Protecci ó n de Datos Personales Derecho y responsabilidad

1. Protección de Datos PersonalesDerecho y responsabilidad Universidad de Guanajuato Unidad de Acceso a la Información Pública Mtra. Rosalba Vázquez Valenzuela Septiembrede 2010

2. I. ¿Qué son los Datos Personales? Toda información concerniente o relativa a una persona física identificada o identificable; Son los datos que individualmente no tienen mayor trascendencia pero que, en conjunto pueden configurar un perfil determinado de las personas. Ante dicha posibilidad surge el derecho de sus titulares a exigir que los datos permanezcan en el ámbito de su privacidad.

3. Ejemplo Los datos por separado, que sirven para las estadísticas, no tiene ningún efecto pero la integración de ellos permite definir y conocer el perfil de una persona.

4. De Identificación: Nombre, domicilio, teléfono particular, teléfono celular, correo electrónico, estado civil, firma, firma electrónica, RFC, CURP, cartilla militar, lugar de nacimiento, fecha de nacimiento, nacionalidad, edad, nombres de familiares dependientes y beneficiarios, fotografía, costumbres, idioma o lengua, entre otros. Laborales: Documentos de reclutamiento y selección, de nombramiento, de incidencia, de capacitación, puesto, domicilio de trabajo, correo electrónico institucional, teléfono institucional, actividades extracurriculares, referencias laborales, referencias personales, entre otros. Tipos de DatosDe nivel básico

5. Datos Patrimoniales: Bienes muebles e inmuebles, información fiscal, historial crediticio, ingresos y egresos, cuentas bancarias, seguros, afores, fianzas, servicios contratados, referencias personales, entre otros. Datos sobre procedimientos administrativos seguidos en forma de juicio y/o jurisdiccionales: Información relativa a una persona que se encuentre sujeta a un procedimiento administrativo seguido en forma de juicio o jurisdiccional en materia laboral, civil, penal o administrativa. Datos Académicos: Trayectoria educativa, títulos, cédula profesional, certificados y reconocimientos, entre otros. Tránsito y movimientos migratorios: Información relativa al tránsito de las personas dentro y fuera del país e información migratoria de las personas, entre otros. Tipos de DatosNivel Medio

6. Nivel alto Datos Ideológicos: Creencia religiosa, ideología, afiliación política y/o sindical, pertenencia a organizaciones de la sociedad civil y/o asociaciones religiosas, entre otros. Datos de Salud: Estado de salud, historial clínico, alergias, enfermedades, información relacionada con cuestiones de carácter psicológico y/o psiquiátrico, incapacidades médicas, intervenciones quirúrgicas, vacunas, consumo de sustancias tóxicas, uso de aparatos oftalmológicos, ortopédicos, auditivos, prótesis, entre otros. Características personales: Tipo de sangre, ADN, huella digital, u otros análogos. Características físicas: Color de piel, color de iris, color de cabello, señas particulares, estatura, peso, complexión, discapacidades, entre otros. Vida sexual: Preferencia sexual, hábitos sexuales, entre otros. Origen: Étnico y racial. Tipos de Datos

7. II. El derecho sobre los datos personales Es un derecho fundamental que busca la protección de la persona en relación con el tratamiento de su información. Es el poder de disposición y control que faculta a su titular a decidir cuáles de sus datos proporciona a un tercero, así como el saber quién posee esos datos y para qué, pudiendo oponerse a esa posesión o uso –autodeterminación informativa-.

8. La Autodeterminación Informativa Es el derecho que tiene toda persona a conocer y decidir, quién, cómo y de qué manera recaba y utiliza sus datos personales

9. Derecho a la intimidad La protección de datos de carácter personal se ha ido separando del derecho a la intimidad y reconociendo de manera expresa como un derecho fundamental independiente La esfera íntima de la persona puede ser vulnerada en aspectos específicos como "sus datos personales".

