Embed Size (px)
Citation preview
www.ctainl.org.mx
2
DIR
ECTO
RIO
3
ÍND
ICE
Directorio 2Índice 3Introducción 4Glosario 5Concepto de Responsable y Encargado 8El derecho a la Protección de Datos Personales 9Obligaciones del Responsable y Encargado 10Apoyo de la CTAINL 14Principios de Protección de Datos 15Principio de Consentimiento 16Excepciones al principio de Consentimiento 16Transmisión de Datos 17Principio de Información Previa 20Aviso de Privacidad 20Principio de Finalidad 23Principio de Licitud 23Principio de Calidad de la Información 24Principio de Confidencialidad 25Principio de Seguridad 27Medidas de Seguridad 27Niveles de Seguridad 28Derechos ARCO 31Derecho de Acceso 31Derecho de Rectificación 36Derecho de Cancelación 37Derecho de Oposición 38Excepciones al Derecho ARCO 38Datos especialmente protegidos 39Ejercicio de los Derechos ARCO 39Requisitos de la Solicitud de los Derechos ARCO 40Procedimiento de Inconformidad 42Medios de presentación del Procedimiento 42Preguntas para recordar 45Anexos 53
LIC. SERGIO ANTONIO MONCAYO GONZÁLEZCOMISIONADO PRESIDENTE
LIC. GUILLERMO CARLOS MIJARES TORRESCOMISIONADO PROPIETARIO
LIC. RODRIGO PLANCARTE DE LA GARZACOMISIONADO PROPIETARIO
LIC. MA. EUGENIA PÉREZ EIMBCKECOMISIONADA SUPERNUMERARIA
Ricardo Cantú AguillénSecretario Técnico
Bernardo Sierra GómezSecretario Ejecutivo
Colaboración Editorial:
Luisa Fernanda Lasso de la Vega García
Francisco Reynaldo Guajardo Martínez
Erika Nadezha Ruiz Cruz
Carlos Alberto Joloy Carballo
5
GLO
SAR
IO
- Aviso de Privacidad: Documento físico, electrónico o encualquier otro formato (como que puede ser visual o sonoro)que informa sobre quién recaba los datos personales, paraqué y como los utiliza, así como las características distintivasy esenciales del tratamiento a que será sometida la informa-ción personal, el cual es generado por el responsable y quees puesto a disposición del titular, previo al tratamiento de susdatos personales, de conformidad con lo que establece la Ley.
-Bloqueo: La conservación de Datos Personales una vezcumplida la finalidad para la que fueron recabados, con elúnico propósito de determinar posibles responsabilidades enrelación con su tratamiento, hasta el plazo de prescripción deéstas. Durante dicho periodo, los Datos Personales no podránser objeto de tratamiento y transcurrido éste, se procederá asu supresión.
-Consentimiento: Toda manifestación de voluntad, libre,inequívoca, específica e informada, mediante la que el intere-sado consienta el tratamiento de Datos Personales que leconcierne.
-CTAINL: Comisión de Transparencia y Acceso a laInformación del Estado de Nuevo León.
4
INTR
OD
UC
CIÓ
N
La Comisión de Transparencia y Acceso a la
Información del Estado de Nuevo León pone a
disposición de los Servidores Públicos que son
designados Responsables y Encargados de las bases de
datos que tienen en su posesión los Sujetos Obligados,
esta Guía Práctica la cual contiene lo que debes saber
para proteger y respetar el Derecho a la Protección
del Dato Personal y así cumplir con la Ley de
Transparencia y Acceso a la Información Pública.
ES IMPORTANTE!
Toda persona física tiene derecho a la protección de los
datos de carácter personal que le conciernen y éste
derecho le atribuye la facultad de controlar sus datos.
La Constitución Política de los Estados Unidos
Mexicanos.
Reconoce el Derecho Fundamental a la Protección de
Datos de Carácter Personal.
Los Organismos Públicos tratan datos de carácter per-
sonal y están obligados a garantizar el derecho funda-
mental a la Protección de Datos.
Es necesario que todos los usuarios dela misma tengamos claros y unificadoslos siguientes conceptos:
- Datos Personales: Toda información numérica, alfabética,gráfica, fotográfica, acústica o de cualquier otro tipo con-cerniente a una persona física identificada o identificable, re-lativa al origen étnico o racial, las características físicas,morales o emocionales, la vida afectiva y familiar, domicilioparticular, número telefónico particular, cuenta personal decorreo electrónico, patrimonio personal y familiar, ideología yopiniones políticas, creencias, convicciones religiosas o filosó-ficas, estado de salud físico o mental, las preferencias se-xuales, la huella digital, ácido desoxirribonucleico (ADN),fotografía, número de seguridad social, y toda aquélla quepermita la identificación de la misma.
- Disociación: El procedimiento mediante el cual los DatosPersonales no pueden asociarse al interesado ni permitir, porsu estructura, contenido o grado de desagregación, la identifi-cación del mismo.
- Encargado: El Servidor Público o cualquier otra persona físi-ca o moral facultada por un instrumento jurídico o expresa-mente autorizado por el responsable para llevar a cabo eltratamiento físico o automatizado de los Datos Personales.
- Información Confidencial: Aquélla que se refiere a la vidaprivada y los Datos Personales.
- Interesado: La persona física titular de los datos que seanobjeto del tratamiento.
-LTAINL: Ley de Transparencia y Acceso a la Información delEstado de Nuevo León.
-Responsable: Servidor Público titular de la unidad adminis-trativa responsable de las decisiones sobre el tratamiento físi-co o automatizado de Datos Personales, así como el contenidoy finalidad de los sistemas de Datos Personales.
- Sistema de Datos Personales: Conjunto ordenado dedatos personales que estén en posesión de un sujeto obliga-do, ya sea de forma física o automatizada.
-Transmisión: Toda comunicación o cesión de Datos Perso-nales a una persona distinta del interesado. No se considerarácomo tal la efectuada por el responsable al encargado de losDatos Personales.
-Tratamiento de Datos Personales: Cualquier operación oconjunto de operaciones, efectuadas mediante procedimientosautomatizados o físicos, y aplicadas a Datos Personales, comola obtención, registro, organización, conservación, elaboracióno modificación, extracción, consulta, utilización, comunicaciónpor transmisión, difusión o cualquier otra forma que facilite elacceso a los mismos, cotejo o interconexión, así como su blo-queo, supresión o destrucción.
76
La Constitución Mexicana en su artículo 16 reconoce quetoda persona tiene derecho a la protección de sus DatosPersonales, al Acceso, Rectificación y Cancelación de los
mismos, así como a manifestar su Oposición, en los términosque fije la Ley, la cual establecera los supuestos de excepcióna los principios que rijan el tratamiento de datos, como porejemplo por razones de seguridad nacional, disposiciones deorden público, seguridad y salud pública o para proteger losderechos de terceros.
La Ley de Transparencia establece las obligaciones que losresponsables de las bases de datos y los encargados de lostratamientos de los organismos públicos, han de cumplir paragarantizar la observancia del derecho a la protección de losdatos de carácter personal.Esta guía abordara los aspectos fundamentales que se debentener en cuenta:
Los avances de las Tecnologías de la Información y laComunicación y sus implicaciones para la vida de las personasdieron origen a un derecho distinto, relacionado con la protec-ción de los Datos Personales. Sin dejar de lado que estosavances de la tecnología a su vez nos han simplificado nuestrotrabajo, pero a la vez tenemos que tener mayor cuidado conla información referente a los datos de carácter personal quemanejamos o bien que tenemos en nuestra posesión porcuestión de nuestras atribuciones laborales. Por lo cual essumamente necesario saber que el titular del dato tiene dere-cho a ejercer el Acceso, a Rectificar, a Cancelar y aOponerse al tratamiento de sus Datos Personales.
