Upload
dinhcong
View
229
Download
0
Embed Size (px)
Citation preview
MTRO. LUIS GUSTAVO PARRA NORIEGA
SECRETARIO DE PROTECCIÓN DE DATOS PERSONALES
INAI
30 de noviembre de 2017
Protección de Datos Personales en Situaciones de Emergencia
Cuantificación de Daños Terremotos del 7S y 19S
Reportes preliminares de funcionarios federales estiman los daños:
Más de 250 mil viviendas afectadas costará su reparación más 10 mil millones
de pesos.
Daños a la infraestructura cultural en al menos 8 mil millones de pesos.
Atención de daños a casi 13 mil escuelas públicas costará más de 13 mil
millones de pesos.1
48 mil 150 millones de pesos es la segunda estimación global anunciado por el Presidente
de la República referente a los daños materiales ocasionados por los sismos del 7 y del 19
de septiembre de 2017. 2
1. Fuente: https://www.gob.mx/presidencia/prensa/palabras-del-presidente-licenciado-enrique-pena-nieto-en-el-evento-avances-para-la-reconstruccion-de-los-estados-afectados-por-los-sismos?idiom=es; consultado el 22/10/17.2. Fuente: http://www.excelsior.com.mx/nacional/2017/10/18/1195282; consultado el 22/10/17
Costo de Reconstrucción:
48 mil 150 millones de pesos
=Al presupuesto anual de las
pensiones federales de
5 millones de adultos mayores
11 veces el presupuesto de
las estancias infantiles de
apoyo a madres
trabajadoras (SEDESOL)
Al presupuesto anual
de la UNAM
Al 1% del Gasto Programable
del Gobierno Federal PPEF
2018
Cuantificación de Daños Terremotos del 7S y 19S
Resolución Internacional Sobre Privacidad y Acción Internacional Humanitaria
• Que la Conferencia Internacional analice en reuniones futuras losrequerimientos de privacidad y protección de datos en el contextode la acción humanitaria.
• Esforzarse para satisfacer la demanda de cooperación con lasorganizaciones humanitarias internacionales en el desarrollo deorientaciones expresadas por los actores humanitarios, tomando enconsideración las especificaciones de la acción humanitaria y lanecesidad de que dicha acción sea facilitada;
• Autorizar al Comité Ejecutivo para que cree un Grupo de Trabajosobre Privacidad y Acción Humanitaria que guíe y coordine estasactividades, y que haga un llamado a las Redes de Protección deDatos para que contribuyan activamente a la labor del Grupo deTrabajo;
37ª Conferencia Internacional de Autoridades de Protección de Datos y PrivacidadÁmsterdam, octubre 2015
Experiencia Internacional
Resolución Internacional en Protección de Datos y Desastres Naturales importantes.
o Esta resolución se enfoca en los efectos de los desastres naturales importantessobre el manejo de la información personal y la protección de la privacidad.
o Exhorta a los gobiernos a que den especial consideración a los problemas deinformación personal que surgen de los desastres.
o Considera que las entidades públicas que participan en la respuesta a un desastre deben tener un plan para eliminar la información personal que hayan obtenido cuando ya no se necesita para la respuesta.
o Expone que la pérdida de la disponibilidad de bases de datos de gobierno porperiodos prolongados, o la pérdida permanente de los archivos físicos, puedengenerar dificultades para procesos regulares de autenticación de identidad.También podrían haber nuevos riesgos de fraude de identidad que pudiendoincluir estafas a víctimas o al gobierno.
33ª Conferencia Internacional de Autoridades de Protección de Datos y Privacidad
Ciudad de México, Noviembre, 2011
Experiencia Internacional
Reporte del Grupo de Trabajo de AcciónHumanitaria y Privacidad
o En el marco de la 39ª Conferencia Internacional de Autoridades deProtección de Datos y Privacidad, celebrada en Hong Kong, enseptiembre de 2017, el Grupo de Trabajo de Privacidad y AcciónHumanitaria, presentó su Reporte de Actualización, en el queexpone el Manual de Protección de Datos en la AcciónHumanitaria.
39ª Conferencia Internacional de Autoridades de Protección de Datos y Privacidad
Hong Kong, Septiembre, 2017
Experiencia Internacional
Manual de Protección de Datos en la Acción Humanitaria.
Experiencia Internacional
https://shop.icrc.org/e-books/handbook-on-data-protection-in-humanitarian-action.html.
El Manual contiene 11 capítulos que abarcan distintos temas relacionados con datospersonales y su protección en casos de emergencias. El Manual se basa en las mejoresprácticas internacionales de la Acción Humanitaria, y fue elaborado en colaboración con elComité Internacional de la Cruz Roja y con la organización Brussels Privacy Hub.