10. En México Se previó como un derecho fundamental independiente al derecho a la intimidad el 20 de julio de 2007 cuando se reformó el artículo 6º y se establecieron las fracciones II y III. II. La información que se refiere a la vida privada y los datos personalesserá protegida en los términos y con las excepciones que fijen las leyes. III. Toda persona, sin necesidad de acreditar interés alguno o justificar su utilización, tendrá acceso gratuito a la información pública, a sus datos personales o a la rectificación de éstos.

11. Se tenía una regulación parcial sólo para bases de datos públicas (Título Primero, Capítulo Cuarto de la Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental) 2002. • El 5 de julio de 2010 se expidió la Ley Federal de Protección de Datos Personales en Posesión de los Particulares. • En Guanajuato se tiene la Ley de Protección de Datos Personales para el estado y los municipios de Guanajuato. 2006.

12. A nivel federal, la LFTAIPG Reconoce por primera vez en México la protección de los datos personales. Se limitaba al sector público a nivel federal. La LFTAIPG era, a la vez, una ley de acceso a la información y una ley de protección de datos personales (limitada en su ámbito de aplicación). El IFAI como autoridad garante, sólo: Expedía disposiciones administrativas y recomendaciones concretas a los sistemas de datos personales.

13. Ley Federal de Protección de Datos Personales en Posesión de los Particulares Esta Ley regula la forma y condiciones en que deben utilizarse los datos personales por parte de personas físicas o morales en el ámbito privado. Tiene por objeto garantizar la protección de tu información personal y que puedas ejercer el derecho a decidir, de manera libre e informada, sobre el uso que los entes privados darán a los datos. A esto se le conoce como "autodeterminación informativa".

14. Acceso: derecho del titular a obtener información de sus propios datos que están siendo objeto de tratamiento, la finalidad del tratamiento que, en su caso, se esté realizando, así como la información disponible sobre el origen de dichos datos y las comunicaciones realizadas o previstas de los mismos Rectificación:derecho del titular a que se modifiquen los datos que resulten ser inexactos o incompletos Derechos ARCO

15. Derechos ARCO Cancelación: derecho del titular que da lugar a que se supriman los datos que resulten ser inadecuados o excesivos Oposición: derecho del titular a que no se lleve a cabo el tratamiento de sus datos cuando se trate de sistemas de datos que tengan por finalidad la realización de actividades de publicidad

16. III. Principios de la protección de datos personales 1. Licitud • Los datos recabados deben tratarse únicamente para la finalidad para la que fueron obtenidos. • El tratamiento de datos debe obedecer a una atribución conferida por una ley, reglamento, decreto, acuerdo o circular que faculte a recabar los datos personales contenidos en los sistemas de datos personales

17. Ley Orgánica de la Universidad de Guanajuato Art. 3 “…realizar sus fines de educar, investigar y difundir la cultura;… fijar los términos de ingreso, promoción y permanencia de su personal y administrar su patrimonio.” Artículos 5. Son funciones esenciales de la Universidad: I. La educación en los niveles que ella determine; II. La investigación científica, tecnológica y humanística, en cualquier área del conocimiento… III. La creación, promoción y conservación de las expresiones del arte y la cultura;… así como la extensión a la sociedad de los beneficios de la ciencia y la tecnología. Artículo 6. Corresponde a la Universidad: I. Planear su desarrollo institucional; II. Desarrollar su organización académica y administrativa… III. Otorgar y expedir títulos, grados, certificados, diplomas, constancias, reconocimientos…(todo el artículo).

18. 2. Calidad de los datos El tratamiento de datos personales debe ser exacto, adecuado, pertinente y no excesivo, respecto de las atribuciones legales de la dependencia o entidad que los posea Los datos deben ser cancelados cuando se ha cumplido la finalidad del sistema de datos personales En este principio se deben atender los siguientes aspectos: La finalidad de los sistemas de datos personales; Los datos personales recabados; Las razones por las cuales son recabados y utilizados, y El procedimiento de actualización.

