Curso: Ley Federal de Protección de datos personales … · Es la persona física o moral de...
Transcript of Curso: Ley Federal de Protección de datos personales … · Es la persona física o moral de...
Curso
Ley y Reglamento Federal de
Proteccioacuten de datos
Personales en Posesioacuten de
Particulares
27 de abril de 2015
I Introduccioacuten a la Proteccioacuten
de Datos Personales
2
iquestQueacute es el derecho a la proteccioacuten
de los datos personalesbull Es un derecho humano reconocido por el artiacuteculo 16 de la
Constitucioacuten Poliacutetica de los Estados Unidos Mexicanos que
impone obligaciones a las personas fiacutesicas o morales que
utilizan datos personales y que otorga derechos a los titulares
de los datos a fin de garantizar el buen uso de la informacioacuten
personal la privacidad y el derecho a la autodeterminacioacuten
informativa de las personas
bull La LFPDPPP tiene por objeto la
proteccioacuten de los datos personales en
posesioacuten de los particulares con la
finalidad de regular su tratamiento a
efecto de garantizar su privacidad Art 16
3
Participacioacuten de Meacutexico en el
derecho a la proteccioacuten de los DP
bull El pasado 12 y 13 de Noviembre de 2014 se llevo a cabo el
XII Encuentro Iberoamericano de Proteccioacuten de Datos
Personales en la Cd de Meacutexico con sede en instalaciones
del Ifai donde participaron los paiacuteses que integran la Red
Iberoamericana de Proteccioacuten de Datos
bull Meacutexico es el uacutenico paiacutes a nivel Iberoamericano con caraacutecter
de autoacutenomo
4
II Normativa aplicable
5
Ley Federal de Proteccioacuten de Datos
Personales en Posesioacuten de los
Particulares (LFPDPPP) y su Reglamento
bull La Ley se publicoacute en el Diario Oficial de la
Federacioacuten el 5 de julio de 2010
bull 6 de julio de 2011 las personas
reguladas deben tener a disposicioacuten de
sus clientes su Aviso de Privacidad y
deben haber designado a la Persona o
Departamento de Datos Personales al
interior del negocio
bull El Reglamento de la Ley se publicoacute en el
Diario Oficial de la Federacioacuten el 21 de
diciembre de 2011
6
bull A partir del 6 de enero de 2012 los clientes
pueden ejercer sus Derechos ARCO
(acceso rectificacioacuten cancelacioacuten y
oposicioacuten)
bull Los ciudadanos ldquotitularesrdquo a partir del 6 de
febrero de 2012 pueden ejercer su derecho
a la proteccioacuten de datos personales ante el
IFAI
bull Lineamientos para el Aviso de Privacidad
Integral debe contar con 12 elementos
informativos baacutesicos a partir del 17 de abril
de 2013
bull La creacioacuten administracioacuten y uso de bases
de datos deben contar con procesos y
medidas de seguridad documentadas a
partir del 22 de junio de 2013 7
iquestCuaacutel es el aacutembito de aplicacioacuten de
la Ley
8
Ley Federal de Proteccioacuten de
Datos Personales en
Posesioacuten de los Particulares
- Orden puacuteblico y- Observancia general
- Federal
Proteccioacuten de datos personales en
posesioacuten de los particulares
Regular el tratamiento- Legiacutetimo
- Controlado- Informado
Naturaleza y aacutembito
de aplicacioacuten
Objeto
Finalidad
Sujetos ReguladosExcepcionesbull Sociedades de Informacioacuten
Crediticia
bull Personas fiacutesicas que traten
datos personales para su
uso personal y familiar
bull Personas Fiacutesicas y
Morales de caraacutecter
privado que recaban
datos personales
9
iquestQuieacuten es la entidad responsable
del cumplimiento de esta Ley
bull El Instituto Federal de Acceso a la
Informacioacuten y Proteccioacuten de Datos es
la entidad encargada de difundir y
promover el ejercicio del derecho a la
proteccioacuten de Datos Personales a la
sociedad mexicana y garantizar el
cumplimiento de la Ley
bull Estaacute facultado para imponer infracciones
y sanciones a quienes hagan uso
indebido de los datos personales 10
III Conceptos baacutesicos
11
Conceptos baacutesicos
iquestCuaacutel es un dato sensiblebull Son datos personales que
afectan la esfera maacutes iacutentima de
su titular o cuya utilizacioacuten
indebida pueda dar origen o
conlleve un riesgo grave para
eacuteste
iquestQueacute es un dato personalbull Es cualquier informacioacuten concer-
niente a una persona fiacutesica
ldquotitularrdquo que la identifica o la hace
identificable
12
Conceptos baacutesicos
bull Soporte fiacutesico (inteligible a
simple vista)
bull Soporte electroacutenico (se
requiere de un aparato con
circuitos electroacutenicos que
procese su contenido)
Medios de almacenamiento
bull Bases de Datos Pueden serexpresados en forma
bull Numeacuterica
bull Alfanumeacuterica
bull Graacutefica
bull Fotograacutefica
bull Acuacutestica
bull Cualquier otro tipo detecnologiacutea disponible en elmercado
13
Obtencioacuten de datos
Medios para recabar datos personales (DP)
Los datos pueden obtenerse de 3 formas
bull Personalmente Cuando el titular yo representante legal proporciona los DP alresponsable ldquopresencia fiacutesica de ambosrdquo
bull Directa Cuando el titular proporciona los DP por alguacuten medio que permite su entregadirecta al responsable entre ellos medios electroacutenicos sonoros oacutepticos visuales ocualquier otra tecnologiacutea que pueda utilizarse para ello
bull Indirecta Cuando el Responsable obtienen los DP sin que el titular se los hayaproporcionado de forma personal o directa como podriacutea ser a traveacutes de transferencias ofuentes de acceso puacuteblico (medios expresamente definidos para hacer de conocimiento delpuacuteblico en general los datos que contiene ej paacutegina de Internet boletiacuten diario oficial entreotros)
14
Tratamiento de Datos Personales
15
Es la obtencioacuten
divulgacioacuten uso o
almacenamiento de
datos personales por
cualquier medio
El uso abarca cualquier
accioacuten de acceso
manejo aprovecha-
miento transferencia o
disposicioacuten de datos
personales
16
Datos de identificacioacuten
Datos de contacto
Datos laborales
Datos sobre caracteriacutesticas fiacutesicas
Datos acadeacutemicos
Datos patrimoniales o financieros
17
Datos biomeacutetricos
Datos ideoloacutegicos
Datos sobre opiniones poliacuteticas
Datos sobre afiliacioacuten sindical
Datos de vida sexual
Datos de Salud
Datos de origen eacutetnico o racial
IMPORTANTE Las caracteriacutesticas de los datos personales y datos personales
sensibles de este documento son soacutelo una orientacioacuten ya que el pleno del Ifai
no ha emitido criterios institucionales al respecto ademaacutes de que ciertos datos
personales que en un principio no se consideren sensibles podriacutean llegar a serlo
dependiendo del contexto en que se trate la informacioacuten
IV Designar un encargado
o departamento de Datos
Personales
18
Actores principalesResponsable
Es la persona fiacutesica o moral de caraacutecter privado que DECIDE
sobre el tratamiento de los DP es decir
bull Quien establece las finalidades del tratamiento o el uso que se
les daraacute
bull El tipo de datos que se requieren
bull A quieacuten y para queacute se comparten
bull Coacutemo se obtienen almacenan y suprimen y
bull En queacute casos se divulgaraacuten
EncargadoEs la persona fiacutesica o moral (Outsourcing) que trata los datospersonales a nombre y por cuenta del Responsable
bull El encargado NO DECIDE sobre el tratamiento de los datospersonales lo realiza siguiendo las instrucciones delResponsable
Tercerobull Es la persona fiacutesica o moral nacional o extranjera ajena a la
organizacioacuten distinta del responsable encargado o titular 19
iquestCoacutemo seleccionar al ldquoEncargado de
DPrdquoEs importante considerar
bull Tamantildeo y capacidad de la organizacioacuten
bull Tipo y volumen de datos obtenidos
bull Naturaleza e intensidad del tratamiento
bull Nivel de riesgo y confidencialidad
La persona o Departamento de DP ldquoEncargado de
DPrdquo debe
bull Atender las Solicitudes de Derechos ARCO
bull Fomentar la proteccioacuten de DP al interior del
negocioArt 30 de la LFPDPPP
Es indispensable que el Responsable formalice la
relacioacuten con el Encargado de DP mediante un
instrumento juriacutedico (contrato claacuteusulas contractuales
acuerdos o convenios) en el que se establezcan las
obligaciones de ambos en torno a la proteccioacuten de datos
personales
Oficial de
Proteccioacuten de DP
20
V Identificar
Transferencias
21
TransferenciasTransferencia de DP
bull La transferencia es la comunicacioacuten de datospersonales dentro o fuera del territorio nacionala persona distinta del titular del Responsable odel encargado
bull Formalizarla a traveacutes de instrumentojuriacutedico
bull Debe ser Informada al titular a traveacutes delAviso de Privacidad a quien se transfiereny para que fines
bull Limitarse a las finalidades notificadas en elAviso de Privacidad y consentidas por eltitular
bull Se podraacute realizar hasta que se hayaobtenido el consentimiento del titular salvolas excepciones marcadas en el Art 37 dela Ley
bull Los Receptores asumen las mismasobligaciones del Responsable sobre los datosrecibidos de acuerdo con el Aviso de privacidady Contrato firmado entre las partes
Encargado
Responsable
Tercero
Transferencia interna
ldquoRemisioacuten de DPrdquo
Transferencia a
terceros
Cuando esteacute previsto en una Ley o Tratado en el que Meacutexico sea parte para
la prevencioacuten o el diagnoacutestico meacutedico para el cumplimiento de una relacioacuten
juriacutedica o salvaguarda de un intereacutes puacuteblico o procuracioacuten de justicia
22
23
Si el Responsable se adhiere a la infraestructura los servicios
o aplicaciones el proveedor deberaacute cumplir con las siguientes
condiciones definidas en el Art 52 del Reglamento de la Ley de lo
contrario el Responsable NO podraacute adherirse
I Cumpla al menos con lo siguiente
a) Tener y aplicar poliacuteticas de Proteccioacuten de DP y
medidas de seguridad acorden a la LFPDPPP
b) Transparentar las subcontrataciones
c) Abstenerse de asumir la titularidad o
propiedad de la informacioacuten y guardar
confidencialidad
d) Garantizar la supresioacuten de los DP una vez que