Pero para esto es necesario que tú como responsable y encar-gado del tratamiento de las bases de datos, sepas cómopuede el titular del dato ejercer su derecho, de tal forma quelo puedan realizar de una manera sencilla y eficaz, así comoproteger la información que se encuentra en los sistemas debases de datos.
El derecho a la Protección de Datos Personales.
Es un derecho fundamental de las personas físicas, que buscaproteger la intimidad y su privacidad del titular del dato frentea las vulneraciones de tales derechos que puedan proceder dela obtención y almacenamiento de sus datos personales por lossujetos obligados. Tiene por objeto garantizar a toda persona el poder dedecisión y control que tiene sobre la información que leconcierne, concretamente sobre el uso y destino que se le daa sus Datos Personales.
¿QUIÉN ES EL RESPONSABLE?El responsable de una base de datos o tratamiento es:El Servidor Público titular de la unidad adminis-trativa responsable de las decisiones sobre eltratamiento físico o automatizado de DatosPersonales, así como el contenido y finalidad delos sistemas de Datos Personales.
¿QUIÉN ES EL ENCARGADO?
El Servidor Público o cualquier otra persona físi-ca o moral facultada por un instrumento jurídicoo expresamente autorizado por el responsablepara llevar a cabo el tratamiento físico o auto-matizado de los Datos Personales.
98
1110
Cada uno de nosotros somos dueños de nuestros DatosPersonales, que van desde el derecho a saber quién tienenuestra información, como se está utilizando, para que se estáutilizando, si esta información será cedida o transmitida yhasta cuando será utilizada y por ende el saber que tenemosderechos para ejercer en relación a este tratamiento de DatosPersonales.
La Constitución Política de los Estados UnidosMexicanos en el artículo 16 nos dice:
Toda persona tiene derecho a la protección de sus DatosPersonales, al Acceso, Rectificación y Cancelación de los mis-mos, así como a manifestar su Oposición, en los términos quefije la Ley, la cual establecerá los supuestos de excepción a losprincipios que rijan el tratamiento de datos, por razones deseguridad nacional, disposiciones de orden público, seguridady salud pública o para proteger los derechos de terceros.
El artículo 15 de la Constitución Política del Estado de NuevoLeón, ha sido recientemente homologado (17 de Febrero del2012) a la Constitución Federal, por lo cual ya han sidoreconocidos los derechos que tiene el titular del dato paraejercer si hay algun tratamiento indebido de sus datos perso-nales.
Pero… ¿Cuáles son las obligaciones que tienes como Responsable y Encargado de la base de datos?
Asegurarse de que los datos sean adecuados y veraces,obtenidos lícita y legítimamente y tratados de modo pro-porcional a la finalidad para la que fueron recabados.
Garantizar el cumplimiento de los deberes de secreto yseguridad.En la página de internet de la CTAINL pusimos a tu dis-posición las “Recomendaciones de Medidas deSeguridad”, en las cuales podrás apoyarte para imple-mentar las medidas que sean necesarias de acuerdo alnivel de seguridad que requiera el Dato Personal que ten-gas en tu posesión.
Informar a los titulares de los Datos Personales en laobtención de los mismos.
Obtener el consentimiento para el tratamiento de losDatos Personales.
Facilitar y garantizar el ejercicio de los derechos deAcceso, Rectificación, Cancelación y Oposición de Datos.
Asegurarse que en sus relaciones con terceros se cumplala Ley de Transparencia y Acceso a la Información delEstado de Nuevo León, en lo relativo a la Protección delDato de carácter personal.
Desarrollar o tener sistemas de Datos Personales sólocuando estos se relacionen directamente con sus facul-tades o atribuciones, legales o reglamentarias.
No tener sistemas de Datos Personales creados con lafinalidad exclusiva de almacenar datos de carácter per-sonal que revelen la ideología política o filosófica, afi-liación sindical, religión, creencias, origen racial o étnico, opreferencia sexual.
1312
Asociada a la figura del responsable, está la figura delencargado, que es la persona física, autoridad pública, moralo cualquier otro organismo que, sólo con otros, trate datos porcuenta del responsable de la base de datos.
La realización de un tratamiento por cuenta de terceros deberáestar regulada en un contrato que deberá constar por escritoo en alguna otra forma que permita acreditar su celebración ycontenido, estableciéndose expresamente que el encargadotratará los datos conforme a las instrucciones del responsable,que no los aplicará o utilizará con fin distinto al que figure endicho contrato, ni los comunicará, ni siquiera para su conser-vación, a otras personas.
Ambos, encargado y responsable del tratamiento, pueden sersancionados de acuerdo a la LTAINL si incumplen con susobligaciones.
Es habitual que practicamente para cualquier actividad seanecesario que los Datos Personales se obtengan y utilicen enla vida cotidiana. La Comisión de Transparencia regula eltratamiento del dato personal que se encuentra en posesión delas autoridades.
Si se obtienen y tratan el nombre, apellido,fecha de nacimiento, el código postal o la direc-ción de correo electrónico, el número de telé-fono, la huella digital, el ADN, una fotografía, elnúmero de seguridad social; se están usandodatos que identifican a una persona, ya seadirecta o indirectamente.
¿CUÁNDO SE TRATAN LOS DATOS PERSONALES?
Los Datos Personales permitenidentificar a una persona.
1514
La Comisión de Transparencia y Acceso a la Informacióndel Estado de Nuevo León protege los derechos de losciudadanos. Es el organo autónomo que vela por el
cumplimiento de la normativa sobre Acceso a la Información,Transparencia y Protección de Datos Personales en el ámbitopúblico.
Informa sobre el contenido, los principios y las garantías delderecho fundamental a la protección de datos regulado por laLey de Transparencia y Acceso a la Información del Estado deNuevo León.
AYUDA al ciudadano a ejercer sus derechos.
AYUDA a los responsables y encargados de tratamien-tos a cumplir con las obligaciones que establece la LTAINLy a resolver sus dudas.
GARANTIZA el derecho a la protección de los datosinvestigando aquellas actuaciones de los responsables yencargados de las bases de datos que puedan ser con-trarias a los principios y garantías contenidos en la LTAINL.Impone en estos casos las correspondientes sanciones yse les da vista a su superior jerárquico.
La Comisión cuenta con un área de Atención a la Sociedad queinforma, asesora y orienta a la ciudadania, así como a los suje-tos obligados sobre todos los aspectos relacionados con la Leyde Transparencia y Acceso a la Información del Estado deNuevo León.
Dirígete a la CTAINL teléfono 10017800 y 01 800 2287465 Ubicación: Av. Constitución 1465-1,
Edificio Maldonado. Zona Centro. Monterrey, N.L.
Lo anterior trae como consecuencia una serie de obligaciones,deberes y reglas mínimas indispensables que deberás cumplirpara garantizar un debido tratamiento de los datos personalesque se encuentren en tu posesión.
PRINCIPIOS DE PROTECCIÓN DE DATOS
Estas obligaciones se rigen por los denominadosPrincipios de Protección de Datos, los cuales son:
1. Principio de Consentimiento;2. Principio de Información Previa;3. Principio de Finalidad;4. Principio de Licitud;5. Principio de Calidad de la Información;6. Principio de Confidencialidad;7. Principio de Seguridad; y8. Garantizar el ejercicio de los derechos
de Acceso, Rectificación, Cancelación y Oposición.
En todo momento en que lleves a cabo el tratamiento del DatoPersonal, tendrás la obligación de regirte por los principios deprotección de datos anteriormente mencionados.
En referencia al Principio de Consentimiento y siendo elprincipal pilar de los principios del Derecho a la Protección dedatos, es importante dejar en claro a lo que nos referimosmediante el consentimiento, el cual es toda manifestación devoluntad, libre, inequívoca, específica e informada, me-diante la cual el interesado consienta el tratamiento de DatosPersonales que le concierne.
