©2014 Galaz, Yamazaki, Ruiz Urquiza, S.C.
Ley Federal de Protección de Datos Personales en Posesión de Particulares Situación actual alrededor de la
LFPDPPP
ERS/TR | Security & Privacy
Febrero 13, 2014
©2014 Galaz, Yamazaki, Ruiz Urquiza, S.C.
Contenido
• Actividades y fechas relevantes
• Seguridad de datos personales
• Sistema de Gestión de Seguridad de Datos Personales (SGSDP)
• Autorregulación
• Esquema de Autorregulación Vinculante
• Guías y Herramientas del IFAI
• Multas impuestas por el IFAI
2
©2014 Galaz, Yamazaki, Ruiz Urquiza, S.C.
Actividades y fechas relevantes
3
Conocimiento LFPDPPP
Entendimiento de la Ley y definición de un
patrocinador
Solicitudes ARCO
Los mecanismos automáticos o manuales son
habilitados para titulares
Diseño del proceso ARCO
• Diagnóstico de brechas
• Diseño de avisos
• Diseño del área de PD
Asignación de un líder de protección de datos
La asignación de un responsable para la protección de datos es importante para la
coordinación de todas las actividades
Emisión de avisos de privacidad
Jul 5, 2010
LFPDPPP
Jul 6, 2011
Persona o
departamento de
datos personales
y avisos de
privacidad a los
titulares
Dic 21, 2011
Reglamento
Junio 21, 2013
Medidas de
Seguridad en el
Tratamiento de
Datos
Personales
Cerrar brechas
HOY
Medidas de Seguridad:
• Inventario de datos
• Análisis de brechas
• Análisis de riesgos
• Programa de concientización
• Políticas y procedimientos de
privacidad
• Medidas de seguridad
administrativas, técnicas y físicas
• Auditoría de cumplimiento
Ene 6, 2012
Derechos ARCO
y procedimiento
de protección de
derechos
Ene 17, 2013
Lineamientos del
aviso de
privacidad y
autorregulación de
la SE
Octubre 30, 2013
Recomendaciones
en materia de
Seguridad de Datos
Personales
©2014 Galaz, Yamazaki, Ruiz Urquiza, S.C.
Seguridad de datos personales
4
Capítulo III “De las Medidas de Seguridad en el Tratamiento de Datos Personales”
Art. 57 Alcance
Art.58 Atenuación de sanciones
Art. 59 Funciones de seguridad
Art. 60 Factores para determinar las medidas de seguridad
Art. 61 Acciones para la seguridad de los datos personales
Art.62 Actualizaciones de las medidas de seguridad
Art. 63 Vulneraciones de seguridad
Art. 64 Notificación de vulneraciones de seguridad
Art. 65 Información mínima al titular en caso de vulneraciones de seguridad
Art. 66 Medidas correctivas en caso de vulneraciones de seguridad
©2014 Galaz, Yamazaki, Ruiz Urquiza, S.C.
Seguridad de datos personales (cont.)
6
El 30 de octubre de 2013 el IFAI emite las recomendaciones en materia de seguridad de datos
personales a fin de que los responsables y encargados tengan un marco de referencia respecto de
las acciones que se consideran como las mínimas necesarias para la seguridad de los datos
personales.
Para la seguridad de los datos personales, el IFAI recomienda la adopción de un Sistema de
Gestión de Seguridad de Datos Personales (SGSDP), basado en el ciclo PHVA (Planear-Hacer-
Verificar-Actuar) o PDCA (Plan-Do-Check-Act).
©2014 Galaz, Yamazaki, Ruiz Urquiza, S.C.
Sistema de Gestión de Seguridad de Datos Personales (SGSDP)
7
El SGSDP es un sistema de gestión general para:
1. Establecer
2. Implementar
3. Operar
4. Monitorear
5. Revisar
6. Mantener y
7. Mejorar el tratamiento y seguridad de los datos personales
Lo anterior en función del riesgo de los activos y de los principios básicos de licitud,
consentimiento, información, calidad, finalidad, lealtad, proporcionalidad y
responsabilidad previstos en la Ley, su Reglamento, normatividad secundaria y cualquier
otro principio que la buena práctica internacional estipule en la materia.
El SGSDP tiene como objetivo proveer un marco de trabajo para el
tratamiento de datos personales, que permita mantener vigente y
mejorar el cumplimiento de la legislación sobre protección de datos
personales y fomentar las buenas prácticas.
©2014 Galaz, Yamazaki, Ruiz Urquiza, S.C.
Sistema de Gestión de Seguridad de Datos Personales (SGSDP)
8
Las acciones mínimas a realizar en el Sistema de Gestión de Seguridad de Datos Personales son las siguientes:
FASE 1. PLANEAR EL SGSDP
Definir los objetivos, políticas, procesos y procedimientos relevantes del SGSDP para gestionar los riesgos
de los datos personales, con el fin de cumplir con la legislación sobre protección de datos y obtener
resultados acordes con las políticas y objetivos generales de la organización.