haya concluido el servicio prestado al
Responsable
VI Principios y deberes
24
Cumplir con los
Principios y deberes
25
Licitud
Lealtad
Proporcionalidad
Calidad
Finalidad
Consentimiento
Informacioacuten
Responsabilidad
Licitud
Lealtad
Principios
26
bull Todo tratamiento de datos personales
debe ser con estricto apego y
cumplimiento a lo dispuesto por la
legislacioacuten mexicana y el derecho
internacional
bull El tratamiento de DP debe realizarse en
atencioacuten a lo acordado NO deben de
utilizarse medios engantildeosos o fraudu-
lentos para recabar y tratar DP
Licitud
Lealtad
Principios
27
Proporcionalidad
Calidad
bull Los DP tratados deben ser los miacutenimos
necesarios para el cumplimiento de la
finalidad para la cual se recabaron
bull El responsable deberaacute aplicar el Criterio
de minimizacioacuten
bull Los DP deben ser correctos exactos
completos pertinentes y actualizados de
acuerdo con la finalidad para la cual
fueron recabados
Principio finalidad
28
bull Dan origen y son necesarias
para la relacioacuten juriacutedica
bull Una relacioacuten juriacutedica debe estar
enmarcada por los siguientes
factores
bull Viacutenculo entre los sujetos
bull Dos o mas sujetos
bull Estar regulado por el derecho y
bull Producir consecuencias juriacutedicas
El tratamiento de DP debe ser soacutelo el necesario para cumplir con la
finalidad determinada y legiacutetima que se sentildealoacute en el aviso de privacidad
de manera clara y objetiva
bull Finalidades distintas a las quedieron origen a la relacioacuten juriacutedicao bien aquellas legalmentepermitidas o para las que elresponsable haya obtenido elconsentimientondash Mercadoloacutegicos publicitarias
ndash Promocionales comunicacioacutenprospeccioacuten referencia comercial
ndash Videografacioacuten y toma de fotigrafiacuteas
bull El titular puede oponerse altratamiento de sus datos paraestas finalidades y no seraacute motivopara negar el servicio solicitado
Primarias Secundarias
Principio Consentimientobull Facultad de las personas para decidir sobre el tratamiento de sus DP
el cual taacutecito expreso o expreso y por escrito debe ser libre especiacuteficoinformado e inequiacutevoco
bull Si una ley o reglamento en lo particular exige el consentimiento expreso oexpreso y por escrito para el tratamiento de DP el responsable deberaacutesolicitarlo de esa forma aunque no se trate de datos financierospatrimoniales o sensibles
Nota No es necesario solicitar el consentimiento cuando el tratamiento de los DP sea en cumplimientoa obligaciones derivado de una relacioacuten juriacutedica entre el titular y el Responsable
Tipo de Consentimiento
bull Taacutecito
bull Expreso
bull Expreso y por escrito
Para que tipo de datos se requiere
bull Para cualquier tipo de dato personal con excepcioacuten de los datos patrimoniales financieros y sensibles
bull Para datos financieros y patrimoniales
bull Para datos personales sensibles
29
Principio de Responsabilidad
30
bull Establecer Medidas de Seguridad administrativas fiacutesicas yo
teacutecnicas para la proteccioacuten de los DP mismas que deben ser
documentadas (acciones anaacutelisis de riesgo anaacutelisis de
brecha revisiones o auditoriacuteas capacitacioacuten entre otras)
Algunas medidas baacutesicas pueden ser
1 Elaborar Poliacuteticas de Proteccioacuten de DP al
interior del negocio que incluyan sistemas de
supervisioacuten y vigilancia
2 Brindar capacitacioacuten para la concientizacioacuten de
personal
3 Establecer procedimientos para atender las
dudas o quejas de los titulares
31
iquestQueacute es el Aviso de Privacidad
Es un documento fiacutesico electroacutenico visual sonoro
o en cualquier otro formato generado por el
responsable de manera sencilla con un lenguaje
claro y comprensible de aceurdo al perfil de los
titulares puesto a su disposicioacuten previo al
tratamiento de sus datos personales
Establecer los teacuterminos y condiciones generales del
tratamiento de los datos personales que recaba
El Responsable deberaacute tener el nuacutemero de avisos de
pivacidad que resulte necesario de acuerdo a los
tratamientos que realice a los DP
32
El aviso de privacidad debe estar disponible en alguno de los
siguientes soportes
Fiacutesico (en papel)
Electroacutenico (paacuteginas web correos electroacutenicos etc)
Visual ( pantalla de TV videos etc)
Sonoro (Grabaciones IVR etc)
En otros medios (prensa)
33
No usar frases inexactas ambiguas o vagas como ldquoentre
otrosrdquo ldquocomo por ejemplordquo ldquoDe manera enunciativa maacutes no
limitativardquo
No incluir textos o frases que induzcan al titular de manera
engantildeosa o fraudulenta (ejemplo ldquoLe recomendamos que
nos autorice el uso de su informacioacuten personal sin restriccioacuten
alguna para ser maacutes eficiente nuestro trabajordquo
No remitir al titular a textos o documentos que no esteacuten
disponibes (links disponibles)
No incluir casillas u otros mecanismos similares que esteacuten
marcados previamente que obliguen a los titulares a
desmarcarlos para modificar la condicioacuten previamente
establecida
34
35
Ejemplo AP
36
Modalidades
del Aviso de
Privacidad
Integral
Simplificado
Corto
Cuando los datos se obtengan
personalmente del titular
(entrevista)
Cuando se obtienen de manera
directa (contacto paacuteg web ndash viacutea
telefoacutenica)
Cuando el espacio para dar a
conocer el aviso sea limitado
(correo formatos SMS etc)
Nota De acuerdo al tipo de DP que se recabe se deberaacute solicitar el
consentimiento correspondiente
37
ldquoObligacioacuten de guardar secreto de
los datos persnales que son
tratadosrdquo
El Responsable debe adoptar medidas para
evitar que quienes tengan acceso a eacutestos
divulguen dicha informacioacuten
Se debe cumplir aun una vez que finalice la
relacioacuten contractual o laboral entre el
responsable y quien tenga accesos a los
datos personales para el desarrollo de las
tareas o funciones que se le hubiern
encomendado
38
Establecer Medidas de seguridad administrativas fiacutesicas y teacutecnicas para la
proteger los DP mismas que deben ser documentadas (acciones anaacutelisis de
riesgo anaacutelisis de brecha revisiones o auditoriacuteas capacitacioacuten entre otras)
39
Peacuterdida destruccioacuten robo
extraviacuteo copia uso
acceso tratamiento dantildeo
alteracioacuten o modificacioacuten
NO AUTORIZADO
Si hay vulneracioacuten que impacte los derechos patrimoniales o
morales de los titulares se deberaacuten tomar acciones e informar a
los titulares sin dilacioacuten con el fin de que eacutestos tomen las medidas
pertinentes
VII Derechos ARCO y la
Proteccioacuten de Derechos
40
41
Cada uno de nosotros como titulares de los DP o en su caso nuestro
representante legal podremos ejercer cualquiera de los derechos ARCO ante
las empresas que los tengan en sus bases de datos
42
Mecanismos para que los ciudadanos podamos limitar el
uso de nuestros datos personales para fines comerciales
(liacuteneas telefoacutenicas particulares o moviles asiacute como sus
correos electroacutenicos domicilios y nombres)
Estas pueden ser propios o de organismos como la
PROFECO y la CONDUSEF que ya han creado estas
listas para registro opcional de los ciudadanos
REPEP (Registro Puacuteblico para Evitar Publicidad y
REUNS (Registro Puacuteblico de Usuarios que no desean
informacioacuten publicitaria de Productos y Servicios
Financieros)
Las empresas que realizan actividades de promocioacuten
deberaacuten previamente validar la existencia de los datos de
sus prospectos en estas listas para no incurrir en una
violacioacuten a la privacidad de los mismos
43
La empresa debe designar una persona
o un departamento interno para atender
las solicitudes de los Titulares de los
Datos a traveacutes del Ejercicio de sus
derechos ARCO
El Reglamento yo su encargado definen
su proceso interno medios y
procedimientos para la recepcioacuten
atencioacuten y resolucioacuten de las Solicitudes
de Derechos ARCO
El Ejercicio de los derechos debe ser
gratuito soacutelo en caso de reproduccioacuten o
enviacuteo el titular pagara los costos
correspondientes
44
El Titular Entrega solicitud de Derechos ARCO en
2 tantos que incluyen
bull Identificacioacuten oficial
bull Datos de localizacioacuten para
mantener la comunicacioacuten yo enviar
notificaciones
bull Documentacioacuten que ayude a su aacutegil
localizacioacuten o para demostrar la
correccioacuten o cambio solicitado
Espera 20 diacuteas la resolucioacuten ldquoprocede o
nordquo su solicitud
Espera 15 diacuteas maacutes aplicacioacuten de
resolucioacuten
45
El Departamento yo Encargado
de DP Entregar explicar yo recibir la solicitud de
Derechos ARCO en 2 tantos
bull Sellar la recepcioacuten con fecha y firma de
quien la recibe
bull Revisar y realizar el anaacutelisis de
procedencia de la solicitud (20 diacuteas
haacutebiles)
bull Notificar al titular la resolucioacuten proceda o
no
bull Aplicar resolucioacuten (15 diacuteas haacutebiles)
Nota El Responsible puede si asiacute se requiere y justifica incrementar el
plazo por uacutenica ocasioacuten por los mismos plazos descritos en cada
proceso previa notificacioacuten al titular
46
El titular o su representante legal no se
acrediten debidamente
No se encuentren los datos personales
en su base (s) de datos
Se lesionen derechos de terceros
La rectificacioacuten cancelacioacuten u oposicioacuten
hayan sido solicitadas preaviamente
Exista impedimento legal o resolucioacuten de
las autoridades que restrinja el ejercicio
de estos derechos
El Responsable podraacute negar el ejercicio
de los Derechos ARCO cuando
VIII Proteccioacuten de Derechos
ante el Ifai
47
48
Expresar claramente el
contenido de su
reclamacioacuten
Presentar el
documento que pruebe
la fecha en que
presentoacute la solicitud de
Derechos ARCO
bull Por escrito libre o a traveacutes de los
formatos establecidos por el IFAI
bull Sistema electroacutenico
bull En el domicilio del Instituto u oficina habilitada
bull Por correo certificado con acuse de recibo