19. 3. Información Se debe hacer del conocimiento del titular de los datos personales, al momento de recabarlos, el fundamento legal y motivo para ello; y el propósito del tratamiento a que serán sometidos. Se debe informar a través de formatos físicos o electrónicos, lo siguiente: El fundamento legal y motivo de la recolección de los mismos; Los propósitos para los cuales se tratarán dichos datos; El compromiso de que los mismos serán protegidos en términos de lo dispuesto por la Ley; Los derechos conferidos al titular; La mención en la cual se señale que el sistema de datos está inscrito en el “Sistema Persona”, y La mención de que los datos contenidos son susceptibles de ser transmitidos, en cuyo caso se deberá también indicar la finalidad de la transmisión

20. Universidad de Guanajuato Esta leyenda que se incluye en los formatos de: Solicitud de inscripción de primer ingreso y comprobante de pago. Solicitud de reinscripción y comprobante de pago. Proyecto de estudios. “Manifiesto mi consentimiento para el tratamiento de los datos personales recabados en el presente formato, los cuales serán protegidos, incorporados y tratados en la base de datos de alumnos de la Universidad de Guanajuato, con fundamento en los Artículos 6, Fracción I de la LPDPEMG; Artículos 8 y 9 de los Lineamientos de Protección de Datos Personales para el Estado y los Municipios de Guanajuato y del Reglamento interno de la UG; Artículo 11, Fracción III, cuya finalidad es: administrar el expediente académico. Estoy de acuerdo Si ____ No_____ Firma del alumno ____________________ Para contar con la categoría de alumno es obligatorio proporcionar lo datos arriba mencionados. Este banco de datos fue registrado en el Registro Estatal de Datos Personales (REPDP) ante el Instituto Estatal de Acceso a la Información Pública (www.iacip-gto.org.mx), y podrá ser transmitido a las áreas internas de la Universidad de Guanajuato, con la finalidad de consulta de la información, además de otras transmisiones previstas en la Ley. La Unidad Administrativa responsable del banco de datos personales del alumno es la Dirección de Administración Escolar, y el interesado podrá ejercer los derechos de acceso y corrección ante la Institución en Lascuráin de Retana número 5, Zona Centro, c.p. 36000 Guanajuato, Gto., o en el portal de la página de transparencia de la Universidad de Guanajuato. Lo anterior se informa en cumplimiento de la Ley de Protección de Datos Personales para el Estado y los Municipios de Guanajuato, publicados en el Periódico Oficial del Estado el 19 de mayo de 2006. La consecuencia de no proporcionar los datos personales es no adquirir la calidad de alumno.

21. 4. Consentimiento Toda transmisión de información personal debe contar con el consentimiento libre, expreso e informado del titular, salvo las excepciones establecidas en ley. Es necesario establecer mecanismos institucionales por los cuales se recabe el consentimiento del titular de los datos personales a transmitir. Si cree que una instituciónestá utilizando indebidamente información sobre usted, ejerza sus derechos de acceso, rectificación, cancelación u oposición al tratamiento y solicite en su caso su retirada previo bloqueo de la misma

22. 5. Custodia y cuidado Los datos personales deben estar debidamente custodiados por el Responsable, los Encargados y los Usuarios del sistema. Tiene las siguientes obligaciones cada uno para garantizar el manejo cuidadoso en el tratamiento. Responsable: titular de la unidad administrativa que posee el sistema de datos personales. Encargado: el servidor público o cualquier otra persona física o moral facultado expresamente por el Responsable para llevar a cabo determinado tratamiento del sistema. Usuarios: servidor público facultado por el Responsable expresamente que utiliza de manera cotidiana datos personales para el ejercicio de sus atribuciones, accediendo al sistema sin posibilidad de agregar o modificar su contenido.