Parte 2:6. Análisis de datos y Big Data7. Drones/UAVS y sensores remotos8. Biométricos9. Programas de Transferencia de fondos10. Servicios de nube11. Aplicaciones de mensajería instantánea
Parte 1:1. Introducción2. Principios básicos de Protección de Datos3. Bases legales del procesamiento de datospersonales4. Transferencias Internacionales de datos5. Evaluación de Impacto de Protección de Datos(DPIAS)
c
Manual de Protección de Datos en la Acción Humanitaria
Experiencia Internacional
https://shop.icrc.org/e-books/handbook-on-data-protection-in-humanitarian-action.html.
• El derecho a la protección de datos personales no es un derecho
absoluto y, en casos de emergencia, debe ser considerado y
equilibrado en relación con la protección de otros derechos
humanos, de acuerdo con el principio de proporcionalidad. En
ese sentido, el Manual establece los estándares mínimos para
proteger los datos personales de las víctimas, siempre tomando
en cuenta el contexto de emergencia en el que se dan las
situaciones.
• Las emergencias humanitarias se desarrollan en ambientes volátiles y cambiantes (como en desastres
naturales, o conflictos armados). Por ejemplo, muchas veces no es posible pedir el consentimiento de la
persona, por el tipo de condición en la que se encuentra, sin embargo, es necesario que se utilicen
alternativas para que el tratamiento de datos de la víctima cumpla con los estándares y principios de la
protección.
Los actores humanitarios han desarrollado documentos y directrices en la materia
• Opinión del Supervisor Europeo de Protección de Datos Personales sobrela Propuesta de establecer una regulación a los cuerpos europeos devoluntarios y asistencia humanitaria.
• Estándares profesionales para el protección del Trabajo, y Manual sobreprotección de datos en la Acción humanitaria, realizado por la Cruz RojaInternacional y Privacy Hub Bruselas, (Julio, 2017).
• Hacia un código de conducta para la implementación de directrices enel uso de SMS en desastres naturales
• Política en la Protección de Datos personales, de aquellas personas queconciernen a la UNHCR.
Experiencia Internacional
Desastres naturales y Protección de Datos
► Los desastres son el escenario clásico de la pérdida de datos personales, debido a que son
impredecibles.
Provocados por la
naturaleza
Terremotos
Huracanes
Inundaciones
Volcanes
Provocados por el
hombre
Actos terroristas
Incendios
Guerras
► Los desastres pueden
destruir sistemas de
tratamiento de datos
personales, así como la
infraestructura que los
contiene.
Fuente: http://www.informit.com/articles/article.aspx?p=422303&seqNum=4
Desastres naturales y Protección de Datos
►Es difícil predecir un desastre, y para minimizar su
impacto, es necesario contar con un Plan de
respuestas a incidentes.
►Si no se cuenta con un Plan, una vez que sucede el
desastre, suele ser muy tarde para recuperar losdatos.
Fuente: http://www.informit.com/articles/article.aspx?p=422303&seqNum=4
Riesgos para las empresas al perder datos personales en desastres naturales
Robo de información
Inhabilitación para operar de manera oportuna
Demandas y multas/sanciones
Pérdida de ventas
Fuente: http://www.informit.com/articles/article.aspx?p=422303&seqNum=8
►Una organización enfrenta los siguientes escenarios de riesgo, cuando los
datos personales no se pueden recuperar, derivado de un desastre natural:
Estrategia para proteger los datos personales frente a los desastres naturales
►Los componentes mínimos que deben incluirse en un Plan, para la protección de los datos
personales son:
Copias de seguridad y respaldos
Almacenamiento de los respaldos en diferentes sitios
Almacenamiento distribuido y cómputo en la nube
Gestión del ciclo de vida de los datos
Personal para conformar un equipo de respuesta
►Un Plan de Respuesta a Incidentes es una combinación de tecnología, procesos
organizacionales y mejores prácticas.
Fuente: http://www.informit.com/articles/article.aspx?p=422303&seqNum=8
Situación en México
En México Existen dos normativas en Materia de Datos Personales, si bien no son Leyes
específicas para la protección de datos personales en situaciones de emergencia, si
cuentan con mecanismos que pueden ser de utilidad en dichos casos:
Sector Privado:
• Solicitud de Derechos ARCO
• Procedimiento de Protección de
Derechos
• Procedimiento de Investigación y
Verificación
Sector Publico:
• Solicitud de Derechos ARCO
• Recurso de Revisión
• Procedimiento de Investigación y
Verificación
Ejercer tus derechos
ARCO en Situaciones de
Emergencia puede
resultar de utilidad si
sufriste pérdida de
documentos
Comunicado: Llama INAI a Ejercer Derecho De Acceso a La Información, en el Marco del Día Internacional del Derecho a Saber , 28/09/17
A través de los derechos
ARCO tienes derecho:
Acceder o solicitar a
instituciones públicas o
privadas la reproducción de:
• Documentos,
• Expedientes,
• Archivos; o
• Bases de datos.