El titular o su representante legal presenta su solicitud de proteccioacuten de derechos ante
el IFAI
Estaacute inconforme con la
respuesta
Dentro de los 15 diacuteas siguientes a la fecha en
que se comunique la respuesta
No recibioacute respuesta
Dentro de los 15 diacuteas a partir de que haya vencido el plazo de
respuesta
El TitularPlazos
Podraacute interponerse
IX Sanciones e Infracciones
49
50
El Salario miacutenimo vigente en el DF para 2014 es
Salario Miacutenimo ZonaAacuterea geograacutefica A 6729 pesos diarios
Fuente httpsalariominimocommxsalario-minimo-2014
DSMV DF Diacuteas de Salario Miacutenimo vigente en el Distrito Federal
No dar atencioacuten a las solicitudes ARCO
El apercibimiento para que el
responsable lleve a cabo los actos solicitados por el
titular
Omitir el aviso mantener DP
inexactos negar la existencia de DP con
dolo
Multa de 100 a 160000 VSM DF
De $6230 a $9972800
Incumplir deber de confidencialidad
cambiar la finalidad o realizar transferencias sin dar aviso de ello o vulnerar la seguridad de las bases de datos
Multa de 200 a 320000 VSM DF
De $12466 a $19945600
51
Trataacutendose de datos
personales sensibles
Provocar una vulneracioacuten de
seguridad a las bases de
datos bajo su custodia
3 meses a 3 antildeos
Tratamiento de DP
mediante el engantildeo
aprovechaacutendose del error
del titular o del
responsable
6 meses a 5 antildeos
Penas
anteriores
Delitos llevados
a cabo con
aacutenimo de lucro
Delito Prisioacuten
52
53
Beatriz Vargas
Director Comercial
beatrizvbsconsultingcommx
Tel 6380 5705 Cel 551071 9446
Ricardo Rangel
Director de Proyectos Estraacutetegicos
ricardorbsconsultingcommx
Tel 6380 5705 Cel 554453 4778
wwwBSConsultingcommx
I Introduccioacuten a la Proteccioacuten
de Datos Personales
2
iquestQueacute es el derecho a la proteccioacuten
de los datos personalesbull Es un derecho humano reconocido por el artiacuteculo 16 de la
Constitucioacuten Poliacutetica de los Estados Unidos Mexicanos que
impone obligaciones a las personas fiacutesicas o morales que
utilizan datos personales y que otorga derechos a los titulares
de los datos a fin de garantizar el buen uso de la informacioacuten
personal la privacidad y el derecho a la autodeterminacioacuten
informativa de las personas
bull La LFPDPPP tiene por objeto la
proteccioacuten de los datos personales en
posesioacuten de los particulares con la
finalidad de regular su tratamiento a
efecto de garantizar su privacidad Art 16
3
Participacioacuten de Meacutexico en el
derecho a la proteccioacuten de los DP
bull El pasado 12 y 13 de Noviembre de 2014 se llevo a cabo el
XII Encuentro Iberoamericano de Proteccioacuten de Datos
Personales en la Cd de Meacutexico con sede en instalaciones
del Ifai donde participaron los paiacuteses que integran la Red
Iberoamericana de Proteccioacuten de Datos
bull Meacutexico es el uacutenico paiacutes a nivel Iberoamericano con caraacutecter
de autoacutenomo
4
II Normativa aplicable
5
Ley Federal de Proteccioacuten de Datos
Personales en Posesioacuten de los
Particulares (LFPDPPP) y su Reglamento
bull La Ley se publicoacute en el Diario Oficial de la
Federacioacuten el 5 de julio de 2010
bull 6 de julio de 2011 las personas
reguladas deben tener a disposicioacuten de
sus clientes su Aviso de Privacidad y
deben haber designado a la Persona o
Departamento de Datos Personales al
interior del negocio
bull El Reglamento de la Ley se publicoacute en el
Diario Oficial de la Federacioacuten el 21 de
diciembre de 2011
6
bull A partir del 6 de enero de 2012 los clientes
pueden ejercer sus Derechos ARCO
(acceso rectificacioacuten cancelacioacuten y
oposicioacuten)
bull Los ciudadanos ldquotitularesrdquo a partir del 6 de
febrero de 2012 pueden ejercer su derecho
a la proteccioacuten de datos personales ante el
IFAI
bull Lineamientos para el Aviso de Privacidad
Integral debe contar con 12 elementos
informativos baacutesicos a partir del 17 de abril
de 2013
bull La creacioacuten administracioacuten y uso de bases
de datos deben contar con procesos y
medidas de seguridad documentadas a
partir del 22 de junio de 2013 7
iquestCuaacutel es el aacutembito de aplicacioacuten de
la Ley
8
Ley Federal de Proteccioacuten de
Datos Personales en
Posesioacuten de los Particulares
- Orden puacuteblico y- Observancia general
- Federal
Proteccioacuten de datos personales en
posesioacuten de los particulares
Regular el tratamiento- Legiacutetimo
- Controlado- Informado
Naturaleza y aacutembito
de aplicacioacuten
Objeto
Finalidad
Sujetos ReguladosExcepcionesbull Sociedades de Informacioacuten
Crediticia
bull Personas fiacutesicas que traten
datos personales para su
uso personal y familiar
bull Personas Fiacutesicas y
Morales de caraacutecter
privado que recaban
datos personales
9
iquestQuieacuten es la entidad responsable
del cumplimiento de esta Ley
bull El Instituto Federal de Acceso a la
Informacioacuten y Proteccioacuten de Datos es
la entidad encargada de difundir y
promover el ejercicio del derecho a la
proteccioacuten de Datos Personales a la
sociedad mexicana y garantizar el
cumplimiento de la Ley
bull Estaacute facultado para imponer infracciones
y sanciones a quienes hagan uso
indebido de los datos personales 10
III Conceptos baacutesicos
11
Conceptos baacutesicos
iquestCuaacutel es un dato sensiblebull Son datos personales que
afectan la esfera maacutes iacutentima de
su titular o cuya utilizacioacuten
indebida pueda dar origen o
conlleve un riesgo grave para
eacuteste
iquestQueacute es un dato personalbull Es cualquier informacioacuten concer-
niente a una persona fiacutesica
ldquotitularrdquo que la identifica o la hace
identificable
12
Conceptos baacutesicos
bull Soporte fiacutesico (inteligible a
simple vista)
bull Soporte electroacutenico (se
requiere de un aparato con
circuitos electroacutenicos que
procese su contenido)
Medios de almacenamiento
bull Bases de Datos Pueden serexpresados en forma
bull Numeacuterica
bull Alfanumeacuterica
bull Graacutefica
bull Fotograacutefica
bull Acuacutestica
bull Cualquier otro tipo detecnologiacutea disponible en elmercado
13
Obtencioacuten de datos
Medios para recabar datos personales (DP)
Los datos pueden obtenerse de 3 formas
bull Personalmente Cuando el titular yo representante legal proporciona los DP alresponsable ldquopresencia fiacutesica de ambosrdquo
bull Directa Cuando el titular proporciona los DP por alguacuten medio que permite su entregadirecta al responsable entre ellos medios electroacutenicos sonoros oacutepticos visuales ocualquier otra tecnologiacutea que pueda utilizarse para ello
bull Indirecta Cuando el Responsable obtienen los DP sin que el titular se los hayaproporcionado de forma personal o directa como podriacutea ser a traveacutes de transferencias ofuentes de acceso puacuteblico (medios expresamente definidos para hacer de conocimiento delpuacuteblico en general los datos que contiene ej paacutegina de Internet boletiacuten diario oficial entreotros)
14
Tratamiento de Datos Personales
15
Es la obtencioacuten
divulgacioacuten uso o
almacenamiento de
datos personales por
cualquier medio
El uso abarca cualquier
accioacuten de acceso
manejo aprovecha-
miento transferencia o
disposicioacuten de datos
personales
16
Datos de identificacioacuten
Datos de contacto
Datos laborales
Datos sobre caracteriacutesticas fiacutesicas
Datos acadeacutemicos
Datos patrimoniales o financieros
17
Datos biomeacutetricos
Datos ideoloacutegicos
Datos sobre opiniones poliacuteticas
Datos sobre afiliacioacuten sindical
Datos de vida sexual
Datos de Salud
Datos de origen eacutetnico o racial
IMPORTANTE Las caracteriacutesticas de los datos personales y datos personales
sensibles de este documento son soacutelo una orientacioacuten ya que el pleno del Ifai
no ha emitido criterios institucionales al respecto ademaacutes de que ciertos datos
personales que en un principio no se consideren sensibles podriacutean llegar a serlo
dependiendo del contexto en que se trate la informacioacuten
IV Designar un encargado
o departamento de Datos
Personales
18
Actores principalesResponsable
Es la persona fiacutesica o moral de caraacutecter privado que DECIDE
sobre el tratamiento de los DP es decir
bull Quien establece las finalidades del tratamiento o el uso que se
les daraacute
bull El tipo de datos que se requieren
bull A quieacuten y para queacute se comparten
bull Coacutemo se obtienen almacenan y suprimen y
bull En queacute casos se divulgaraacuten
EncargadoEs la persona fiacutesica o moral (Outsourcing) que trata los datospersonales a nombre y por cuenta del Responsable
bull El encargado NO DECIDE sobre el tratamiento de los datospersonales lo realiza siguiendo las instrucciones delResponsable
Tercerobull Es la persona fiacutesica o moral nacional o extranjera ajena a la
organizacioacuten distinta del responsable encargado o titular 19
iquestCoacutemo seleccionar al ldquoEncargado de
DPrdquoEs importante considerar
bull Tamantildeo y capacidad de la organizacioacuten
bull Tipo y volumen de datos obtenidos
bull Naturaleza e intensidad del tratamiento
bull Nivel de riesgo y confidencialidad
La persona o Departamento de DP ldquoEncargado de
DPrdquo debe
bull Atender las Solicitudes de Derechos ARCO
bull Fomentar la proteccioacuten de DP al interior del
negocioArt 30 de la LFPDPPP
Es indispensable que el Responsable formalice la
relacioacuten con el Encargado de DP mediante un
instrumento juriacutedico (contrato claacuteusulas contractuales
acuerdos o convenios) en el que se establezcan las
obligaciones de ambos en torno a la proteccioacuten de datos
personales
Oficial de
Proteccioacuten de DP
20
V Identificar
Transferencias
21
TransferenciasTransferencia de DP
bull La transferencia es la comunicacioacuten de datospersonales dentro o fuera del territorio nacionala persona distinta del titular del Responsable odel encargado
bull Formalizarla a traveacutes de instrumentojuriacutedico
bull Debe ser Informada al titular a traveacutes delAviso de Privacidad a quien se transfiereny para que fines