1. Alcance y Objetivos
2. Política de Gestión de Datos Personales
3. Funciones y Obligaciones de Quienes Traten Datos Personales
4. Inventario de Datos Personales
5. Análisis de Riesgo de los Datos Personales
6. Identificación de las Medidas de Seguridad y Análisis de Brecha
©2014 Galaz, Yamazaki, Ruiz Urquiza, S.C.
Sistema de Gestión de Seguridad de Datos Personales (SGSDP)
9
FASE 2. IMPLEMENTAR Y OPERAR EL SGSDP
Implementar y operar las políticas, objetivos, procesos y procedimientos del SGSDP, así como sus controles
o mecanismos con indicadores de medición.
7. Implementación de las Medidas de Seguridad Aplicables a los Datos Personales
FASE 3. MONITOREAR Y REVISAR EL SGSDP
Evaluar y medir el cumplimiento del proceso de acuerdo con la legislación de protección de datos personales,
la política, los objetivos y la experiencia práctica del SGSDP, e informar los resultados a la Alta Dirección
para su revisión.
8. Revisiones y Auditoría
FASE 4. MEJORAR EL SGSDP
Para lograr la mejora continua se deben adoptar medidas correctivas y preventivas, en función de los
resultados obtenidos de la revisión por parte de la Alta Dirección, las auditorías al SGSDP y de la
comparación con otras fuentes de información relevantes, como actualizaciones regulatorias, riesgos e
impactos organizacionales, entre otros. Adicionalmente, se debe considerar la capacitación del personal.
9. Mejora Continua y Capacitación
©2014 Galaz, Yamazaki, Ruiz Urquiza, S.C.
Guía para implementar un SGSDP
10
El IFAI emitió en enero de este año la “guía para implementar un Sistema de Gestión de
Seguridad de Datos Personales”.
La adopción de lo establecido en la guía es de carácter voluntario, por lo que los
responsables y encargados podrán decidir libremente qué metodología conviene más
aplicar en su negocio para la seguridad de los datos personales. Asimismo, el
seguimiento de la guía no exime a los responsables y encargados de su responsabilidad
con relación a cualquier vulneración que pudiera ocurrir a sus bases de datos ya que la
seguridad de dichas bases depende de una correcta implementación de las medidas o
controles de seguridad.
©2014 Galaz, Yamazaki, Ruiz Urquiza, S.C.
Autorregulación
11
¿Qué es la Autorregulación?
Es común que la autorregulación se asocie a la ausencia de un sistema formal de reglas y a una
mínima intervención gubernamental. Sin embargo, en el caso del derecho a la protección de datos
personales en México, la propia Ley Federal de Protección Datos Personales en Posesión de los
Particulares (LFPDPPP) considera, en su artículo 44, a la autorregulación como una herramienta útil
para fomentar la protección de los datos personales.
Para el caso de la autorregulación en materia de protección de datos personales, estas reglas
establecidas con la participación de los actores involucrados, servirán para complementar lo
dispuesto por la LFPDPPP, y para que los responsables y encargados del tratamiento de datos
personales se distingan de sus competidores, como empresas, organizaciones o profesionistas
socialmente responsables.
Artículo 44.- Las personas físicas o morales podrán convenir entre ellas o con
organizaciones civiles o gubernamentales, nacionales o extranjeras, esquemas de
autorregulación vinculante en la materia, que complementen lo dispuesto por la
presente Ley. Dichos esquemas deberán contener mecanismos para medir su
eficacia en la protección de los datos, consecuencias y medidas correctivas
eficaces en caso de incumplimiento.
Los esquemas de autorregulación podrán traducirse en códigos deontológicos o de
buena práctica profesional, sellos de confianza u otros mecanismos y contendrán
reglas o estándares específicos que permitan armonizar los tratamientos de datos
efectuados por los adheridos y facilitar el ejercicio de los derechos de los titulares.
Dichos esquemas serán notificados de manera simultánea a las autoridades
sectoriales correspondientes y al Instituto.
©2014 Galaz, Yamazaki, Ruiz Urquiza, S.C.
Esquema de Autorregulación Vinculante
12
Conjunto de principios, normas y procedimientos, de adopción voluntaria y cumplimiento
vinculante, validados por el Instituto, que tiene como finalidad regular el comportamiento
de los responsables y encargados respecto a los tratamientos de datos personales que
lleven a cabo.
Objetivos:
Los esquemas de autorregulación vinculante en materia de protección de datos
personales tienen el objeto de complementar lo dispuesto por la Ley, el Reglamento y
cualquier otra disposición aplicable en la materia, así como demostrar ante el Instituto y
los titulares el cumplimiento de obligaciones previstas en dicha normativa, y contendrán
reglas o estándares específicos que permitan armonizar los tratamientos de los datos
personales efectuados por los adheridos y facilitar el ejercicio de derechos por parte de
los titulares.