A través del derecho de Acceso,
puedes pedir reproducción de
documentación, tal como:
• Laboral y de seguridad social
• Financiera o Patrimonial
• Escolar
• Salud
• A pesar de encontrarnos en situaciones de emergenciacomo las ocurridas con los terremotos del 7 y 19 septiembre,tanto particulares como autoridades tenemos la obligaciónde seguir protegiendo los datos personales en nuestraposesión de conformidad con la LFPDPPP y LGPDPPSO.
• No obstante lo anterior, dichas normativas establecenalgunos supuestos de excepción al consentimiento quepudieran aplicar de forma especial en situaciones deemergencia Art. 10, Fracciones V y VI de la LFPDPPP y art. 22,Fracciones VI y VII de la LGPDPPSO.
Tratamiento Adecuado de Datos Personales enSituaciones de Emergencia
Excepciones del Consentimiento
LFPDPPP
Art. 10.- No será́ necesario elconsentimiento para el tratamiento de losdatos personales cuando:
…
V. Exista una situación de emergenciaque potencialmente pueda dañar a unindividuo en su persona o en sus bienes;
VI. Sean indispensables para la atenciónmedica, la prevención, diagnóstico, laprestación de asistencia sanitaria ….
LGPDPSO
Art. 22.- El responsable no estaráobligado a recabar el consentimiento deltitular para el tratamiento de sus datospersonales en los siguientes casos:
…
VI. Cuando exista una situación deemergencia que potencialmente puedadañar a un individuo en su persona o ensus bienes;
VII. Cuando los datos personales seannecesarios para efectuar un tratamientopara la prevención, diagnóstico, laprestación de asistencia sanitaria;
Se puede presentar un procedimiento de verificación:
• Denuncia para una Investigación y eventual Verificación delSector Público para el caso de que se traten de Sujetos Obligadosdel Sector Público (Poder Ejecutivo, Legislativo, Judicial, PartidosPolíticos y Autónomos). LGPDPPSO
• Denuncia para Investigación y eventual Verificación del SectorPrivado, para el caso de que se traten de particulares (Personasfísicas y Personas Morales). LFPDPPP.
Tratamiento no adecuado, ¿Qué hago?
Procedimiento de Verificación del Sector Privado
• Denuncia ante el INAI. Cumpliendo con los requisitos del Art. 131 del Reglamento.
• Se canaliza a la DGVI quien analiza: 1. Si está incompleta: comunica al denuncianteque aporte la información que se requiera, 2. Si está completa: comunica alresponsable para requerirle que manifieste lo que a su derecho convenga.
• Debidamente conformado el expediente, se procede a su análisis y estudio para emitir:1. Acuerdo de determinación: DGIV considera que el responsable no vulneró
principios o deberes de la LFPDPPP.2. Acuerdo de inicio de procedimiento de verificación: DGIV presume que el
responsable incurrió en acciones u omisiones que constituyen un probableincumplimiento a los principios o deberes de la LFPDPPP.
• Concluye el trámite de la denuncia, concluye el procedimiento de investigación.
• Concluye el procedimiento de investigación. Se da continuidad al trámite de ladenuncia a través del procedimiento de verificación.
• Denuncia ante el INAI. Cumpliendo con los requisitos establecido en el Art. 148 de la ley.
• El INAI acusa de recibo y notifica el acuerdo al denunciante.
• Previo a la verificación, el INAI puede iniciar una investigación, su plazo de sustanciación esindependiente de la duración máxima establecida para la verificación.
• Inicia la verificación por una orden escrita que tiene por objeto:
1. Requerir al responsable la documentación e información necesaria.
2. Realizar visitas a las oficinas o instalaciones donde estén las bases de datos.
Si durante la verificación:
1. Se advierte un daño inminente o irreparable en materia de protección de datospersonales, el INAI puede ordenar una medida cautelar.
2. No se advierte un daño inminente o irreparable en materia de protección de datospersonales, el INAI emitirá una resolución, donde se establecen las medidas quedeberá adoptar el responsable y el plazo para cumplir.
Procedimiento de Verificación del Sector Público
MTRO. LUIS GUSTAVO PARRA NORIEGA
SECRETARIO DE PROTECCIÓN DE DATOS PERSONALES, INAI
INSURGENTES SUR NO. 3211 COL. INSURGENTES CUICUILCO,
DELEGACIÓN COYOACÁN, C.P. 04530, CIUDAD DE MÉXICO
Twitter. @lgparranoriega
TEL. (55) 5004 2400 EXT.2517
30 de noviembre de 2017
Protección de Datos Personales
en Situaciones de Emergencia