bull Limitarse a las finalidades notificadas en elAviso de Privacidad y consentidas por eltitular
bull Se podraacute realizar hasta que se hayaobtenido el consentimiento del titular salvolas excepciones marcadas en el Art 37 dela Ley
bull Los Receptores asumen las mismasobligaciones del Responsable sobre los datosrecibidos de acuerdo con el Aviso de privacidady Contrato firmado entre las partes
Encargado
Responsable
Tercero
Transferencia interna
ldquoRemisioacuten de DPrdquo
Transferencia a
terceros
Cuando esteacute previsto en una Ley o Tratado en el que Meacutexico sea parte para
la prevencioacuten o el diagnoacutestico meacutedico para el cumplimiento de una relacioacuten
juriacutedica o salvaguarda de un intereacutes puacuteblico o procuracioacuten de justicia
22
23
Si el Responsable se adhiere a la infraestructura los servicios
o aplicaciones el proveedor deberaacute cumplir con las siguientes
condiciones definidas en el Art 52 del Reglamento de la Ley de lo
contrario el Responsable NO podraacute adherirse
I Cumpla al menos con lo siguiente
a) Tener y aplicar poliacuteticas de Proteccioacuten de DP y
medidas de seguridad acorden a la LFPDPPP
b) Transparentar las subcontrataciones
c) Abstenerse de asumir la titularidad o
propiedad de la informacioacuten y guardar
confidencialidad
d) Garantizar la supresioacuten de los DP una vez que
haya concluido el servicio prestado al
Responsable
VI Principios y deberes
24
Cumplir con los
Principios y deberes
25
Licitud
Lealtad
Proporcionalidad
Calidad
Finalidad
Consentimiento
Informacioacuten
Responsabilidad
Licitud
Lealtad
Principios
26
bull Todo tratamiento de datos personales
debe ser con estricto apego y
cumplimiento a lo dispuesto por la
legislacioacuten mexicana y el derecho
internacional
bull El tratamiento de DP debe realizarse en
atencioacuten a lo acordado NO deben de
utilizarse medios engantildeosos o fraudu-
lentos para recabar y tratar DP
Licitud
Lealtad
Principios
27
Proporcionalidad
Calidad
bull Los DP tratados deben ser los miacutenimos
necesarios para el cumplimiento de la
finalidad para la cual se recabaron
bull El responsable deberaacute aplicar el Criterio
de minimizacioacuten
bull Los DP deben ser correctos exactos
completos pertinentes y actualizados de
acuerdo con la finalidad para la cual
fueron recabados
Principio finalidad
28
bull Dan origen y son necesarias
para la relacioacuten juriacutedica
bull Una relacioacuten juriacutedica debe estar
enmarcada por los siguientes
factores
bull Viacutenculo entre los sujetos
bull Dos o mas sujetos
bull Estar regulado por el derecho y
bull Producir consecuencias juriacutedicas
El tratamiento de DP debe ser soacutelo el necesario para cumplir con la
finalidad determinada y legiacutetima que se sentildealoacute en el aviso de privacidad
de manera clara y objetiva
bull Finalidades distintas a las quedieron origen a la relacioacuten juriacutedicao bien aquellas legalmentepermitidas o para las que elresponsable haya obtenido elconsentimientondash Mercadoloacutegicos publicitarias
ndash Promocionales comunicacioacutenprospeccioacuten referencia comercial
ndash Videografacioacuten y toma de fotigrafiacuteas
bull El titular puede oponerse altratamiento de sus datos paraestas finalidades y no seraacute motivopara negar el servicio solicitado
Primarias Secundarias
Principio Consentimientobull Facultad de las personas para decidir sobre el tratamiento de sus DP
el cual taacutecito expreso o expreso y por escrito debe ser libre especiacuteficoinformado e inequiacutevoco
bull Si una ley o reglamento en lo particular exige el consentimiento expreso oexpreso y por escrito para el tratamiento de DP el responsable deberaacutesolicitarlo de esa forma aunque no se trate de datos financierospatrimoniales o sensibles
Nota No es necesario solicitar el consentimiento cuando el tratamiento de los DP sea en cumplimientoa obligaciones derivado de una relacioacuten juriacutedica entre el titular y el Responsable
Tipo de Consentimiento
bull Taacutecito
bull Expreso
bull Expreso y por escrito
Para que tipo de datos se requiere
bull Para cualquier tipo de dato personal con excepcioacuten de los datos patrimoniales financieros y sensibles
bull Para datos financieros y patrimoniales
bull Para datos personales sensibles
29
Principio de Responsabilidad
30
bull Establecer Medidas de Seguridad administrativas fiacutesicas yo
teacutecnicas para la proteccioacuten de los DP mismas que deben ser
documentadas (acciones anaacutelisis de riesgo anaacutelisis de
brecha revisiones o auditoriacuteas capacitacioacuten entre otras)
Algunas medidas baacutesicas pueden ser
1 Elaborar Poliacuteticas de Proteccioacuten de DP al
interior del negocio que incluyan sistemas de
supervisioacuten y vigilancia
2 Brindar capacitacioacuten para la concientizacioacuten de
personal
3 Establecer procedimientos para atender las
dudas o quejas de los titulares
31
iquestQueacute es el Aviso de Privacidad
Es un documento fiacutesico electroacutenico visual sonoro
o en cualquier otro formato generado por el
responsable de manera sencilla con un lenguaje
claro y comprensible de aceurdo al perfil de los
titulares puesto a su disposicioacuten previo al
tratamiento de sus datos personales
Establecer los teacuterminos y condiciones generales del
tratamiento de los datos personales que recaba
El Responsable deberaacute tener el nuacutemero de avisos de
pivacidad que resulte necesario de acuerdo a los
tratamientos que realice a los DP
32
El aviso de privacidad debe estar disponible en alguno de los
siguientes soportes
Fiacutesico (en papel)
Electroacutenico (paacuteginas web correos electroacutenicos etc)
Visual ( pantalla de TV videos etc)
Sonoro (Grabaciones IVR etc)
En otros medios (prensa)
33
No usar frases inexactas ambiguas o vagas como ldquoentre
otrosrdquo ldquocomo por ejemplordquo ldquoDe manera enunciativa maacutes no
limitativardquo
No incluir textos o frases que induzcan al titular de manera
engantildeosa o fraudulenta (ejemplo ldquoLe recomendamos que
nos autorice el uso de su informacioacuten personal sin restriccioacuten
alguna para ser maacutes eficiente nuestro trabajordquo
No remitir al titular a textos o documentos que no esteacuten
disponibes (links disponibles)
No incluir casillas u otros mecanismos similares que esteacuten
marcados previamente que obliguen a los titulares a
desmarcarlos para modificar la condicioacuten previamente
establecida
34
35
Ejemplo AP
36
Modalidades
del Aviso de
Privacidad
Integral
Simplificado
Corto
Cuando los datos se obtengan
personalmente del titular
(entrevista)
Cuando se obtienen de manera
directa (contacto paacuteg web ndash viacutea
telefoacutenica)
Cuando el espacio para dar a
conocer el aviso sea limitado
(correo formatos SMS etc)
Nota De acuerdo al tipo de DP que se recabe se deberaacute solicitar el
consentimiento correspondiente
37
ldquoObligacioacuten de guardar secreto de
los datos persnales que son
tratadosrdquo
El Responsable debe adoptar medidas para
evitar que quienes tengan acceso a eacutestos
divulguen dicha informacioacuten
Se debe cumplir aun una vez que finalice la
relacioacuten contractual o laboral entre el
responsable y quien tenga accesos a los
datos personales para el desarrollo de las
tareas o funciones que se le hubiern
encomendado
38
Establecer Medidas de seguridad administrativas fiacutesicas y teacutecnicas para la
proteger los DP mismas que deben ser documentadas (acciones anaacutelisis de
riesgo anaacutelisis de brecha revisiones o auditoriacuteas capacitacioacuten entre otras)
39
Peacuterdida destruccioacuten robo
extraviacuteo copia uso
acceso tratamiento dantildeo
alteracioacuten o modificacioacuten
NO AUTORIZADO
Si hay vulneracioacuten que impacte los derechos patrimoniales o
morales de los titulares se deberaacuten tomar acciones e informar a
los titulares sin dilacioacuten con el fin de que eacutestos tomen las medidas
pertinentes
VII Derechos ARCO y la
Proteccioacuten de Derechos
40
41
Cada uno de nosotros como titulares de los DP o en su caso nuestro
representante legal podremos ejercer cualquiera de los derechos ARCO ante
las empresas que los tengan en sus bases de datos
42
Mecanismos para que los ciudadanos podamos limitar el
uso de nuestros datos personales para fines comerciales
(liacuteneas telefoacutenicas particulares o moviles asiacute como sus
correos electroacutenicos domicilios y nombres)
Estas pueden ser propios o de organismos como la
PROFECO y la CONDUSEF que ya han creado estas
listas para registro opcional de los ciudadanos
REPEP (Registro Puacuteblico para Evitar Publicidad y
REUNS (Registro Puacuteblico de Usuarios que no desean
informacioacuten publicitaria de Productos y Servicios
Financieros)
Las empresas que realizan actividades de promocioacuten
deberaacuten previamente validar la existencia de los datos de
sus prospectos en estas listas para no incurrir en una
violacioacuten a la privacidad de los mismos
43
La empresa debe designar una persona
o un departamento interno para atender
las solicitudes de los Titulares de los
Datos a traveacutes del Ejercicio de sus
derechos ARCO
El Reglamento yo su encargado definen
su proceso interno medios y
procedimientos para la recepcioacuten
atencioacuten y resolucioacuten de las Solicitudes
de Derechos ARCO
El Ejercicio de los derechos debe ser
gratuito soacutelo en caso de reproduccioacuten o
enviacuteo el titular pagara los costos
correspondientes
44
El Titular Entrega solicitud de Derechos ARCO en
2 tantos que incluyen
bull Identificacioacuten oficial
bull Datos de localizacioacuten para
mantener la comunicacioacuten yo enviar
notificaciones
bull Documentacioacuten que ayude a su aacutegil
localizacioacuten o para demostrar la
correccioacuten o cambio solicitado
Espera 20 diacuteas la resolucioacuten ldquoprocede o
nordquo su solicitud
Espera 15 diacuteas maacutes aplicacioacuten de
resolucioacuten
45
El Departamento yo Encargado
