1 / 34

Mtro. Fernando Solares Valdes

PROTECCIÓN DE DATOS PERSONALES. Mtro. Fernando Solares Valdes. Septiembre 2011. Agenda. Introducción Algunas Definiciones importantes Niveles de seguridad Principios Consentimiento Derechos de los titulares Otros puntos de protección de datos a tener en cuenta

noreen
Télécharger la présentation

Mtro. Fernando Solares Valdes

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. PROTECCIÓN DE DATOS PERSONALES Mtro. Fernando Solares Valdes Septiembre 2011

  2. Agenda • Introducción • Algunas Definiciones importantes • Niveles de seguridad • Principios • Consentimiento • Derechos de los titulares • Otros puntos de protección de datos a tener en cuenta • Introducción al modelo de gestión • Sistemas de Gestión y PRIVACIDAD • Objetivos ISO 27000 • Fases de la adecuación • Conclusiones

  3. Introducción ¿Qué supone esta Ley? • Un RESPALDO para los ciudadanos contra la posible utilización indebida de sus datos personales. • Supone que los datos personales serán tratados con el RESPETO necesario. • Otorga un CONTROL al titular sobre sus propios datos.

  4. Introducción ¿Qué supone esta Ley? • Nacimiento de una Obligación: • Quien trata datos de carácter personal ha de cumplir con una serie de Obligaciones. • Protección frente a la indefensión: • Confiere una serie de derechos y garantías a los ciudadanos.

  5. Introducción ¿POR QUÉ CUMPLIR CON LA LEY? • Desde un punto de vista Legal: por la necesidad de garantizar un Derecho Fundamental a la Protección de datos. • Desde un punto de vista práctico: porque se establece un Régimen sancionador, que va de los 100 a 320,000 días de salario mínimo. • Desde el punto de vista del empresario: Es una ocasión para realizar una auditoria y establecer un control de su sistema organizativo y técnico.

  6. Introducción OBJETO DE LA LEY El alcance de la legislación de protección de datos comprende la protección de los datos personales en posesión de los particulares, con la finalidad de regular su tratamiento legítimo, controlado e informado, a efecto de garantizar la privacidad y el derecho a la autodeterminación informativa de las personas.

  7. Introducción OBJETO DE LA LEY Son sujetos regulados por esta Ley, los particulares sean personas físicas o morales de carácter privado que lleven a cabo el tratamiento de datos personales, con excepción de: Las sociedades de información crediticia en los supuestos de la Ley para Regular las Sociedades de Información Crediticia y demás disposiciones aplicables, y Las personas que lleven a cabo la recolección y almacenamiento de datos personales, que sea para uso exclusivamente personal, y sin fines de divulgación o utilización comercial.

  8. Introducción OBJETO DE LA LEY Archivos mas frecuentes en la empresa: Clientes y Contactos|ProveedoresNóminas MarketingCurriculumContabilidad y Declaraciones a hacienda públicaGestión de PersonalArchivo de Visitantes (Seguridad)Contactos Web

  9. Algunas definiciones importantes: Datos personales: Cualquier información concerniente a una persona física identificada o identificable. Datos personales sensibles: Aquellos datos personales que afecten a la esfera más íntima de su titular, o cuya utilización indebida pueda dar origen a discriminación o conlleve un riesgo grave para éste. En particular, se consideran sensibles aquellos que puedan revelar aspectos como origen racial o étnico, estado de salud presente y futuro, información genética, creencias religiosas, filosóficas y morales, afiliación sindical, opiniones políticas, preferencia sexual.

  10. Algunas definiciones importantes: Encargado: La persona física o jurídica que sola o conjuntamente con otras trate datos personales por cuenta del responsable. Responsable: Persona física o moral de carácter privado que decide sobre el tratamiento de datos personales. Titular: La persona física a quien corresponden los datos personales. Tratamiento: La obtención, uso, divulgación o almacenamiento de datos personales, por cualquier medio. El uso abarca cualquier acción de acceso, manejo, aprovechamiento, transferencia o disposición de datos personales.

  11. NIVELES DE SEGURIDAD Los datos se clasifican en Niveles según interferencia en la INTIMIDAD del individuo Datos personales Datos: -Identificativos -Características personales -Circunstancias sociales. -Académicos y profesionales. -Empleo y carrera administrativa -Información comercial -Económico-financieros. -Transacciones. Datos -Especialmente protegidos: (Ideología, Creencias, religión, origen racial, salud o vida sexual) Datos personales Sensibles

  12. ¿QUIÉN HA DE ADAPTARSE A LA LFPDPPP? LFPDPPP Entidades Privadas Colegios Profesionales Empresas Escuelas Sanidad • Pymes • Sociedades • Fábricas • Asociaciones • Inmobiliarias.. • Farmacias • Ópticas • Laboratorios • Clínicas • Universidades • Primarias • Secundarias • Graduados Sociales • Ingenieros • Peritos • Abogados

  13. PRINCIPIOS • Seguridad • Adopción de medidas de seguridad dispuestas en el Reglamento de Medidas de Seguridad. • Comunicación de datos • Las cesiones han de ser amparadas por Ley o ser consentidas por el titular de los datos. • Acceso por cuenta de Terceros • Empresas y entidades que prestan servicios: Gestorías, Empresas informáticas.