CO
NSE
GU
IR A
YU
DA
1716
De ello se desprende que para que el consentimiento puedaser considerado conforme a derecho deben darse los cuatrorequisitos enumerados en la definición anteriormente men-cionada.
Este principio se cumple por medio de los formatos quedeberán estar a disposición del titular del dato, ya sea en for-mato físico o electrónico, para dar dicho consentimiento altratamiento del dato de carácter personal.
FORMATO DE CONSENTIMIENTO:Se encuentra en los anexos.
Es imprescindible obtener el consentimiento o autorización deltitular del dato para que se lleve a cabo su debido tratamiento.
NO SERÁ NECESARIO EL CONSENTIMIENTO CUANDO Excepciones al principio del consentimiento.
Cabe señalar que existen excepciones al principio delconsentimiento, tanto para la cesión como para eltratamiento de los datos personales.
Sólo así se podrán tratar los datos del interesado.(art. 46 LTAINL)
Cuando se recaben para el ejercicio de las atribucioneslegales otorgadas a los sujetos obligados.
Cuando el tratamiento es necesario para el mantenimien-to o cumplimiento de un contrato o precontrato de una
relación negocial, laboral o administrativa y sean necesa-rios para su mantenimiento o cumplimiento.
Cuando sean necesarios para efectuar un tratamientopara la prevención o para el diagnóstico médico, laprestación de asistencia sanitaria o tratamientos médicoso la gestión de servicios sanitarios, siempre que dichotratamiento de datos se realice por una persona sujeta alsecreto profesional u obligación equivalente.
Cuando los datos figuren en fuentes de acceso público ysu tratamiento sea necesario.
TRANSMISIÓN DE DATOS
El titular del dato deberá otorgar su consentimiento previocuando sus datos de carácter personal vayan a ser transmiti-dos, sin embargo, también hay excepciones a esta regla loscuales se encuentran en el artículo 71 de la LTAINL:
Cuando esté previsto en una Ley.
Cuando se trate de datos obtenidos de fuentes de acce-so público, como el Registro Público de la Propiedad,Registro Civil, Sección Amarilla, etc.
Cuando la transmisión se realice al Ministerio Público enel ejercicio de sus atribuciones de investigación y perse-cución de los delitos, así como a los órganos jurisdic-cionales en el ejercicio de sus funciones.
1918
Cuando se trate de datos obtenidos por los sujetos obli-gados en el ámbito de su competencia y sean utilizadospara el mismo objetivo.
Cuando tengan por objeto el tratamiento posterior de losdatos con fines históricos, estadísticos o científicos.
Mención especial merece el tratamiento de datos personalesde los menores de edad, toda vez que requiere la autorizaciónde los padres o tutores.
Finalmente, se debe señalar que, en todo caso, será el respon-sable del tratamiento de los datos el obligado a acreditar quedispone del preceptivo consentimiento. En definitiva, es alresponsable del tratamiento al que incumbre la carga de laprueba.
Como regla general es válido el consentimiento tácito, enel tratamiento de datos que no sean especialmente protegidos(datos sensibles) siempre y cuando se ponga a disposición delos individuos titulares de los datos, el aviso de privacidad, enel que se indique cómo sera tratada su información.
DATOS SENSIBLES (ESPECIALMENTE PROTEGIDOS)
Los Datos Personales especialmente protegidos son aquellosque afectan a la esfera más íntima del individuo. Por ellomerecen que sean objeto de una especial protección.
Si vas a tratar Datos Personales sensibles como ideología políti-ca o filosófica, afiliación sindical, salud, religión, preferenciassexuales, origen racial o étnico, deberás obtener el consen-timiento por escrito; y por Ley no se permite crear bases dedatos con la única finalidad de almacenarlos.
No obstante, se podrán tratar, los datos anteriores, si resultanecesario para el diagnóstico médico o la asistencia sanitaria ola gestión de servicios sanitarios, siempre y cuando dichotratamiento de datos sea realizado por una persona sujeta alsecreto profesional u alguna obligación equivalente. Igualmentecuando sea necesario para salvaguardar el interés vital del afec-tado o de otra persona, en el supuesto de que el afectado estéfísica o jurídicamente incapacitado para dar su consentimiento.
Los datos de carácter personal relativos a la comisión de infrac-ciones penales o administrativas sólo podrán ser incluidos en sis-temas de bases de datos de los Sujetos Obligados competentesen los supuestos previstos en las respectivas normas que seanaplicables.
Para finalizar este apartado, se debe señalar que todo consen-timiento es revocable en todo momento y debe poder solicitarsea través de un medio sencillo y gratuito ante el responsable deltratamiento o, en su caso, persona que actúe en su nombre(Representante Legal).
Una vez revocado el consentimiento por el afectado, el respon-sable deberá cesar el tratamiento de los datos del afectado obje-to de revocación. Además, cuando el responsable hubiere cedi-do los datos a un tercero, deberá comunicar a los cesionarios talrevocación al objeto de que cesen, igualmente, el tratamientoque estén llevando a cabo.
2120
AL OBTENER Y TRATAR DATOS, SE DEBECUMPLIR CON EL PRINCIPIO DE:
INFORMACIÓN PREVIA Es un derecho que tiene el titularde los datos y una obligación correlativa del Sujeto Obligado,como responsable de los sistemas que almacenan informaciónrelativa al titular de los datos. Y como su mismo nombre lo dicees previo al tratamiento de los datos, por lo cual deberás darlea conocer al titular de los datos el AVISO DE PRIVACIDAD,para cumplir con este importante principio.
Con este aviso de privacidad pondrás a disposición del titularde los datos el conocimiento de cómo serán tratados sus datosy como puede ejercer sus derechos de Acceso, Rectificación,Cancelación y Oposición de datos.
Los requisitos que debe contemplar como mínimoel AVISO DE PRIVACIDAD son:
1. Que sus datos serán incorporados a un sistema debases de datos.2. La finalidad de dichos datos que proporcione el titulardel dato.3. Quiénes serán los destinatarios de los Datos Perso-nales proporcionados.4. Si es obligatorio o facultativa la entrega de los DatosPersonales.5. Cuáles serían las consecuencias de no proporcionarlos.6. Si serán transmitidos los datos proporcionados oexistiere la posibilidad de que así fuera.
7. De los derechos que tienen para ejercer en relación ala protección del Dato Personal (Acceso, Rectificación,Cancelación y Oposición)8. Del cargo y dirección del responsable de la base dedatos.Cuando utilices algún tipo de cuestionario u otro tipo dedocumento impreso para la obtención de sus DatosPersonales, deberás darle a conocer al titular del dato,para qué serán utilizados sus datos, es decir, la finalidadde los mismos, qué derechos tienen, ante quién lospueden ejercer y cómo pueden hacerlos valer.
El titular del dato que te manifiesta su voluntad otorgan-do el consentimiento para que sus Datos Personales seantratados por el Sujeto Obligado que lo solicita, deberáestar previamente informado sobre los pormenores de taltratamiento.
Por lo cual debes informar al titular del dato que:
Deben conocer para qué se utilizan sus datos.Deben conocer que existe una base de datos o un tratamiento con sus datos.Se debe indicar el responsable de la base dedatos y su dirección o la de su representante para ejercer los derechos ARCO.
Cualquier persona tiene derecho a saber si sus Datos Perso-nales van a ser incluídos en una base de datos, y lostratamientos que se realizan de los mismos.
2322
Por lo cual, los responsables tienen la obligación de informaral titular del dato cuando obtengan los Datos Personales queles afecten. Este derecho de información es esencial porquegarantiza que el consentimiento que se preste sea previo,específico e informado y es necesario para permitir el ejerciciode los derechos de Acceso, Rectificación, Cancelación yOposición.