de DP Entregar explicar yo recibir la solicitud de
Derechos ARCO en 2 tantos
bull Sellar la recepcioacuten con fecha y firma de
quien la recibe
bull Revisar y realizar el anaacutelisis de
procedencia de la solicitud (20 diacuteas
haacutebiles)
bull Notificar al titular la resolucioacuten proceda o
no
bull Aplicar resolucioacuten (15 diacuteas haacutebiles)
Nota El Responsible puede si asiacute se requiere y justifica incrementar el
plazo por uacutenica ocasioacuten por los mismos plazos descritos en cada
proceso previa notificacioacuten al titular
46
El titular o su representante legal no se
acrediten debidamente
No se encuentren los datos personales
en su base (s) de datos
Se lesionen derechos de terceros
La rectificacioacuten cancelacioacuten u oposicioacuten
hayan sido solicitadas preaviamente
Exista impedimento legal o resolucioacuten de
las autoridades que restrinja el ejercicio
de estos derechos
El Responsable podraacute negar el ejercicio
de los Derechos ARCO cuando
VIII Proteccioacuten de Derechos
ante el Ifai
47
48
Expresar claramente el
contenido de su
reclamacioacuten
Presentar el
documento que pruebe
la fecha en que
presentoacute la solicitud de
Derechos ARCO
bull Por escrito libre o a traveacutes de los
formatos establecidos por el IFAI
bull Sistema electroacutenico
bull En el domicilio del Instituto u oficina habilitada
bull Por correo certificado con acuse de recibo
El titular o su representante legal presenta su solicitud de proteccioacuten de derechos ante
el IFAI
Estaacute inconforme con la
respuesta
Dentro de los 15 diacuteas siguientes a la fecha en
que se comunique la respuesta
No recibioacute respuesta
Dentro de los 15 diacuteas a partir de que haya vencido el plazo de
respuesta
El TitularPlazos
Podraacute interponerse
IX Sanciones e Infracciones
49
50
El Salario miacutenimo vigente en el DF para 2014 es
Salario Miacutenimo ZonaAacuterea geograacutefica A 6729 pesos diarios
Fuente httpsalariominimocommxsalario-minimo-2014
DSMV DF Diacuteas de Salario Miacutenimo vigente en el Distrito Federal
No dar atencioacuten a las solicitudes ARCO
El apercibimiento para que el
responsable lleve a cabo los actos solicitados por el
titular
Omitir el aviso mantener DP
inexactos negar la existencia de DP con
dolo
Multa de 100 a 160000 VSM DF
De $6230 a $9972800
Incumplir deber de confidencialidad
cambiar la finalidad o realizar transferencias sin dar aviso de ello o vulnerar la seguridad de las bases de datos
Multa de 200 a 320000 VSM DF
De $12466 a $19945600
51
Trataacutendose de datos
personales sensibles
Provocar una vulneracioacuten de
seguridad a las bases de
datos bajo su custodia
3 meses a 3 antildeos
Tratamiento de DP
mediante el engantildeo
aprovechaacutendose del error
del titular o del
responsable
6 meses a 5 antildeos
Penas
anteriores
Delitos llevados
a cabo con
aacutenimo de lucro
Delito Prisioacuten
52
53
Beatriz Vargas
Director Comercial
beatrizvbsconsultingcommx
Tel 6380 5705 Cel 551071 9446
Ricardo Rangel
Director de Proyectos Estraacutetegicos
ricardorbsconsultingcommx
Tel 6380 5705 Cel 554453 4778
wwwBSConsultingcommx
iquestQueacute es el derecho a la proteccioacuten
de los datos personalesbull Es un derecho humano reconocido por el artiacuteculo 16 de la
Constitucioacuten Poliacutetica de los Estados Unidos Mexicanos que
impone obligaciones a las personas fiacutesicas o morales que
utilizan datos personales y que otorga derechos a los titulares
de los datos a fin de garantizar el buen uso de la informacioacuten
personal la privacidad y el derecho a la autodeterminacioacuten
informativa de las personas
bull La LFPDPPP tiene por objeto la
proteccioacuten de los datos personales en
posesioacuten de los particulares con la
finalidad de regular su tratamiento a
efecto de garantizar su privacidad Art 16
3
Participacioacuten de Meacutexico en el
derecho a la proteccioacuten de los DP
bull El pasado 12 y 13 de Noviembre de 2014 se llevo a cabo el
XII Encuentro Iberoamericano de Proteccioacuten de Datos
Personales en la Cd de Meacutexico con sede en instalaciones
del Ifai donde participaron los paiacuteses que integran la Red
Iberoamericana de Proteccioacuten de Datos
bull Meacutexico es el uacutenico paiacutes a nivel Iberoamericano con caraacutecter
de autoacutenomo
4
II Normativa aplicable
5
Ley Federal de Proteccioacuten de Datos
Personales en Posesioacuten de los
Particulares (LFPDPPP) y su Reglamento
bull La Ley se publicoacute en el Diario Oficial de la
Federacioacuten el 5 de julio de 2010
bull 6 de julio de 2011 las personas
reguladas deben tener a disposicioacuten de
sus clientes su Aviso de Privacidad y
deben haber designado a la Persona o
Departamento de Datos Personales al
interior del negocio
bull El Reglamento de la Ley se publicoacute en el
Diario Oficial de la Federacioacuten el 21 de
diciembre de 2011
6
bull A partir del 6 de enero de 2012 los clientes
pueden ejercer sus Derechos ARCO
(acceso rectificacioacuten cancelacioacuten y
oposicioacuten)
bull Los ciudadanos ldquotitularesrdquo a partir del 6 de
febrero de 2012 pueden ejercer su derecho
a la proteccioacuten de datos personales ante el
IFAI
bull Lineamientos para el Aviso de Privacidad
Integral debe contar con 12 elementos
informativos baacutesicos a partir del 17 de abril
de 2013
bull La creacioacuten administracioacuten y uso de bases
de datos deben contar con procesos y
medidas de seguridad documentadas a
partir del 22 de junio de 2013 7
iquestCuaacutel es el aacutembito de aplicacioacuten de
la Ley
8
Ley Federal de Proteccioacuten de
Datos Personales en
Posesioacuten de los Particulares
- Orden puacuteblico y- Observancia general
- Federal
Proteccioacuten de datos personales en
posesioacuten de los particulares
Regular el tratamiento- Legiacutetimo
- Controlado- Informado
Naturaleza y aacutembito
de aplicacioacuten
Objeto
Finalidad
Sujetos ReguladosExcepcionesbull Sociedades de Informacioacuten
Crediticia
bull Personas fiacutesicas que traten
datos personales para su
uso personal y familiar
bull Personas Fiacutesicas y
Morales de caraacutecter
privado que recaban
datos personales
9
iquestQuieacuten es la entidad responsable
del cumplimiento de esta Ley
bull El Instituto Federal de Acceso a la
Informacioacuten y Proteccioacuten de Datos es
la entidad encargada de difundir y
promover el ejercicio del derecho a la
proteccioacuten de Datos Personales a la
sociedad mexicana y garantizar el
cumplimiento de la Ley
bull Estaacute facultado para imponer infracciones
y sanciones a quienes hagan uso
indebido de los datos personales 10
III Conceptos baacutesicos
11
Conceptos baacutesicos
iquestCuaacutel es un dato sensiblebull Son datos personales que
afectan la esfera maacutes iacutentima de
su titular o cuya utilizacioacuten
indebida pueda dar origen o
conlleve un riesgo grave para
eacuteste
iquestQueacute es un dato personalbull Es cualquier informacioacuten concer-
niente a una persona fiacutesica
ldquotitularrdquo que la identifica o la hace
identificable
12
Conceptos baacutesicos
bull Soporte fiacutesico (inteligible a
simple vista)
bull Soporte electroacutenico (se
requiere de un aparato con
circuitos electroacutenicos que
procese su contenido)
Medios de almacenamiento
bull Bases de Datos Pueden serexpresados en forma
bull Numeacuterica
bull Alfanumeacuterica
bull Graacutefica
bull Fotograacutefica
bull Acuacutestica
bull Cualquier otro tipo detecnologiacutea disponible en elmercado
13
Obtencioacuten de datos
Medios para recabar datos personales (DP)
Los datos pueden obtenerse de 3 formas
bull Personalmente Cuando el titular yo representante legal proporciona los DP alresponsable ldquopresencia fiacutesica de ambosrdquo
bull Directa Cuando el titular proporciona los DP por alguacuten medio que permite su entregadirecta al responsable entre ellos medios electroacutenicos sonoros oacutepticos visuales ocualquier otra tecnologiacutea que pueda utilizarse para ello
bull Indirecta Cuando el Responsable obtienen los DP sin que el titular se los hayaproporcionado de forma personal o directa como podriacutea ser a traveacutes de transferencias ofuentes de acceso puacuteblico (medios expresamente definidos para hacer de conocimiento delpuacuteblico en general los datos que contiene ej paacutegina de Internet boletiacuten diario oficial entreotros)
14
Tratamiento de Datos Personales
15
Es la obtencioacuten
divulgacioacuten uso o
almacenamiento de
datos personales por
cualquier medio
El uso abarca cualquier
accioacuten de acceso
manejo aprovecha-
miento transferencia o
disposicioacuten de datos
personales
16
Datos de identificacioacuten
Datos de contacto
Datos laborales
Datos sobre caracteriacutesticas fiacutesicas
Datos acadeacutemicos
Datos patrimoniales o financieros
17
Datos biomeacutetricos
Datos ideoloacutegicos
Datos sobre opiniones poliacuteticas
Datos sobre afiliacioacuten sindical
Datos de vida sexual
Datos de Salud
Datos de origen eacutetnico o racial
IMPORTANTE Las caracteriacutesticas de los datos personales y datos personales
sensibles de este documento son soacutelo una orientacioacuten ya que el pleno del Ifai
no ha emitido criterios institucionales al respecto ademaacutes de que ciertos datos
personales que en un principio no se consideren sensibles podriacutean llegar a serlo
dependiendo del contexto en que se trate la informacioacuten
IV Designar un encargado
o departamento de Datos
Personales
18
Actores principalesResponsable
Es la persona fiacutesica o moral de caraacutecter privado que DECIDE
sobre el tratamiento de los DP es decir
bull Quien establece las finalidades del tratamiento o el uso que se
les daraacute
bull El tipo de datos que se requieren
bull A quieacuten y para queacute se comparten
bull Coacutemo se obtienen almacenan y suprimen y
bull En queacute casos se divulgaraacuten
EncargadoEs la persona fiacutesica o moral (Outsourcing) que trata los datospersonales a nombre y por cuenta del Responsable
bull El encargado NO DECIDE sobre el tratamiento de los datospersonales lo realiza siguiendo las instrucciones delResponsable
