna entidad de la Red Deloitte, será responsable de la pérdida que pueda sufrir cualquier persona que consulte esta publicación. © 2014 Galaz, Yamazaki, Ruiz Urquiza, S.C.