El artículo 47 de la LTAINL contiene la obligación que tienen losresponsables de las bases de datos o tratamientos de informara los ciudadanos de la incorporación de sus datos a una basede datos, de la identidad (cargo) y dirección del responsable,de la finalidad del fichero, de los destinatarios de la informa-ción, del carácter obligatorio o facultativo de la entrega de losdatos personales, de las consecuencias de la obtención de losdatos o de la negativa a suministrarlos, así como de la posibi-lidad de ejercitar los derechos de Acceso, Rectificación,Cancelación y Oposición de datos, como se explicó en párrafosanteriores.
La Ley excusa del deber de informar sobre algunos de estosaspectos cuando se deduzcan inequívocamente de la natu-raleza de los propios datos personales y de las circunstanciasen las que se produce la obtención de los datos.
En caso de que se utilicé internet como medio de obtención delos datos, también debe facilitarse esta información a losusuarios que registran sus datos y debe de hacerse de modoque la información sea siempre previa al tratamiento.
Cuando los datos se obtengan directamente del interesado y/otitular del dato, la información deberá facilitarse con carácterprevio a la obtención de los Datos Personales.
En caso de que los datos de carácter personal no hubieren sidoobtenidos del interesado, el responsable del sistema de DatosPersonales debe informarle (aviso de privacidad) de esa obten-ción de datos en el plazo de los tres meses siguientes ya seaa través de mecanismos impresos, sonoros, visuales, electróni-cos o cualquier otro. (Salvo que exista constancia de que ya fueinformado de que sus datos se incorporarán a un sistema, dela posibilidad de que sus datos sean transmitidos, de que puedeejercer sus derechos de Acceso, Rectificación, Cancelación yOposición y del cargo y dirección del responsable).
Principio de Finalidad: Los Datos Personales no podránusarse para finalidades distintas a aquellas para las cuálesfueron obtenidos o tratados. Es importante mencionar que siconsideras que los datos que tienes en la base de datos en tuposesión, los requieres para otro tipo de finalidad, deberás deobtener el consentimiento nuevamente.
No deberás considerar una finalidad distinta cuando sutratamiento sea con fines históricos, estadísticos o cientí-ficos.
Principio de Licitud: Es un derecho que tiene el titular deldato y una obligación correlativa con la autoridad, como res-ponsable de los sistemas que almacenan información relativaal titular de los datos. Es la obtención y tratamiento con apegoa las diversas disposiciones legales aplicables al mismo.
En otras palabras, es dar un uso a los Datos Personales, deacuerdo a lo que dispone la Ley, desde el momento de suobtención a su cancelación o supresión del mismo.
Así mismo no deberás utilizar medios engañosos o fraudalentospara obtener los Datos Personales del titular del dato.
2524
CALIDADPrincipio de calidad de la Información
Es el conjunto de obligaciones a cargo de la Autoridad (SujetoObligado) como responsable de los sistemas, diseñados para elcorrecto tratamiento de los datos durante su vigencia. Esteprincipio tiene relación con el hecho de que los Datos Perso-nales que tengan en su posesión en sus bases de datos seencuentren adecuados, pertinentes y no excesivos en relacióncon el ámbito y la finalidad para las que se hayan obtenido.
Respecto a este principio la Ley de Transparencia contemplaque todos los datos de carácter personal serán exactos, por locual los Sujetos Obligados deberán actualizarlos de forma querespondan con veracidad a la situación actual del interesado otitular del dato.
POR LO CUAL:
Los datos deben recabarse sólo con fines determinados
explícitos y legítimos No usarlos para otros fines.
Los datos deben ser adecuados, pertinentes y no excesivosen relación con la finalidad, para la cual los obtuviste
No recabarlos si no son necesarios.
Los datos deben ser exactos y responder con veracidad a lasituación del titular del dato Mantenerlos actualizados.
Los datos sólo deben conservarse durante el tiempo necesariopara las finalidades del tratamiento para las que han sidorecolectados Cancelarlos si ya no son necesarios.
El artículo 50 de la LTAINL incluye todos estos principios bajoel concepto de calidad de los datos. Además, permite porexcepción conservar datos que no sean ya necesarios deacuerdo al tratamiento para el que hubieran sido recolectadosen caso de valor histórico, estadístico o científico.
El cumplimiento del principio de calidad de datos conlleva laobservancia de las siguientes obligaciones básicas:
Proporcionalidad, que implica que sólo podrán recabarseaquellos datos que sean adecuados, pertinentes y no exce-sivos en relación con la finalidad para la que se hayanobtenido.
Veracidad, que exige que los datos sean exactos yactuales.
Finalidad, que significa que los datos sólo podrán utilizarsepara la finalidad o finalidades para los cuales fueronrecabados.
Principio de Confidencialidad DIVULGAR Y CONTROLAR
El principio de confidencialidad es la responsabilidad dequienes intervienen como responsables, encargados y usuariosen cualquier fase del tratamiento de los Datos Personales deguardar secreto.
Definir las funciones y obligaciones de las personas con acceso a los datos de carácterpersonal y a los sistemas de información.Asegurarse de que todos conozcan las normas de seguridad que les afectan y lasconsencuencias de incumplirlas.
2726
Dicha responsabilidad subsiste aún después de cancelados oanulados los datos y sistemas utilizados, prolongándose aúndespués de finalizada la relación entre el titular de los datos yel responsable del sistema.
Este principio es un deber del Sujeto Obligado, en el cual paracumplir con este principio deberas mantener la confidenciali-dad de los Datos Personales que tienes en tu posesión, esdecir el deber de guardar secreto.
El responsable, el encargado del tratamiento, y el personal deambos que intervengan en cualquier fase del tratamiento(cuando se recaben los datos, cuando se realiza el tratamien-to propiamente dicho, y cuando se utilizan), están obligados alsecreto profesional respecto de los mismos y al deber deguardarlos, aun después de finalizar sus relaciones con el titu-lar de la base de datos o, en su caso, con el responsable delmismo.
¿Pero cómo se puede garantizar el cumplimiento del principio de confidencialidad?
El Sujeto Obligado debe adoptar una adecuada política deconfidencialidad de los Datos Personales, en los contratos detrabajo que celebre con personal a su servicio y por el cualdeberán incluir una cláusula obligatoria sobre guarda delsecreto profesional.
Así como designar al Responsable y Encargado que tendrábajo su resguardo las bases de datos, el cual deberá firmar enespecífico una cláusula de confidencialidad sobre las bases dedatos que tienen en su posesión.
Principio de Seguridad
En el transcurso del tratamiento surgen riesgos para los datosde carácter personal, ya sea que provengan de la acciónhumana o del medio físico en el que estén, que podrían con-ducir a una vulneración del derecho a la protección del dato,lo que sería contrario al objeto de la LTAINL en relación a laProtección del dato personal, la cual es “garantizar y proteger,en lo que concierne al tratamiento de los datos personales”.
Este principio consiste en el deber que tiene el responsable delos sistemas de adoptar e implementar las medidas de índoletécnica, administrativas y organizativas necesarias para garan-tizar la seguridad de los Datos Personales y evitar sualteración, pérdida, tratamiento o acceso no autorizado, con locual se garantizara la confidencialidad e integridad de los datospersonales.
El cumplimiento de este deber también es en beneficio de lasautoridades, ya que al adoptar las medidas de seguridad evi-tará perjuicios derivados de una seguridad deficiente; y garan-tizará el ejercicio de los derechos de Acceso, Rectificación,Cancelación y Oposición.
MEDIDAS DE SEGURIDAD
El Sujeto Obligado deberá adoptar las medidas de índole téc-nica, administrativa y organizativa necesarias que garanticen laseguridad de los datos de carácter personal y eviten sualteración, pérdida, tratamiento o acceso no autorizado,teniendo en cuenta el estado de la tecnología, la naturaleza delos datos almacenados y los riesgos a que están expuestos.
2928
El artículo 52 de la LTAINL condiciona estas medidas al menoro mayor grado de protección según lo amerite el Dato Perso-nal tratado.