©2014 Galaz, Yamazaki, Ruiz Urquiza, S.C.
Guías y Herramientas del IFAI
13
1. Guía práctica para generar el aviso de privacidad
2. Recomendaciones para la designación de la persona o departamento de datos personales
3. Guía práctica para ejercer el derecho a la protección de datos personales
4. Guía práctica para la atención de las solicitudes de ejercicio de los derechos ARCO
5. Guía para implementar un Sistema de Gestión de Seguridad de Datos Personales
6. Centro Virtual de Formación en Acceso a la Información y Protección de Datos
©2014 Galaz, Yamazaki, Ruiz Urquiza, S.C.
Guías y Herramientas del IFAI (cont.)
14
Generador de Avisos de Privacidad (GAP)
El IFAI puso en operación el Generador de Avisos de Privacidad (GAP) para facilitar el cumplimiento de la
LFPDPPP. Mediante esta herramienta informática (disponible en la página del IFAI), los responsables del
tratamiento de datos pueden obtener gratuitamente avisos de privacidad.
De acuerdo con las estadísticas del Instituto, a la fecha, se han generado 9,795 Avisos de Privacidad.
©2014 Galaz, Yamazaki, Ruiz Urquiza, S.C.
Multas impuestas por el IFAI
15
El IFAI ha impuesto multas por $56’662,740 pesos a empresas y una persona física por incumplimiento con la Ley.
1. Banco Nacional de México ($16’155,936 pesos)
2. Sport City ($1’246,600 pesos)
3. Caja Popular Cristo Rey ($2’181,550 pesos)
4. Médico particular ($41,874 pesos)
5. Centro de Educación Emocional y Servicios Psicológicos VivirLibre.org, A.C. ($82,587 pesos)
6. Banco Nacional de México, Integrante del Grupo Financiero Banamex ($2’493,200 pesos)
7. Revoware ($56,097 pesos)
8. Seguros Banamex ($3’989,120 pesos)
9. Operadora Oceánica Internacional ($2’493,200 pesos)
10. Tarjetas Banamex, SOFOM, E.R. ($9’ 848,140 pesos)
11. UIC Universidad Intercontinental ($3’428,150 pesos)
12. Radiomóvil Dipsa ($6’264,165 pesos)
13. Universidad Intercontinental ($5’298,050 pesos)
14. Solufinte ($542,271 pesos)
15. Afore XXI Banorte ($ 1’246,600 pesos)
16. UIC Universidad Intercontinental ($ 1’295,200 pesos)
©2014 Galaz, Yamazaki, Ruiz Urquiza, S.C.
Multas impuestas por el IFAI (cont.)
16
Entre las principales faltas en que incurrieron las empresas y por las cuales se hicieron acreedoras a dichas
multas, se encuentran:
1. La transferencia de datos a terceros sin comunicar a éstos el Aviso de Privacidad con las limitaciones
de la divulgación de los datos personales del titular
2. La violación a los principios de licitud, finalidad, información, consentimiento y responsabilidad
3. La omisión en el Aviso de Privacidad de las opciones y medios que ofrecen a los titulares para limitar
el uso o divulgación de sus datos
4. La obstrucción de los actos de verificación de la autoridad
Deloitte se refiere a Deloitte Touche Tohmatsu Limited, sociedad privada de responsabilidad limitada en el Reino
Unido, y a su red de firmas miembro, cada una de ellas como una entidad legal única e independiente. Conozca en
www.deloitte.com/mx/conozcanos la descripción detallada de la estructura legal de Deloitte Touche Tohmatsu
Limited y sus firmas miembro.
Deloitte presta servicios profesionales de auditoría, impuestos, consultoría y asesoría financiera, a organizaciones
públicas y privadas de diversas industrias. Con una red global de firmas miembro en más de 150 países, Deloitte
brinda su experiencia y profesionalismo de clase mundial para ayudar a que sus clientes alcancen el éxito desde
cualquier lugar del mundo en donde operen. Los aproximadamente 170,000 profesionales de la firma están
comprometidos con la visión de ser el modelo de excelencia.
Esta publicación sólo contiene información general y ni Deloitte Touche Tohmatsu Limited, ni sus firmas miembro,
ni ninguna de sus respectivas afiliadas (en conjunto la “Red Deloitte”), presta asesoría o servicios por medio de
esta publicación. Antes de tomar cualquier decisión o medida que pueda afectar sus finanzas o negocio, debe
consultar a un asesor profesional calificado. Ninguna entidad de la Red Deloitte, será responsable de la pérdida
que pueda sufrir cualquier persona que consulte esta publicación.
© 2014 Galaz, Yamazaki, Ruiz Urquiza, S.C.