Tercerobull Es la persona fiacutesica o moral nacional o extranjera ajena a la
organizacioacuten distinta del responsable encargado o titular 19
iquestCoacutemo seleccionar al ldquoEncargado de
DPrdquoEs importante considerar
bull Tamantildeo y capacidad de la organizacioacuten
bull Tipo y volumen de datos obtenidos
bull Naturaleza e intensidad del tratamiento
bull Nivel de riesgo y confidencialidad
La persona o Departamento de DP ldquoEncargado de
DPrdquo debe
bull Atender las Solicitudes de Derechos ARCO
bull Fomentar la proteccioacuten de DP al interior del
negocioArt 30 de la LFPDPPP
Es indispensable que el Responsable formalice la
relacioacuten con el Encargado de DP mediante un
instrumento juriacutedico (contrato claacuteusulas contractuales
acuerdos o convenios) en el que se establezcan las
obligaciones de ambos en torno a la proteccioacuten de datos
personales
Oficial de
Proteccioacuten de DP
20
V Identificar
Transferencias
21
TransferenciasTransferencia de DP
bull La transferencia es la comunicacioacuten de datospersonales dentro o fuera del territorio nacionala persona distinta del titular del Responsable odel encargado
bull Formalizarla a traveacutes de instrumentojuriacutedico
bull Debe ser Informada al titular a traveacutes delAviso de Privacidad a quien se transfiereny para que fines
bull Limitarse a las finalidades notificadas en elAviso de Privacidad y consentidas por eltitular
bull Se podraacute realizar hasta que se hayaobtenido el consentimiento del titular salvolas excepciones marcadas en el Art 37 dela Ley
bull Los Receptores asumen las mismasobligaciones del Responsable sobre los datosrecibidos de acuerdo con el Aviso de privacidady Contrato firmado entre las partes
Encargado
Responsable
Tercero
Transferencia interna
ldquoRemisioacuten de DPrdquo
Transferencia a
terceros
Cuando esteacute previsto en una Ley o Tratado en el que Meacutexico sea parte para
la prevencioacuten o el diagnoacutestico meacutedico para el cumplimiento de una relacioacuten
juriacutedica o salvaguarda de un intereacutes puacuteblico o procuracioacuten de justicia
22
23
Si el Responsable se adhiere a la infraestructura los servicios
o aplicaciones el proveedor deberaacute cumplir con las siguientes
condiciones definidas en el Art 52 del Reglamento de la Ley de lo
contrario el Responsable NO podraacute adherirse
I Cumpla al menos con lo siguiente
a) Tener y aplicar poliacuteticas de Proteccioacuten de DP y
medidas de seguridad acorden a la LFPDPPP
b) Transparentar las subcontrataciones
c) Abstenerse de asumir la titularidad o
propiedad de la informacioacuten y guardar
confidencialidad
d) Garantizar la supresioacuten de los DP una vez que
haya concluido el servicio prestado al
Responsable
VI Principios y deberes
24
Cumplir con los
Principios y deberes
25
Licitud
Lealtad
Proporcionalidad
Calidad
Finalidad
Consentimiento
Informacioacuten
Responsabilidad
Licitud
Lealtad
Principios
26
bull Todo tratamiento de datos personales
debe ser con estricto apego y
cumplimiento a lo dispuesto por la
legislacioacuten mexicana y el derecho
internacional
bull El tratamiento de DP debe realizarse en
atencioacuten a lo acordado NO deben de
utilizarse medios engantildeosos o fraudu-
lentos para recabar y tratar DP
Licitud
Lealtad
Principios
27
Proporcionalidad
Calidad
bull Los DP tratados deben ser los miacutenimos
necesarios para el cumplimiento de la
finalidad para la cual se recabaron
bull El responsable deberaacute aplicar el Criterio
de minimizacioacuten
bull Los DP deben ser correctos exactos
completos pertinentes y actualizados de
acuerdo con la finalidad para la cual
fueron recabados
Principio finalidad
28
bull Dan origen y son necesarias
para la relacioacuten juriacutedica
bull Una relacioacuten juriacutedica debe estar
enmarcada por los siguientes
factores
bull Viacutenculo entre los sujetos
bull Dos o mas sujetos
bull Estar regulado por el derecho y
bull Producir consecuencias juriacutedicas
El tratamiento de DP debe ser soacutelo el necesario para cumplir con la
finalidad determinada y legiacutetima que se sentildealoacute en el aviso de privacidad
de manera clara y objetiva
bull Finalidades distintas a las quedieron origen a la relacioacuten juriacutedicao bien aquellas legalmentepermitidas o para las que elresponsable haya obtenido elconsentimientondash Mercadoloacutegicos publicitarias
ndash Promocionales comunicacioacutenprospeccioacuten referencia comercial
ndash Videografacioacuten y toma de fotigrafiacuteas
bull El titular puede oponerse altratamiento de sus datos paraestas finalidades y no seraacute motivopara negar el servicio solicitado
Primarias Secundarias
Principio Consentimientobull Facultad de las personas para decidir sobre el tratamiento de sus DP
el cual taacutecito expreso o expreso y por escrito debe ser libre especiacuteficoinformado e inequiacutevoco
bull Si una ley o reglamento en lo particular exige el consentimiento expreso oexpreso y por escrito para el tratamiento de DP el responsable deberaacutesolicitarlo de esa forma aunque no se trate de datos financierospatrimoniales o sensibles
Nota No es necesario solicitar el consentimiento cuando el tratamiento de los DP sea en cumplimientoa obligaciones derivado de una relacioacuten juriacutedica entre el titular y el Responsable
Tipo de Consentimiento
bull Taacutecito
bull Expreso
bull Expreso y por escrito
Para que tipo de datos se requiere
bull Para cualquier tipo de dato personal con excepcioacuten de los datos patrimoniales financieros y sensibles
bull Para datos financieros y patrimoniales
bull Para datos personales sensibles
29
Principio de Responsabilidad
30
bull Establecer Medidas de Seguridad administrativas fiacutesicas yo
teacutecnicas para la proteccioacuten de los DP mismas que deben ser
documentadas (acciones anaacutelisis de riesgo anaacutelisis de
brecha revisiones o auditoriacuteas capacitacioacuten entre otras)
Algunas medidas baacutesicas pueden ser
1 Elaborar Poliacuteticas de Proteccioacuten de DP al
interior del negocio que incluyan sistemas de
supervisioacuten y vigilancia
2 Brindar capacitacioacuten para la concientizacioacuten de
personal
3 Establecer procedimientos para atender las
dudas o quejas de los titulares
31
iquestQueacute es el Aviso de Privacidad
Es un documento fiacutesico electroacutenico visual sonoro
o en cualquier otro formato generado por el
responsable de manera sencilla con un lenguaje
claro y comprensible de aceurdo al perfil de los
titulares puesto a su disposicioacuten previo al
tratamiento de sus datos personales
Establecer los teacuterminos y condiciones generales del
tratamiento de los datos personales que recaba
El Responsable deberaacute tener el nuacutemero de avisos de
pivacidad que resulte necesario de acuerdo a los
tratamientos que realice a los DP
32
El aviso de privacidad debe estar disponible en alguno de los
siguientes soportes
Fiacutesico (en papel)
Electroacutenico (paacuteginas web correos electroacutenicos etc)
Visual ( pantalla de TV videos etc)
Sonoro (Grabaciones IVR etc)
En otros medios (prensa)
33
No usar frases inexactas ambiguas o vagas como ldquoentre
otrosrdquo ldquocomo por ejemplordquo ldquoDe manera enunciativa maacutes no
limitativardquo
No incluir textos o frases que induzcan al titular de manera
engantildeosa o fraudulenta (ejemplo ldquoLe recomendamos que
nos autorice el uso de su informacioacuten personal sin restriccioacuten
alguna para ser maacutes eficiente nuestro trabajordquo
No remitir al titular a textos o documentos que no esteacuten
disponibes (links disponibles)
No incluir casillas u otros mecanismos similares que esteacuten
marcados previamente que obliguen a los titulares a
desmarcarlos para modificar la condicioacuten previamente
establecida
34
35
Ejemplo AP
36
Modalidades
del Aviso de
Privacidad
Integral
Simplificado
Corto
Cuando los datos se obtengan
personalmente del titular
(entrevista)
Cuando se obtienen de manera
directa (contacto paacuteg web ndash viacutea
telefoacutenica)
Cuando el espacio para dar a
conocer el aviso sea limitado
(correo formatos SMS etc)
Nota De acuerdo al tipo de DP que se recabe se deberaacute solicitar el
consentimiento correspondiente
37
ldquoObligacioacuten de guardar secreto de
los datos persnales que son
tratadosrdquo
El Responsable debe adoptar medidas para
evitar que quienes tengan acceso a eacutestos
divulguen dicha informacioacuten
Se debe cumplir aun una vez que finalice la
relacioacuten contractual o laboral entre el
responsable y quien tenga accesos a los
datos personales para el desarrollo de las
tareas o funciones que se le hubiern
encomendado
38
Establecer Medidas de seguridad administrativas fiacutesicas y teacutecnicas para la
proteger los DP mismas que deben ser documentadas (acciones anaacutelisis de
riesgo anaacutelisis de brecha revisiones o auditoriacuteas capacitacioacuten entre otras)
39
Peacuterdida destruccioacuten robo
extraviacuteo copia uso
acceso tratamiento dantildeo
alteracioacuten o modificacioacuten
NO AUTORIZADO
Si hay vulneracioacuten que impacte los derechos patrimoniales o
morales de los titulares se deberaacuten tomar acciones e informar a
los titulares sin dilacioacuten con el fin de que eacutestos tomen las medidas
pertinentes
VII Derechos ARCO y la
Proteccioacuten de Derechos
40
41
Cada uno de nosotros como titulares de los DP o en su caso nuestro
representante legal podremos ejercer cualquiera de los derechos ARCO ante
las empresas que los tengan en sus bases de datos
42
Mecanismos para que los ciudadanos podamos limitar el
uso de nuestros datos personales para fines comerciales
(liacuteneas telefoacutenicas particulares o moviles asiacute como sus
correos electroacutenicos domicilios y nombres)
Estas pueden ser propios o de organismos como la
PROFECO y la CONDUSEF que ya han creado estas
listas para registro opcional de los ciudadanos
REPEP (Registro Puacuteblico para Evitar Publicidad y