La CTAINL emitió Recomendaciones de Medidas de Seguridad(http://www.ctainl.org.mx/descargas/videosfla/Mediseguri/book.swf), las cuales se encuentran basadas en las formuladaspor el Instituto Federal de Acceso a la Información y Protecciónde Datos Personales. Cuya aplicación de las mismas se orde-nan para garantizar la confidencialidad, integridad, y disponi-bilidad de los datos. La seguridad constituye un instrumentoesencial para garantizar el derecho fundamental a la protec-ción de los datos.
Las medidas de seguridad se aplican tanto a las bases de datoscomo al tratamiento que se le da a las mismas. Y deben apli-carse tanto por el responsable de las bases de datos, como porel encargado del tratamiento.
Lo anterior también se debe realizar no sólo con los soportesautomatizados, sino tambien con las bases de datos que seencuentren en soporte físico.
NIVELES DE SEGURIDAD
La LTAINL en su artículo 79 fija tres niveles de seguridad aten-diendo a la naturaleza de la información.
Los niveles de seguridad son acumulativos de modo queuna base de datos de nivel alto deberá aplicar tambiénlas medidas previstas en los niveles básico y medio.
Son todos los datos que hacen referencia a la ideología y religión, como: creencia religiosa, ideo-logía, afiliación política y/o sindical, pertenencia aorganizaciones de la sociedad civil y/o asocia-ciones religiosas, entre otros.Datos de salud: Estado de salud, historial clínico,alergias, enfermedades, información relacionadacon cuestiones de carácter psicológico y/opsiquiátrico, incapacidades médicas, interven-ciones quirúrgicas, vacunas, consumo de sustan-cias tóxicas, uso de aparatos oftalmológicos,ortopédicos, auditivos, prótesis, entre otros.Características personales: Tipo de sangre,ADN, huella digital, u otros análogos.Características físicas: Color de piel, color deiris, color de cabello, señas particulares, estatura,peso, complexión, discapacidades, entre otros.Vida sexual: Preferencia sexual, hábitos se-xuales, entre otros.Origen: Étnico y racial.
Datos Patrimoniales: Bienes muebles e inmue-bles, información fiscal, historial crediticio, ingresosy egresos, cuentas bancarias, seguros, afores,fianzas, servicios contratados, referencias perso-nales, entre otros.Datos de procedimientos jurisdiccionales oadministrativos seguidos en forma de juicio:Información relativa a una persona que se encuen-tre sujeta a un procedimiento administrativo segui-do en forma de juicio o jurisdiccional en materialaboral, civil, penal o administrativa.Datos académicos: Trayectoria educativa, títulos,cédula profesional, certificados y reconocimientos,entre otros.
NIV
EL A
LTO
NIV
EL M
EDIO
3130
En la página de la CTAINL (www.ctainl.org.mx)se pueden encontrar las Recomendaciones de
Medidas de Seguridad para cada uno de los niveles de acuerdo al dato que sea tratado.
ARCOGarantizar el ejercicio de los derechos de Acceso,Rectificación, Cancelación y Oposición, los cuales vere-mos al final de la presente guía.
El derecho a la Protección de Datos, que supone unreconocimiento al ciudadano de la facultad de controlar susDatos Personales y la capacidad para disponer y decidir sobrelos mismos, es un derecho fundamental que deriva directa-mente de nuestra Constitución.
La LTAINL garantiza una serie de derechos a las personas físi-cas, titulares de los datos, tales como el Derecho de Acceso,Rectificación, Cancelación y el de Oposición.
El titular de los datos que se tratantiene derecho gratuitamente.
A solicitar y obtener información de sus datos decarácter personal sometidos a tratamiento, y delorigen de dichos datos así como las comunicacionesrealizadas o que se prevén hacer de los mismos.
Derecho de AccesoPlazo de contestación a la Solicitud. 10 días.Acceso: 10 días desde la notificación que se haga al parti-cular sobre su disponibilidad, pero si el particular solicitó quese le entregue la información en copias simples o certificadas,el plazo de 10 días hábiles comenzará a correr a partir de queel particular cubra los costos correspondientes.
De identificación: Nombre, domicilio, número deteléfono particular, número de teléfono celular,dirección de correo electrónico, estado civil, firma,firma electrónica, Registro Federal deContribuyentes, Clave Única de Registro dePoblación, cartilla militar, lugar y fecha denacimiento, nacionalidad, edad, nombres defamiliares dependientes y beneficiarios,fotografía, idioma o lengua, entre otros.Laborales: Documentos de reclutamiento yselección, de nombramiento, de incidencia, decapacitación, puesto, domicilio de trabajo, correoelectrónico institucional, teléfono institucional,actividades extracurriculares, referencias labo-rales, referencias personales, entre otros.
Tránsito y movimientos migratorios:Información relativa al movimiento de las per-sonas dentro y fuera del país e información migra-toria de las personas, entre otros.
NIV
EL B
ÁSI
CO
3332
A que se actualicen sus datos si son inexactos o incompletos.
Derecho de RectificaciónPlazo de contestación a la solicitud. 10 días a partir de lapresentación de la misma. Este plazo se podrá ampliar poruna sola vez hasta por un periodo igual, cuando no seaposible dar respuesta en dicho término.
A que se borren o se supriman sus datos si son inexactos o se han tratado ilegalmente.
Derecho de CancelaciónPlazo de contestación a la solicitud. 10 días a partir de lapresentación de la misma. Este plazo se podrá ampliar poruna sola vez hasta por un periodo igual, cuando no seaposible dar respuesta en dicho término
A solicitar que no se traten sus datos.
Derecho de OposiciónPlazo de contestación: 10 días a partir de la presentaciónde la misma. Este plazo podrá ampliarse por una sola vezhasta por un periodo igual, cuando no sea posible darrespuesta en dicho término.
Deben garantizar el ejercicio de los derechos ARCO, ytienen la obligación de contestar al solicitante aunque no
figuren datos suyos y se debe hacer por medios que permitan acreditar el envío y la recepción de la notificación.
La Ley de Transparencia y Acceso a la Información del Estadode Nuevo León contempla los derechos del titular del dato deAcceder, Rectificar, Cancelar y Oponerse al tratamiento de susdatos personales. Estos derechos son conocidos por sus siglascomo Derechos ARCO.
Tienen que recordar que sólo el titular del dato o bien me-diante su representante legal podrán ejercer estos derechos yles tendrán que demostrar su personalidad para poder ejercer-los.
Esto se realiza con la única finalidad de que sea sólo el titulardel dato el que ejerza estos derechos y nadie más que él, deci-da sobre el tratamiento de sus datos personales.
El Titular del dato tendrá que identificarse por mediode algún tipo de identificación de las denominadas ofi-ciales, como:
1. Credencial para votar.2. Pasaporte.3. Cartilla militar.4. Cédula Profesional. 5. Otras que consideres que pueden demostrarte a ti comoResponsable y a la Comisión que el titular del dato es el queestá ejerciendo sus derechos.
Recuerda: Que para que el titular del dato acredite la identi-dad deberá presentar una copia del documento de identifi-cación y la orginal para que puedas cotejarla y de esta ma-nera hacer la acreditación de la identidad fehaciente.
3534
Si el titular del dato ejercita sus derechos por medio de su re-presentante, entonces además de acompañar copia e identifi-cación de los documentos anteriormente mencionados, tú comoresponsable deberás verificar la representación del titular deldato, el cual tendrá que acompañar carta poder notariada yademás identificarse como en el caso del titular del dato.
Es importante mencionarte que la Ley de Transparencia contem-pla que el derecho de Acceso, Rectificación, Cancelación yOposición son derechos Independietes y Gratuitos, de talforma que en relación a que son indenpendientes, se refiere aque no puede entenderse que el ejercicio de ninguno de ellossea requisito previo para el ejercicio del otro.