  14. PRINCIPIOS • Calidad de datos, proporcionalidad, finalidad. • Consentimiento. • Exige una manifestación de la voluntad libre e inequívoca del titular de los datos. • Transparencia (información en la Recogida de datos). • Se ha de cumplir con el deber de informar de lo expresamente dispuesto en la LFPDPPP.

  15. Principios de licitud, calidad, proporcionalidad y lealtad Los datos sólo podrán ser tratados de forma leal y lícita. No se pueden recoger los datos de manera desleal, ilícita o fraudulenta. Los datos que se recojan sólo pueden ser tratados de acuerdo a finalidades determinadas, explícitas y legítimas del responsable de la base de datos.  esto significa que es necesario informar y dar a conocer cuales son estas finalidades. No pueden ser utilizados para otras finalidades sin el consentimiento del afectado.  si queremos usarlos para publicidad o para otras cuestiones deberemos de informar de cuales son estas finalidades y solicitar el consentimiento. Sólo se recogerán los datos necesarios, no hay que excederse. cuando en un cuestionario se soliciten datos hay que determinar cuales son los necesarios para conseguir la finalidad.

  16. Principio de Calidad de los datos Los datos se actualizarán cuando se conozca una nueva situación del afectado.  La actualización de los datos es un gran problema en muchas empresas, ya que no pueden asegurar que los datos que manejan estén actualizados debido al esfuerzo que supone el realizarlo. Se cancelarán cuando hayan dejado de ser necesarios.  establecer un periodo de caducidad, el problema es saber cuando han dejado de ser necesarios y conocer que legislación afecta para tener en cuenta los periodos que nos impone. Limitación en el caso de los datos especialmente sensibles, que será el mínimo para cumplir la finalidad.

  17. Principio de información Cuando se vaya a solicitar datos personales es necesario informar de lo siguiente: I. La identidad y domicilio del responsable que los recaba; II. Las finalidades del tratamiento de datos; III. Las opciones y medios que el responsable ofrezca a los titulares para limitar el uso o divulgación de los datos; IV. Los medios para ejercer los derechos de acceso, rectificación, cancelación u oposición, de conformidad con lo dispuesto en esta Ley; V. En su caso, las transferencias de datos que se efectúen, y VI. El procedimiento y medio por el cual el responsable comunicará a los titulares de cambios al aviso de privacidad, de conformidad con lo previsto en esta Ley.

  18. Principio de información En cumplimiento de la Ley Federal de Protección de datos de 21 de Abril de 2010, le informamos que sus datos serán tratados por NOMBRE DEL RESPONSABLE DEL TRATAMIENTO con dirección C/XXXXXXXX. La finalidad del tratamiento es (determinar con claridad la finalidad del mismo). Ej. Gestión clientes, gestión de personal, informarle de nuestros productos y ofertas. Se han implantado las medidas de seguridad necesarias para evitar el uso por personal no autorizado y la divulgación a terceros. Hay que determinar la cesión de datos que se puedan realizar. Ej. En caso de cesión de datos “Asimismo se le informa que sus datos serán puestos a disposición de las empresas XXXX para las finalidades XXXXX”. O sino va a ceder los datos “La empresa tratará estos datos con la máxima confidencialidad siendo el destinatario único y exclusivo de los mismos, y no efectuando cesiones o comunicaciones a terceros al margen de las señaladas por la normativa vigente.”

  19. Principio de información Puede ejercer sus derechos de acceso a los datos, rectificación y cancelación mediante carta dirigida a XXXXXXXXX, adjuntando fotocopia de documento identificativo. En caso de modificarse cualquiera de las condiciones de la recogida de datos se le hará llegar una nueva comunicación mediante XXXXXXXXXXXXX EN CASO DE RECABARSE DATOS PERSONALES SENSIBLES: Por la aceptación de la presente cláusula, otorga el permiso expreso para que RESPONSABLE DE LA BASE DE DATOS realice el tratamiento de sus datos, incluyendo aquellos que puedan ser considerados sensibles, según la legislación aplicable de protección de datos.

  20. El consentimiento se debe de solicitar: Para un tratamiento o serie de tratamientos concretos, y para unas finalidades determinadas y legítimas. En caso de cesión de los datos, se debe de informar a quien se van a ceder los datos y para que finalidades, para el que afectado pueda oponerse a estas cesiones. El consentimiento puede ser expreso o tácito. Expreso cuando así lo solicite la ley (datos especialmente protegidos, cesiones, otras finalidades envío de publicidad) Tácito en el resto de los casos, siempre hay que dar la posibilidad de retirar el consentimiento Consentimiento • Para poder realizar un tratamiento de datos se exigirá el consentimiento inequívoco, a no ser que la ley diga otra cosa.