REUNS (Registro Puacuteblico de Usuarios que no desean
informacioacuten publicitaria de Productos y Servicios
Financieros)
Las empresas que realizan actividades de promocioacuten
deberaacuten previamente validar la existencia de los datos de
sus prospectos en estas listas para no incurrir en una
violacioacuten a la privacidad de los mismos
43
La empresa debe designar una persona
o un departamento interno para atender
las solicitudes de los Titulares de los
Datos a traveacutes del Ejercicio de sus
derechos ARCO
El Reglamento yo su encargado definen
su proceso interno medios y
procedimientos para la recepcioacuten
atencioacuten y resolucioacuten de las Solicitudes
de Derechos ARCO
El Ejercicio de los derechos debe ser
gratuito soacutelo en caso de reproduccioacuten o
enviacuteo el titular pagara los costos
correspondientes
44
El Titular Entrega solicitud de Derechos ARCO en
2 tantos que incluyen
bull Identificacioacuten oficial
bull Datos de localizacioacuten para
mantener la comunicacioacuten yo enviar
notificaciones
bull Documentacioacuten que ayude a su aacutegil
localizacioacuten o para demostrar la
correccioacuten o cambio solicitado
Espera 20 diacuteas la resolucioacuten ldquoprocede o
nordquo su solicitud
Espera 15 diacuteas maacutes aplicacioacuten de
resolucioacuten
45
El Departamento yo Encargado
de DP Entregar explicar yo recibir la solicitud de
Derechos ARCO en 2 tantos
bull Sellar la recepcioacuten con fecha y firma de
quien la recibe
bull Revisar y realizar el anaacutelisis de
procedencia de la solicitud (20 diacuteas
haacutebiles)
bull Notificar al titular la resolucioacuten proceda o
no
bull Aplicar resolucioacuten (15 diacuteas haacutebiles)
Nota El Responsible puede si asiacute se requiere y justifica incrementar el
plazo por uacutenica ocasioacuten por los mismos plazos descritos en cada
proceso previa notificacioacuten al titular
46
El titular o su representante legal no se
acrediten debidamente
No se encuentren los datos personales
en su base (s) de datos
Se lesionen derechos de terceros
La rectificacioacuten cancelacioacuten u oposicioacuten
hayan sido solicitadas preaviamente
Exista impedimento legal o resolucioacuten de
las autoridades que restrinja el ejercicio
de estos derechos
El Responsable podraacute negar el ejercicio
de los Derechos ARCO cuando
VIII Proteccioacuten de Derechos
ante el Ifai
47
48
Expresar claramente el
contenido de su
reclamacioacuten
Presentar el
documento que pruebe
la fecha en que
presentoacute la solicitud de
Derechos ARCO
bull Por escrito libre o a traveacutes de los
formatos establecidos por el IFAI
bull Sistema electroacutenico
bull En el domicilio del Instituto u oficina habilitada
bull Por correo certificado con acuse de recibo
El titular o su representante legal presenta su solicitud de proteccioacuten de derechos ante
el IFAI
Estaacute inconforme con la
respuesta
Dentro de los 15 diacuteas siguientes a la fecha en
que se comunique la respuesta
No recibioacute respuesta
Dentro de los 15 diacuteas a partir de que haya vencido el plazo de
respuesta
El TitularPlazos
Podraacute interponerse
IX Sanciones e Infracciones
49
50
El Salario miacutenimo vigente en el DF para 2014 es
Salario Miacutenimo ZonaAacuterea geograacutefica A 6729 pesos diarios
Fuente httpsalariominimocommxsalario-minimo-2014
DSMV DF Diacuteas de Salario Miacutenimo vigente en el Distrito Federal
No dar atencioacuten a las solicitudes ARCO
El apercibimiento para que el
responsable lleve a cabo los actos solicitados por el
titular
Omitir el aviso mantener DP
inexactos negar la existencia de DP con
dolo
Multa de 100 a 160000 VSM DF
De $6230 a $9972800
Incumplir deber de confidencialidad
cambiar la finalidad o realizar transferencias sin dar aviso de ello o vulnerar la seguridad de las bases de datos
Multa de 200 a 320000 VSM DF
De $12466 a $19945600
51
Trataacutendose de datos
personales sensibles
Provocar una vulneracioacuten de
seguridad a las bases de
datos bajo su custodia
3 meses a 3 antildeos
Tratamiento de DP
mediante el engantildeo
aprovechaacutendose del error
del titular o del
responsable
6 meses a 5 antildeos
Penas
anteriores
Delitos llevados
a cabo con
aacutenimo de lucro
Delito Prisioacuten
52
53
Beatriz Vargas
Director Comercial
beatrizvbsconsultingcommx
Tel 6380 5705 Cel 551071 9446
Ricardo Rangel
Director de Proyectos Estraacutetegicos
ricardorbsconsultingcommx
Tel 6380 5705 Cel 554453 4778
wwwBSConsultingcommx
Participacioacuten de Meacutexico en el
derecho a la proteccioacuten de los DP
bull El pasado 12 y 13 de Noviembre de 2014 se llevo a cabo el
XII Encuentro Iberoamericano de Proteccioacuten de Datos
Personales en la Cd de Meacutexico con sede en instalaciones
del Ifai donde participaron los paiacuteses que integran la Red
Iberoamericana de Proteccioacuten de Datos
bull Meacutexico es el uacutenico paiacutes a nivel Iberoamericano con caraacutecter
de autoacutenomo
4
II Normativa aplicable
5
Ley Federal de Proteccioacuten de Datos
Personales en Posesioacuten de los
Particulares (LFPDPPP) y su Reglamento
bull La Ley se publicoacute en el Diario Oficial de la
Federacioacuten el 5 de julio de 2010
bull 6 de julio de 2011 las personas
reguladas deben tener a disposicioacuten de
sus clientes su Aviso de Privacidad y
deben haber designado a la Persona o
Departamento de Datos Personales al
interior del negocio
bull El Reglamento de la Ley se publicoacute en el
Diario Oficial de la Federacioacuten el 21 de
diciembre de 2011
6
bull A partir del 6 de enero de 2012 los clientes
pueden ejercer sus Derechos ARCO
(acceso rectificacioacuten cancelacioacuten y
oposicioacuten)
bull Los ciudadanos ldquotitularesrdquo a partir del 6 de
febrero de 2012 pueden ejercer su derecho
a la proteccioacuten de datos personales ante el
IFAI
bull Lineamientos para el Aviso de Privacidad
Integral debe contar con 12 elementos
informativos baacutesicos a partir del 17 de abril
de 2013
bull La creacioacuten administracioacuten y uso de bases
de datos deben contar con procesos y
medidas de seguridad documentadas a
partir del 22 de junio de 2013 7
iquestCuaacutel es el aacutembito de aplicacioacuten de
la Ley
8
Ley Federal de Proteccioacuten de
Datos Personales en
Posesioacuten de los Particulares
- Orden puacuteblico y- Observancia general
- Federal
Proteccioacuten de datos personales en
posesioacuten de los particulares
Regular el tratamiento- Legiacutetimo
- Controlado- Informado
Naturaleza y aacutembito
de aplicacioacuten
Objeto
Finalidad
Sujetos ReguladosExcepcionesbull Sociedades de Informacioacuten
Crediticia
bull Personas fiacutesicas que traten
datos personales para su
uso personal y familiar
bull Personas Fiacutesicas y
Morales de caraacutecter
privado que recaban
datos personales
9
iquestQuieacuten es la entidad responsable
del cumplimiento de esta Ley
bull El Instituto Federal de Acceso a la
Informacioacuten y Proteccioacuten de Datos es
la entidad encargada de difundir y
promover el ejercicio del derecho a la
proteccioacuten de Datos Personales a la
sociedad mexicana y garantizar el
cumplimiento de la Ley
bull Estaacute facultado para imponer infracciones
y sanciones a quienes hagan uso
indebido de los datos personales 10
III Conceptos baacutesicos
11
Conceptos baacutesicos
iquestCuaacutel es un dato sensiblebull Son datos personales que
afectan la esfera maacutes iacutentima de
su titular o cuya utilizacioacuten
indebida pueda dar origen o
conlleve un riesgo grave para
eacuteste
iquestQueacute es un dato personalbull Es cualquier informacioacuten concer-
niente a una persona fiacutesica
ldquotitularrdquo que la identifica o la hace
identificable
12
Conceptos baacutesicos
bull Soporte fiacutesico (inteligible a
simple vista)
bull Soporte electroacutenico (se
requiere de un aparato con
circuitos electroacutenicos que
procese su contenido)
Medios de almacenamiento
bull Bases de Datos Pueden serexpresados en forma
bull Numeacuterica
bull Alfanumeacuterica
bull Graacutefica
bull Fotograacutefica
bull Acuacutestica
bull Cualquier otro tipo detecnologiacutea disponible en elmercado
13
Obtencioacuten de datos
Medios para recabar datos personales (DP)
Los datos pueden obtenerse de 3 formas
bull Personalmente Cuando el titular yo representante legal proporciona los DP alresponsable ldquopresencia fiacutesica de ambosrdquo
bull Directa Cuando el titular proporciona los DP por alguacuten medio que permite su entregadirecta al responsable entre ellos medios electroacutenicos sonoros oacutepticos visuales ocualquier otra tecnologiacutea que pueda utilizarse para ello
bull Indirecta Cuando el Responsable obtienen los DP sin que el titular se los hayaproporcionado de forma personal o directa como podriacutea ser a traveacutes de transferencias ofuentes de acceso puacuteblico (medios expresamente definidos para hacer de conocimiento delpuacuteblico en general los datos que contiene ej paacutegina de Internet boletiacuten diario oficial entreotros)
14
Tratamiento de Datos Personales
15
Es la obtencioacuten
divulgacioacuten uso o
almacenamiento de
datos personales por
cualquier medio
El uso abarca cualquier
accioacuten de acceso
manejo aprovecha-
miento transferencia o
disposicioacuten de datos
personales
16
Datos de identificacioacuten
Datos de contacto
Datos laborales
Datos sobre caracteriacutesticas fiacutesicas
Datos acadeacutemicos
Datos patrimoniales o financieros
17
Datos biomeacutetricos
Datos ideoloacutegicos
Datos sobre opiniones poliacuteticas
Datos sobre afiliacioacuten sindical
Datos de vida sexual
Datos de Salud
Datos de origen eacutetnico o racial
IMPORTANTE Las caracteriacutesticas de los datos personales y datos personales
sensibles de este documento son soacutelo una orientacioacuten ya que el pleno del Ifai
no ha emitido criterios institucionales al respecto ademaacutes de que ciertos datos
personales que en un principio no se consideren sensibles podriacutean llegar a serlo
dependiendo del contexto en que se trate la informacioacuten
IV Designar un encargado
o departamento de Datos