De este modo, lo que se manifiesta es que cualquier derechopuede ejercitarse sin necesidad de ejercitar previamente elderecho de acceso, cada derecho es independiente el uno delotro, de ahí que pueda instarse la rectificación de sus DatosPersonales sin necesidad, de ejercitar previamente el derechode acceso.
En relación a la gratuidad en el artículo 56 de la LTAINL, nos dicea la letra: ”El interesado, en los términos previstos en esta Ley,tendrá derecho a acceder, solicitar y obtener gratuitamenteinformación de sus datos de carácter personal sometidos atratamiento, a conocer el origen de dichos datos, así como lastransmisiones realizadas o que se prevean hacer de los mismos”.
Art. 65 de la LTAINL, a la letra nos dice: “Salvo los costos dereproducción de la información previstos en la presente Ley, elacceso a los datos personales será gratuito, la entrega corres-pondiente se realizará al solicitante de manera personal y en eldomicilio del Sujeto Obligado”.
En caso de que los datos proporcionados por el solicitante, nobasten para la localización de la información, sean imprecisos, oerróneos, el Sujeto Obligado prevendrá al solicitante por escrito,en un plazo no mayor de 3 días, contados a partir de la recep-ción de la solicitud, para que en un término igual y en la mismaforma, la complemente o aclare. Este requerimiento interrum-pirá el plazo de 10 días para responder la solicitud.
Acceso
DERECHO DE ACCESO. La información que se facilite com-prenderá los datos de la base de datos del Responsable y losresultantes de cualquier tratamiento, así como el origen de losdatos, los cesionarios de los mismos y la especificación de losconcretos usos y finalidades para los que se almacenaron losdatos.Debe resolverse la solicitud en un plazo de 10 días a partir de lanotificación
El derecho de acceso se puede definir como la posibilidad que elinteresado o titular del dato tendrá el derecho a solicitar yobtener gratuitamente información de sus datos de carácterpersonal sometidos a tratamiento, el origen de dichos datos asícomo las comunicaciones realizadas o que se prevén hacer delos mismos. Dicho derecho aparece expresamente en la Ley deTransparencia y Acceso a la Información del Estado de NuevoLeón en su artículo 56.
No podemos olvidar que el derecho de acceso resulta correlati-vo del deber de informar al afectado, por cuanto se exige alresponsable informar al afectado “de la posibilidad de ejercitarlos derechos ARCO, en el momento de la obtención de los datospersonales”.
3736
El derecho de acceso permite al interesado y/o titular del datoconocer no sólo el hecho mismo del tratamiento, sino su exten-sión, en el sentido de conocer los datos tratados y las finalidadespara las que se lleva a cabo el tratamiento, el origen de los datosy las cesiones de los mismos.
El responsable dará por cumplido el acceso a los Datos Perso-nales del titular cuando previa acreditación de la identidad deltitular del dato o personalidad de su representante, se ponga adisposición de éste, de manera gratuita, los Datos Personalessolicitados.
Es de obligado cumplimiento para el responsable responder lasolicitud del titular del dato en un término de 10 días, aunqueno dispongan de datos de carácter personal de los afectados.El transcurso del término de 10 días sin haber una contestacióna la solicitud de acceso realizada por el titular del dato o su re-presentante, da origen a una sanción que impondrá la CTAINL.
Asimismo en el artículo 65 de la Ley en comento noshace referencia a que el acceso a los Datos Personalesdel titular del dato se hará de manera personal y en eldomicilio del Sujeto Obligado.
DERECHO DE RECTIFICACIÓN. Serán rectificados los datosde carácter personal cuando éstos resulten inexactos o incomple-tos, siempre que no sea imposible o exija esfuerzos despropor-cionados, a criterio de la autoridad competente en la materia.
Exige indicar al titular del dato las modificaciones a realizarse yaportar la documentación que sustente su petición, salvo que lamisma dependa exclusivamente del consentimiento del interesa-do. La contestación a la solicitud de rectificación debe realizarseen un plazo de 10 días.
DERECHO DE CANCELACIÓN. El titular del dato tiene dere-cho a cancelar sus Datos Personales cuando:
I. El tratamiento de los mismos no se ajuste a lo dispuestopor la Ley, sus reglamentos o los lineamientos respectivos; oII. Hubiere ejercido el derecho de oposición y éste hayaresultado procedente.
La cancelación del Dato Personal del titular del dato dará lugaral bloqueo de los datos, antes de la supresión. Este periodode bloqueo es para verificar que éste Dato Personal que sesuprimirá ya cumplió con la finalidad de su obtención y que nohay ninguna razón de mantenerlo en las bases de datos delSujeto Obligado.
Por lo cual durante este periodo se conserva únicamente a dis-posición de los Sujetos Obligados, para la atención de las posi-bles responsabilidades nacidas del tratamiento, durante elplazo de prescripción de éstas para que una vez que se hayacumplido el mismo se proceda a su supresión.
Importante: Si los datos que se rectifiquen o cancelen yahabian sido transmitidos con anterioridad, deberá notificardentro de los 30 DÍAS siguientes a quien se hayan transmiti-do, y éste a su vez debera también realizar la Rectificación oCancelación del dato.
Requiere indicar si revoca el consentimiento otorgado, enlos casos en que la revocación proceda, o sí, por el con-trario, se trata de un dato erróneo o inexacto, en cuyo casodeberá acompañar la documentación justificativa. LaCancelación deberá contestarse en un plazo de 10 días.
3938
DERECHO DE OPOSICIÓN. El derecho de oposición ha sidodefinido como el derecho del interesado y/o titular del dato anegarse, por motivos legítimos, a que sus Datos Personalessean objeto de tratamiento. Ahondando en este concepto, sepuede definir, como el derecho del afectado “ a que no se llevea cabo el tratamiento de sus datos de carácter personal o secese en el mismo”.
El titular del dato podrá oponerse al tratamiento de sus Datos Personales:
1. Cuando los Datos Personales del interesado y/o titular deldato se hubiesen recabado sin su consentimiento,2. Cuando existan motivos fundados para ello y la Ley nodisponga lo contrario.
Si se actualizan cualquiera de los supuestos antes referidos,deberás excluir del tratamiento los datos relativos al interesa-do y/o titular del dato.
Excepciones al ejercicio de los Derechos ARCO.
Los Derechos de Acceso, Rectificación, Cancelación yOposición no son absolutos e ilimitados, sino que podrán negarel ejercicio de estos derechos en función del daño a modularseen determinados supuestos tales como (art. 78 y 79 LTAINL):
1. La Seguridad Pública;2. La protección de los derechos y libertades de terceros;3. Las necesidades de las investigaciones que se estén realizan-do; y4. En materia tributaria, cuando el ejercicio de estos derechosobstaculice las actuaciones administrativas tendientes a asegurarel cumplimiento de las obligaciones en la materia mencionada.
DATOS ESPECIALMENTE PROTEGIDOS
Como responsable de las bases de datos, tienes la obligación deadvertir al interesado de su derecho a no prestar su consen-timiento en el tratamiento de este tipo de datos.
Asimismo es necesario dejar claro que se necesita consentimien-to expreso del interesado para el tratamiento de datos que re-velen ideología política, afiliación sindical, religión y creencias.
O bien que lo disponga una Ley para recabar, tratar o cederdatos personales de los anteriormente mencionados.
No se permite crear bases de datos con la única finalidad dealmacenar datos de carácter personal, que revelen ideologíapolítica o filosófica, afiliación sindical, religión, creencias, origenracial o étnico, o preferencia sexual.
Se podrán tratar, no obstante, los datos anteriores, si resultanecesario para el diagnósitco médico o la asistencia sanitaria.
EJERCICIOS DE LOS DERECHOS ARCO
Tienes que tener presente que los derechos ARCO, son per-sonalísimos y por lo cual sólo pueden ser ejercidos por:
El titular, previa acreditación de su identidad, presentandooriginal y copia de su documento de identificación o a travésde instrumentos electrónicos que le permitan identificarse.