23. 5. Custodia y cuidado Este principio implica la definición de los siguientes aspectos: Nombre, cargo y descripción del Responsable, Encargados y Usuarios, y Las funciones y obligaciones del Responsable, Encargado y Usuarios con relación al tratamiento del sistema.

24. 6. Seguridad Se deben adoptar las medidas necesarias para garantizar la integridad, confidencialidad y disponibilidad de los datos personales mediante acciones que eviten su alteración, pérdida, transmisión y acceso no autorizado.

25. Niveles de Seguridad Criterios internacionales para el resguardo eficaz de los datos personales: medidas de seguridad aplicables. Responden a la mayor o menor necesidad de garantizar la integridad de los datos personales: nivel básico, medio o alto de acuerdo con las categorías o tipos de datos personales que se resguarden.

26. Solicitud de Datos Personales 1) Informe de datos personales. 2) Corrección de datos personales. 3) Cancelación de datos personales

27. Solicitud de Datos Personales 1. Informe de datos personales: se debe dar respuesta en un plazo de 20 días hábiles siguientes, al de la recepción de la solicitud. 2. Corrección de datos personales: se debe dar respuesta en un plazo de 30 días (hábiles siguientes al de la recepción de la solicitud). Es necesario mencionar que, de acuerdo a lo establecido en el artículo 17, los enlaces deberán enviar a la UAIP en un plazo de 3 días, hábiles siguientes al de la recepción de la solicitud, el expediente del solicitante.

28. 3. Cancelación de datos personales, se debe dar respuesta en un plazo de 30 días hábiles siguientes al de la recepción de la solicitud. El plazo máximo se indica de manera directa y no hay prórroga. La solicitud de cancelación de datos personales puede clasificarse como incompleta, si no contiene toda la información necesaria para le trámite, Se podrá requerir completar en un plazo de 10 días (hábiles siguientes al de la recepción de la solicitud) El solicitante deberá complementar en un plazo de 5 días para continuar el trámite de su solicitud.

29. La información es un recurso y un productos de trabajo. Responsabilidad del enlace de transparencia y acceso a la información, en vinculación con los responsables de las bases de datos. Todas las personas deberán guardar el debido secreto y confidencialidad sobre los datos personales que conozcan en el desarrollo de su trabajo. Todo el personal que acceda a los datos de carácter personal está obligado a conocer y observar las medidas, normas, procedimientos y reglas que afecten a las funciones que desarrolla. Constituye una obligación del personal notificar al responsable del área o dependencia, las incidencias de seguridad de las que tengan conocimiento respecto a los recursos protegidos. IV. Recomendaciones en materia de seguridad.

30. La Ley de Responsabilidades Administrativas de los Servidores Públicos en su Art.11 señala… que se debe: V. Custodiar la documentación e información que conserve o a la que tenga acceso, por razón de su empleo, cargo o comisión, así como evitar e impedir el uso, sustracción, destrucción u ocultamiento indebidos de aquélla; XII. Realizar la entrega – recepción de los recursos, documentación, bienes y asuntos en trámite de la unidad administrativa a su cargo, de conformidad con las normas y disposiciones vigentes en la materia; Responsabilidad

31. En la documentación de trámites se debe: Solicitar exclusivamente los datos necesarios para la finalidad con la que se recaban (cursos libres, CV, talleres, etc). Para cualquier trámite personal o en la red se debe manifestar claramente la identidad de quien los solicita, Informar claramente el fin para el que se solicitan los datos y el registro en la base correspondiente. Destruir los datos personales que ya no tengan un uso o que el fin para el que se solicitaron haya concluido.

32. Uso de la Imagen personal La imagen es un dato de carácter personal cuya difusión o acceso no autorizado puede ser particularmente molesto o dañino. Ejemplo: Respetar los derechos de aquellos con quienes celebramos videoconferencias no grabando o reproduciendo imágenes sin su conocimiento y autorización. No reproducir ni difundir las imágenes obtenidas con motivos de la función pública y laboral, del acceso a servicios de Internet u otros sin la autorización del titular.