  21. Consentimiento Consentimiento Expreso: cuando la voluntad se manifieste verbalmente, por escrito, por medios electrónicos, ópticos o por cualquier otra tecnología, o por signos inequívocos. Se entenderá que el titular consiente tácitamente el tratamiento de sus datos, cuando habiéndose puesto a su disposición el aviso de privacidad, no manifieste su oposición.

  22. Consentimiento No será necesario el consentimiento para el tratamiento de los datos personales cuando: I. Esté previsto en una Ley; II. Los datos figuren en fuentes de acceso público; III. Los datos personales se sometan a un procedimiento previo de disociación; IV. Tenga el propósito de cumplir obligaciones derivadas de una relación jurídica entre el titular y el responsable; V. Exista una situación de emergencia que potencialmente pueda dañar a un individuo en su persona o en sus bienes; VI. Sean indispensables para la atención médica,…..

  23. DERECHOS DE LOS TITULARES • Se ha de respetar unos procedimientos y plazos para dar respuesta a estos derechos. • ACCESO • RECTIFICACIÓN • CANCELACIÓN • OPOSICIÓN

  24. Otros puntos de la protección de datos a tener en cuenta • Clasificación de los datos conforme a su nivel de protección. • Cesión de datos a terceros • Tratamiento de los datos por terceros • Transferencias internacionales de datos • Atención al ejercicio de los derechos • Protección de los datos, medidas de seguridad a aplicar. • Tratamientos específicos de publicidad, creación de bases de datos de exclusión de publicidad.

  25. Sistema de Gestión Y Privacidad • El objeto de la PRIVACIDAD es garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas y especialmente su honor e intimidad personal y familiar • Las organizaciones se suelen debatir entre sólo cumplir con la PRIVACIDAD o implantar las medidas necesarias para no tener incidentes

  26. Para una organización lo que verdaderamente es importante es no tener incidentes que puedan desembocar en denuncias Para ello se suele llegar a puntos muertos en el desarrollo de las medidas en los que el discurso es “Ya sé que podemos tener un incidente, pero es que la ley no lo exige” Sistema de gestión y Privacidad La legislación establece unas medidas de seguridad concretas, pero deja claro que la organización debe hacer lo necesario para proteger los datos personales

  27. Dicho esto, un Sistema de Gestión contempla los controles necesarios para Evitar incidentes en la medida de lo posible Detectarlos rápidamente si se producen Darles una respuesta rápida, eficaz y ordenada Adoptar las medidas para que no se vuelva a repetir Y todo ello, como no puede ser de otra forma, cumpliendo con la legislación aplicable Sistema de Gestión y Privacidad • La implantación de un Sistema de Gestión, o incluso su certificación, • NO constituyen ninguna garantía de cumplimiento en lo referente a PRIVACIDAD

  28. Si además de pensar en cumplir con la ley, pensamos en tener los datos personales con un nivel de seguridad que nos permita ser optimista... ¿Cuál de los siguientes objetivos podríamos pasar por alto? Sistema de Gestión y Privacidad

  29. Pasos para adecuar a una empresa a la Legislación de protección de Datos Personales • Asegurarse de que puede tratar los datos y asignarles una finalidad concreta. • Recoger los datos de forma adecuada y poner especial cuidado en el consentimiento. • Informar a los titulares de la identidad del Responsable, de sus derechos, etc... • Poner especial cuidado en las cesiones de datos y en realizar contratos con los encargados de tratamiento.

  30. Pasos para adecuar a una empresa a la Legislación de protección de Datos Personales • Redacción de un Documento de Seguridad. Implantación de Medidas de seguridad (técnicas y organizativas). • Respetar al máximo los Derechos y Principios que la Ley otorga al titular de los datos de carácter personal. • Auditorias con periodicidad temporal.

  31. FASES ADECUACIÓN • Análisis de Empresas • Análisis de BB.DD. • Funciones del personal • Procedimientos de seguridad • Sistemas informáticos Contratos Redacción de Documento de Seguridad Establecimiento del sistema de gestión Políticas de seguridad Regulación jurídica Implementación en la empresa

  32. Conclusiones • Un Sistema de Gestión no garantiza que la organización cumpla con la PRIVACIDAD • Sin embargo la mayoría de los objetivos de la ISO 27000 son de aplicación para la protección de datos personales • La seguridad de datos personales requiere de un proceso de gestión, el establecido en la ISO 27000 está basado en el modelo PDCA que es el más difundido • Por todo ello un Sistema de Gestión no garantiza que se cumpla con la PRIVACIDAD pero ayuda ... Y mucho

  33. CONCLUSIONES • ¿POR QÚE ADECUARNOS A LA LFPDPPP? • Sanciones. • Legislación. • Gestión segura de la información. • Crear buena imagen, prestigio. • Protección ante empleados por la incorrecta utilización de la información, del correo electrónico, Internet, etc... • Evitar principales fuentes de problemas: • Clientes insatisfechos. • Personal interno. • Competencia.

  34. Mtro. Fernando Solares fsolares@cibersoftec.com www.cibersoftec.com

More Related