Su representante, previa acreditación de su identidad y de supersonalidad mediante instrumento público o carta poder fir-mada ante dos testigos.
4140
La solicitud de ejercicios de los Derechos ARCO, debe contener:
I. Nombre y domicilio del titular del dato y/o interesado o biendel representante legal.
II. Decripción clara y precisa de los datos personales respec-to de los cuales el titular busca ejercer alguno de los derechos.
III. En su caso, otros elementos o documentos que faciliten lalocalización de los Datos Personales.
IV. Opcionalmente la modalidad en la que se prefiere seotorgue el acceso a sus Datos Personales (Recordando que elart. 65 de la LTAINL, nos dice que la información que se entre-gará se hará de forma personal y en el domicilio del sujetoobligado).
Cuando se refiera la solicitud de ejercicio de Derecho deRectificación, el interesado debe indicarte además de los re-quisitos de la solicitud, las modificaciones a realizarse y apor-tar la documentación que sustente su petición.
Cuando se refiere a solicitudes de cancelación, la solicituddebe indicar si revoca el consentimiento otorgado.
Asimismo cuando se trate de solicitudes de oposición debemanifestar los motivos fundados para tal determinación.
Deberá acompañar los documentoscon los que acredite la identidad o la personalidad
de su representante.
¿Qué pasa si la información que proporciona el solicitante no es clara, es errónea o incompleta?
Tendrás que prevenir al soliciante por escrito, para que en unplazo no mayor a tres días, contados a partir de la recepciónde la solicitud, para que así mismo en un término igual y en lamisma forma, el solicitante la aclare o complemente. Si no darespuesta la solicitud se tendrá por no presentada.
Plazos para atender solicitudes de ejercicios de Derechos ARCO
El plazo máximo para que el responsable pueda comunicar altitular del dato su respuesta es de 10 días hábiles, el cualpodrá ampliarse por una sola vez por causa justificada.
Es importante mencionarte que tienes la obligación de respon-derle en tiempo y forma al solicitante, sin importar cual sea elsentido de la respuesta o si se encuentran en tus bases dedatos los datos de carácter personal solicitados. SIEMPREDEBES RESPONDER!
¿Qué pasa cuando la respuesta a la solicitud de los Derechos ARCO es positiva?
Si consideras procedente la petición del titular, deberás hacerefectivo su derecho dentro de los 10 días hábiles siguientes ala fecha en que le hayas notificado de forma positiva el ejerci-cio de la solicitud de su derecho ARCO.
Cuando no des respuesta a la solicitud de los derechos ARCO,la solicitud se entenderá por negada y el solicitante puedeinterponer de inmediato su Procedimiento deInconformidad previsto en la LTAINL.
PROCEDIMIENTO DE INCONFORMIDAD
El titular del dato y/o interesado puede presentar unProcedimiento de Inconformidad ante la CTAINL o delResponsable dentro de los 10 días siguientes a la notificacióncorrespondiente o en su caso, a partir del momento en quehayan transcurrido los términos establecidos para dar con-testación a la solicitud de ejercicio de los Derechos ARCO.
El procedimiento de inconformidad en relación a laProtección de los datos de carácter personal procede por:
1. Cuando te niegan el Acceso, Rectificación, Cancelaciónu Oposición de los Datos Personales.2. Cuando haya un tratamiento inadecuado de los DatosPersonales.3. Cuando el Responsable no diera respuesta a la solici-tud de derechos ARCO.
Medios de presentación delProcedimiento de Inconformidad
El titular del dato podrá presentar el procedimiento de Inconformidad:
a) Por medios electrónicos;b) Domicilio de la CTAINL; yC) Ante el responsable y éste a su vez lo enviará a laComisión a la brevedad posible.
El procedimiento de inconformidad podrá inter-ponerse por escrito libre o a través de los formatosque al efecto proporcione la Comisión o pormedios electrónicos y deberá contener lo si-guiente:
I. El nombre del particular y en su caso, el de su representantelegal o mandatario, y tercero interesado si lo hubiera;
II. El Sujeto Obligado ante el cual se presentó la solicitud deacceso, rectificación, cancelación u oposición de Datos Perso-nales, ni se modifiquen los hechos o peticiones expuestos enel recurso.
III. El domicilio o medio electrónico para oír y recibir notifica-ciones; en caso de no haberlo señalado, aún las de carácterpersonal, se harán por estrados;
IV. El acto o resolución del cual se inconforma y, en su caso,el número de expediente que identifique el mismo;
V. La fecha en que se le notificó o tuvo conocimiento del actoreclamado, salvo que al procedimiento se interponga por lafalta de respuesta a una solicitud de acceso, rectificación, can-celación u oposición de datos personales;
VI. Los puntos petitorios;
VII. El documento con el que acredita la existencia de la soli-citud, así como la respuesta emitida por el sujeto obligado, ensu caso; y 42 43
45
PA
RA
REC
OR
DA
R
VIII. Las demás pruebas y elementos que se considere proce-dente hacer del conocimiento de la Comisión.
Se encuentra en los anexos un formato de procedimiento deinconformidad de protección de datos, el cual lo podrán utilizarsi así lo desean.
Preguntas para recordar:
1. ¿Qué son los Datos Personales?Es cualquier información relacionada con el titular del dato, porejemplo, el nombre, teléfono, domicilio, fotografía o huellasdactilares, así como cualquier otro dato que pueda servir paraidentificarlo.
2. ¿A quién le pertenecen los Datos Personales?El dueño de los Datos Personales es el titular del dato. Sólo élpuede decidir a quién, para qué, cuándo y por qué los propor-cionas. De acuerdo también con las excepciones que marca laLey.
3. ¿Qué tipo de Datos Personales hay?Existen diferentes categorías de datos, por ejemplo, de identi-ficación (nombre, domicilio, teléfono, correo electrónico, firma,RFC, CURP, fecha de nacimiento, edad, nacionalidad, estadocivil, etc.); laborales (puesto, domicilio, correo electrónico yteléfono del trabajo); patrimoniales (información fiscal, histo-rial crediticio, cuentas bancarias, ingresos y egresos, etc.);académicos (trayectoria educativa, título, número de cédula,certificados, etc.); ideológicos (creencias religiosas, afiliaciónpolítica y/o sindical, pertenencia a organizaciones de lasociedad civil y/o asociaciones religiosas; de salud (estado desalud, historial clínico, enfermedades, información relacionadacon cuestiones de carácter psicológico y/o psiquiátrico, etc.);características personales (tipo de sangre, ADN, huella digital,etc.); características físicas (color de piel, iris y cabellos,señales particulares, etc.); vida y hábitos sexuales, origen(étnico y racial.); entre otros.44
4746
4. ¿Cuáles son los Datos Personales sensibles?Son los datos que, de divulgarse de manera indebida, afec-tarían la esfera más íntima del ser humano. Ejemplos de estetipo de datos son: el origen racial o étnico, el estado de salud,la información genética, las creencias religiosas, filosóficas ymorales, la afiliación sindical, las opiniones políticas y las pre-ferencias sexuales. Estos datos requieren mayor protección.
5. ¿Quién está obligado a protegerlos Datos Personales?
Todos debemos protegerlos. Tú como responsable y encarga-do de la base de datos que tienes en tu posesión y el titulardel dato, sabiendo para que esta entregando su información yla CTAINL resguardando y haciendo valer el Derecho a laProtección del Dato Personal.
6. ¿Quién es el responsable de proteger los DatosPersonales que se encuentren en posesión de losSujetos Obligados?La Comisión de Transparencia y Acceso a la Información delEstado de Nuevo León.
7. ¿Que significa tratamiento de Datos Personales?Cualquier operación que se realice con tus datos, desde suobtención, uso, divulgación, almacenamiento y hasta su can-celación y supresión.