33. Recomendacionesgenerales Cambio periódico de contraseñas. Uso estricto de credencial o identificación dentro de las instalaciones, por parte del personal de la organización. Uso estricto de gafete dentro de las instalaciones, por personas ajenas a la organización. Acceso restringido a la red, a archivos o carpetas necesarias y autorizadas. Acceso limitado a Internet. Contraseña de acceso a la computadora personal. Contraseñas adicionales de acceso a los sistemas de registro o atención al público. Políticas de restricción de acceso a las instalaciones con dispositivos electrónicos de almacenamiento, (Computadoras, Discos USB, CD’s y DVD’s grabables, etc) Restricción de acceso a ciertos sitios de Internet. Restricción de instalación de programas personales (música, video, etc.). Cámaras de vigilancia. Respaldo periódico de la información de las computadoras personales. Cifrado de la información en computadoras portátiles. Liberación de impresiones sólo con clave o contraseñas. Escritorios limpios (no se dejan al descuido documentos oficiales en los escritorios). Protección de Datos Personales. Manual práctico para empresas. Santos Pascual Efrén y López-Vidriero Tejedor Iciar. FC Editorial.

34. Ejemplos de bases de la UG que contienen información confidencial: Alumnos (historial académico) Becas Atención Psicológica Diagnóstico bio-psicosocial Valoración del estado de salud Becas Pronabes Seguro contra accidentes Programas Sociales Actividades deportivas Educación virtual Proceso de selección (estudiantes y profesores) Base de datos egresados Sistema de Administración de Derechohabientes y Consultorio Médico Seguros de vida Encuestas satisfacción del cliente Contratos de prestación de servicios • Recursos Humanos y Expedientes Personales • Apoyo a extranjeros • Cursos de extensión • Cursos libres y de actualización • Cursos de formación • Directorio de correos electrónicos y claves informáticas • Investigaciones • Usuarios de Bibliotecas • Cuentas personales • Residencias e intercambios • Base de datos egresados • Programa Institucional de Movilidad • Declaraciones patrimoniales

35. Referencias Estudio sobre la Privacidad de los Datos Personales y la Seguridad de la Información en las Redes Sociales Online.Agencia Española para la Protección de datos e Instituto de Tecnologías de la Comunicación. http://www.inteco.es, http://observatorio.inteco.es. Guía de “Recomendaciones a usuarios de Internet”. Agencia Española para la Protección de Datos. www.agpd.es. Guía de “Seguridad de datos”. Agencia Española para la Protección de Datos. www.agpd.es. Ley de Protección de Datos Personales para el estado y los municipios de Guanajuato. 2006. Política Digital (online Nexos) www.politicadigital.com.mx Presentación sobre los Lineamientos en materia de Seguridad de la información en posesión de las Dependencias y Entidades de la Administración Pública Federal. Lina Ornelas Núñez. Taller Nacional "Seguridad de la Información en el Sector Público de México“. Julio 2009. Recomendaciones sobre medidas de Seguridad aplicables a los sistemas de datos personales. Instituto Federal de Acceso a la Información. www.ifai.org.mx Reglamento de la Universidad de Guanajuato para la Protección de los Datos Personales. 2007. Seminario Estatal de Protección de Datos Personales “El Derecho de Protección de Datos Personales”. IFAI. Junio 2009.

36. www.transparencia.ugto.mx Jefa de la UAIP Mtra. Rosalba Vázquez Valenzuela. Coordinadora de Control y Seguimiento: Lic. Ma. Jesús Segoviano González. Coordinador de Sistemas: Ing. Juan David Calzada Martínez Teléfonos: (473) 73 20006 exts: 2058, 2043, 3102y 2042. Correo electrónico:uaip@quijote.ugto.mx vazquezr@quijote.ugto.mx