8. ¿Cuáles son y en qué consisten los principios rectores de la protección del Dato Personal?Los principios de protección de datos pueden definirse comouna serie de reglas mínimas que deben observar los SujetosObligados que tratan Datos Personales, garantizando con ello
un uso adecuado de la información personal. Estos principiosson: licitud, consentimiento, seguridad, calidad de la informa-ción, información previa, finalidad, confidencialidad y garanti-zar el ejercicio de los derechos de Acceso, Rectificación,Cancelación y Oposición.
9. ¿Qué es el principio de Licitud?Se refiere al compromiso que deben asumir los SujetosObligados que traten Datos Personales del titular del datocomo cuando solicitan alguna prestación de un bien o servicio,respetando en todo momento la confianza que depositan enellos para el buen uso que le darán a los datos.
10. ¿Qué es el principio de consentimiento?Al ser el titular del dato el dueño de sus datos, este principiole permite decidir de manera informada, libre, inequívoca yespecífica si quiere compartir su información con otras per-sonas. Para los Sujetos Obligados, implica el deber de solicitarla autorización o consentimiento del titular del dato para quepueda tratar la información que le concierne, sobre todo cuan-do se trata de datos sensibles que afectan la esfera más ínti-ma. Debes implementar medidas de seguridad muy estricticasque eviten quebrantar la confidencialidad, integridad ydisponibilidad de esos datos.
11. ¿Qué es el principio de calidad de la información?Los Datos Personales en posesión de los Sujetos Obligadosdeben estar actualizados y reflejar con veracidad la realidad dela información, de tal manera que cualquier inexactitud no leafecte al titular del dato. Asimismo, implica que el tiempo que
4948
la autoridad conserve los datos no debe exceder más allá delo necesario para el cumplimiento de los fines que justificaronsu tratamiento. Cuando se cumpla íntegramente la finalidadpara la cual se proporcionaron los datos, el tratamiento dejade ser necesario y, por lo tanto, los sujetos obligados deberáncancelarlos.
12. ¿Qué es el principio de Seguridad?Un pilar básico y fundamental de un efectivo sistema de pro-tección de Datos Personales es la garantía de la seguridad dela información, entendida ésta como la implementación demedidas administrativas, físicas y técnicas eficaces para garan-tizar y velar por la integridad, confidencialidad y disponibilidadde tus datos personales. Ello contribuye a minimizar los ries-gos de acciones en contra de la información personal comorobo, alteración o modificación, pérdida total o parcial, trans-misiones indebidas o ilícitas, accesos no autorizados y robo deidentidad, entre otras, que pueden lesionar derechos o liber-tades fundamentales.
13. ¿Qué es un Aviso de Privacidad?Cualquier Sujeto Obligado que solicite Datos Personalesdeberá elaborar un Aviso de Privacidad, documento a travésdel cual podrá el titular del dato conocer la finalidad que ten-drá la información que se le pida. El Aviso de Privacidaddeberá proporcionar además, información que permita identi-ficar al responsable de la base de datos que recaba los datosy deberá precisar la forma de hacer efectivos los derechos deacceso, rectificación, cancelación y oposición (derechosARCO).
En el Aviso de Privacidad los Sujetos Obligados deberán con-sultar al titular del dato si autoriza que se transfiera su infor-mación a terceros. Las autoridades deberán notificarle decualquier cambio que realice al Aviso de Privacidad y pedir suconsentimiento para el nuevo uso que se quiera dar a susdatos.
El Aviso de Privacidad podrá ponerse a la disposición del titu-lar del dato a través de medios físicos, digitales, visuales,sonoros o de cualquier otra tecnología.
14. ¿De qué manera se ejercen los derechos de Acceso,Rectificación, Cancelación y Oposición de DatosPersonales?Cada uno de nosotros, como titulares de los Datos Personales,o en su caso, un representante legal, podremos ejercercualquiera de los derechos ARCO ante las autoridades que lostengan en sus bases de datos.Los Sujetos Obligados que cuenten con bases de datosdeberán designar a un responsable para recibir las solicitudestendientes a ejercer los derechos ARCO.Es importante tener en cuenta que el ejercicio de cada uno deestos derechos es independiente entre sí, es decir, no es nece-sario agotar uno para ejercer alguno de los otros tres.
15. ¿Qué es el derecho de acceso?El titular del dato puede solicitar a una determinada autoridadque informe si en sus bases de datos tiene alguno de tusDatos Personales. Para ejercer este derecho debes presentaral Sujeto Obligado una solicitud, ya sea por escrito, por medios
electrónicos o cualquier otra tecnología. La solicitud debe con-tener lo siguiente:
Nombre y domicilio o medio para recibir comunicacionesdel titular del dato.Identificación o documentos que acrediten la personalidaddel representante legal. La explicación clara y precisa de los datos personales a loscuales quieres tener acceso. Cualquier otro elemento o documento que facilite la loca-lización de los Datos Personales.
Es importante conservar la constancia de la solicitud que pre-sentaste ante el Sujeto Obligado pues si no se obtuvo respues-ta o no quedo satisfecho puede acudir a la Comisión deTransparencia y Acceso a la Información del Estado de NuevoLeón.
16. ¿Qué es el derecho de Rectificación?Es el derecho que otorga la Ley a que se corrijan los DatosPersonales del titular del dato que algún Sujeto Obligado tengaen sus bases. Aplica cuando los datos son incorrectos, impre-cisos, incompletos o están desactualizados. Para que la infor-mación sea corregida deberá el titular del dato presentar lasolicitud correspondiente, ya sea por escrito, por medios elec-trónicos, ópticos o de cualquier otra tecnología. La solicituddebe contener:
Nombre y domicilio o medio para recibir comunicaciones.Identificación o documentos que acrediten la personalidaddel representante legal.Especificar los datos que deseas sean rectificados, asícomo algún documento que justifique la rectificación.
Cualquier otro elemento o documento que facilite la loca-lización de tus Datos Personales.
Es importante conservar la constancia de la solicitud pues seránecesaria en caso de que decidas acudir a la Comisión deTransparencia y Acceso a la Información del Estado de NuevoLeón.
17. ¿Qué es el derecho de Cancelación?Es la facultad que otorga la Ley para que el titular del datosolicite la cancelación de los datos de las bases que tenga undeterminado Sujeto Obligado, el cual deberá dejar de tratar losdatos, en especial cuando dicho tratamiento no cumpla con lasdisposiciones legales aplicables. Los datos deberán ser blo-queados y, posteriormente, suprimidos de las bases de datos.Esta solicitud procede cuando la información personal ya no esnecesaria para las actividades relacionadas con el SujetoObligado que los tiene en sus bases. La petición se deberá pre-sentar por escrito, por medios electrónicos, ópticos o decualquier otra tecnología; deberá contener:
Nombre y domicilio o medio para recibir comunicaciones.Identificación o documentos que acrediten la personalidaddel representante legal.Especificar los datos que deben ser cancelados.Cualquier otro elemento o documento que facilite la loca-lización de los Datos Personales.De ser posible, la finalidad del tratamiento para la cual sontratados tus Datos Personales.
Es importante que conserves la constancia de la solicitud quehayas presentado al Sujeto Obligado que tiene los datos. Seráindispensable en caso de que requieras el apoyo para iniciar el 5150
5352
procedimiento ante la Comisión de Transparencia y Acceso a laInformación del Estado de Nuevo León.
18. ¿Qué es el derecho de Oposición?Consiste en la facultad que tiene el titular del dato para soli-citar al Sujeto Obligado que pretenda realizar el tratamiento delos Datos Personales que se abstenga de hacerlo en determi-nadas situaciones.La solicitud deberá contener:
Nombre y domicilio o medio para recibir comunicaciones.Identificación o documentos que acrediten la personalidaddel representante legal.Especificar las razones por las cuales te opones altratamiento.
AN
EXO
S
5554
5556