Personales
18
Actores principalesResponsable
Es la persona fiacutesica o moral de caraacutecter privado que DECIDE
sobre el tratamiento de los DP es decir
bull Quien establece las finalidades del tratamiento o el uso que se
les daraacute
bull El tipo de datos que se requieren
bull A quieacuten y para queacute se comparten
bull Coacutemo se obtienen almacenan y suprimen y
bull En queacute casos se divulgaraacuten
EncargadoEs la persona fiacutesica o moral (Outsourcing) que trata los datospersonales a nombre y por cuenta del Responsable
bull El encargado NO DECIDE sobre el tratamiento de los datospersonales lo realiza siguiendo las instrucciones delResponsable
Tercerobull Es la persona fiacutesica o moral nacional o extranjera ajena a la
organizacioacuten distinta del responsable encargado o titular 19
iquestCoacutemo seleccionar al ldquoEncargado de
DPrdquoEs importante considerar
bull Tamantildeo y capacidad de la organizacioacuten
bull Tipo y volumen de datos obtenidos
bull Naturaleza e intensidad del tratamiento
bull Nivel de riesgo y confidencialidad
La persona o Departamento de DP ldquoEncargado de
DPrdquo debe
bull Atender las Solicitudes de Derechos ARCO
bull Fomentar la proteccioacuten de DP al interior del
negocioArt 30 de la LFPDPPP
Es indispensable que el Responsable formalice la
relacioacuten con el Encargado de DP mediante un
instrumento juriacutedico (contrato claacuteusulas contractuales
acuerdos o convenios) en el que se establezcan las
obligaciones de ambos en torno a la proteccioacuten de datos
personales
Oficial de
Proteccioacuten de DP
20
V Identificar
Transferencias
21
TransferenciasTransferencia de DP
bull La transferencia es la comunicacioacuten de datospersonales dentro o fuera del territorio nacionala persona distinta del titular del Responsable odel encargado
bull Formalizarla a traveacutes de instrumentojuriacutedico
bull Debe ser Informada al titular a traveacutes delAviso de Privacidad a quien se transfiereny para que fines
bull Limitarse a las finalidades notificadas en elAviso de Privacidad y consentidas por eltitular
bull Se podraacute realizar hasta que se hayaobtenido el consentimiento del titular salvolas excepciones marcadas en el Art 37 dela Ley
bull Los Receptores asumen las mismasobligaciones del Responsable sobre los datosrecibidos de acuerdo con el Aviso de privacidady Contrato firmado entre las partes
Encargado
Responsable
Tercero
Transferencia interna
ldquoRemisioacuten de DPrdquo
Transferencia a
terceros
Cuando esteacute previsto en una Ley o Tratado en el que Meacutexico sea parte para
la prevencioacuten o el diagnoacutestico meacutedico para el cumplimiento de una relacioacuten
juriacutedica o salvaguarda de un intereacutes puacuteblico o procuracioacuten de justicia
22
23
Si el Responsable se adhiere a la infraestructura los servicios
o aplicaciones el proveedor deberaacute cumplir con las siguientes
condiciones definidas en el Art 52 del Reglamento de la Ley de lo
contrario el Responsable NO podraacute adherirse
I Cumpla al menos con lo siguiente
a) Tener y aplicar poliacuteticas de Proteccioacuten de DP y
medidas de seguridad acorden a la LFPDPPP
b) Transparentar las subcontrataciones
c) Abstenerse de asumir la titularidad o
propiedad de la informacioacuten y guardar
confidencialidad
d) Garantizar la supresioacuten de los DP una vez que
haya concluido el servicio prestado al
Responsable
VI Principios y deberes
24
Cumplir con los
Principios y deberes
25
Licitud
Lealtad
Proporcionalidad
Calidad
Finalidad
Consentimiento
Informacioacuten
Responsabilidad
Licitud
Lealtad
Principios
26
bull Todo tratamiento de datos personales
debe ser con estricto apego y
cumplimiento a lo dispuesto por la
legislacioacuten mexicana y el derecho
internacional
bull El tratamiento de DP debe realizarse en
atencioacuten a lo acordado NO deben de
utilizarse medios engantildeosos o fraudu-
lentos para recabar y tratar DP
Licitud
Lealtad
Principios
27
Proporcionalidad
Calidad
bull Los DP tratados deben ser los miacutenimos
necesarios para el cumplimiento de la
finalidad para la cual se recabaron
bull El responsable deberaacute aplicar el Criterio
de minimizacioacuten
bull Los DP deben ser correctos exactos
completos pertinentes y actualizados de
acuerdo con la finalidad para la cual
fueron recabados
Principio finalidad
28
bull Dan origen y son necesarias
para la relacioacuten juriacutedica
bull Una relacioacuten juriacutedica debe estar
enmarcada por los siguientes
factores
bull Viacutenculo entre los sujetos
bull Dos o mas sujetos
bull Estar regulado por el derecho y
bull Producir consecuencias juriacutedicas
El tratamiento de DP debe ser soacutelo el necesario para cumplir con la
finalidad determinada y legiacutetima que se sentildealoacute en el aviso de privacidad
de manera clara y objetiva
bull Finalidades distintas a las quedieron origen a la relacioacuten juriacutedicao bien aquellas legalmentepermitidas o para las que elresponsable haya obtenido elconsentimientondash Mercadoloacutegicos publicitarias
ndash Promocionales comunicacioacutenprospeccioacuten referencia comercial
ndash Videografacioacuten y toma de fotigrafiacuteas
bull El titular puede oponerse altratamiento de sus datos paraestas finalidades y no seraacute motivopara negar el servicio solicitado
Primarias Secundarias
Principio Consentimientobull Facultad de las personas para decidir sobre el tratamiento de sus DP
el cual taacutecito expreso o expreso y por escrito debe ser libre especiacuteficoinformado e inequiacutevoco
bull Si una ley o reglamento en lo particular exige el consentimiento expreso oexpreso y por escrito para el tratamiento de DP el responsable deberaacutesolicitarlo de esa forma aunque no se trate de datos financierospatrimoniales o sensibles
Nota No es necesario solicitar el consentimiento cuando el tratamiento de los DP sea en cumplimientoa obligaciones derivado de una relacioacuten juriacutedica entre el titular y el Responsable
Tipo de Consentimiento
bull Taacutecito
bull Expreso
bull Expreso y por escrito
Para que tipo de datos se requiere
bull Para cualquier tipo de dato personal con excepcioacuten de los datos patrimoniales financieros y sensibles
bull Para datos financieros y patrimoniales
bull Para datos personales sensibles
29
Principio de Responsabilidad
30
bull Establecer Medidas de Seguridad administrativas fiacutesicas yo
teacutecnicas para la proteccioacuten de los DP mismas que deben ser
documentadas (acciones anaacutelisis de riesgo anaacutelisis de
brecha revisiones o auditoriacuteas capacitacioacuten entre otras)
Algunas medidas baacutesicas pueden ser
1 Elaborar Poliacuteticas de Proteccioacuten de DP al
interior del negocio que incluyan sistemas de
supervisioacuten y vigilancia
2 Brindar capacitacioacuten para la concientizacioacuten de
personal
3 Establecer procedimientos para atender las
dudas o quejas de los titulares
31
iquestQueacute es el Aviso de Privacidad
Es un documento fiacutesico electroacutenico visual sonoro
o en cualquier otro formato generado por el
responsable de manera sencilla con un lenguaje
claro y comprensible de aceurdo al perfil de los
titulares puesto a su disposicioacuten previo al
tratamiento de sus datos personales
Establecer los teacuterminos y condiciones generales del
tratamiento de los datos personales que recaba
El Responsable deberaacute tener el nuacutemero de avisos de
pivacidad que resulte necesario de acuerdo a los
tratamientos que realice a los DP
32
El aviso de privacidad debe estar disponible en alguno de los
siguientes soportes
Fiacutesico (en papel)
Electroacutenico (paacuteginas web correos electroacutenicos etc)
Visual ( pantalla de TV videos etc)
Sonoro (Grabaciones IVR etc)
En otros medios (prensa)
33
No usar frases inexactas ambiguas o vagas como ldquoentre
otrosrdquo ldquocomo por ejemplordquo ldquoDe manera enunciativa maacutes no
limitativardquo
No incluir textos o frases que induzcan al titular de manera
engantildeosa o fraudulenta (ejemplo ldquoLe recomendamos que
nos autorice el uso de su informacioacuten personal sin restriccioacuten
alguna para ser maacutes eficiente nuestro trabajordquo
No remitir al titular a textos o documentos que no esteacuten
disponibes (links disponibles)
No incluir casillas u otros mecanismos similares que esteacuten
marcados previamente que obliguen a los titulares a
desmarcarlos para modificar la condicioacuten previamente
establecida
34
35
Ejemplo AP
36
Modalidades
del Aviso de
Privacidad
Integral
Simplificado
Corto
Cuando los datos se obtengan
personalmente del titular
(entrevista)
Cuando se obtienen de manera
directa (contacto paacuteg web ndash viacutea
telefoacutenica)
Cuando el espacio para dar a
conocer el aviso sea limitado
(correo formatos SMS etc)
Nota De acuerdo al tipo de DP que se recabe se deberaacute solicitar el
consentimiento correspondiente
37
ldquoObligacioacuten de guardar secreto de
los datos persnales que son
tratadosrdquo
El Responsable debe adoptar medidas para
evitar que quienes tengan acceso a eacutestos
divulguen dicha informacioacuten
Se debe cumplir aun una vez que finalice la
relacioacuten contractual o laboral entre el
responsable y quien tenga accesos a los
datos personales para el desarrollo de las
tareas o funciones que se le hubiern
encomendado
38
Establecer Medidas de seguridad administrativas fiacutesicas y teacutecnicas para la
proteger los DP mismas que deben ser documentadas (acciones anaacutelisis de
riesgo anaacutelisis de brecha revisiones o auditoriacuteas capacitacioacuten entre otras)
39
Peacuterdida destruccioacuten robo
extraviacuteo copia uso
acceso tratamiento dantildeo
alteracioacuten o modificacioacuten
NO AUTORIZADO
Si hay vulneracioacuten que impacte los derechos patrimoniales o
morales de los titulares se deberaacuten tomar acciones e informar a
los titulares sin dilacioacuten con el fin de que eacutestos tomen las medidas
pertinentes
VII Derechos ARCO y la
Proteccioacuten de Derechos
40
41
Cada uno de nosotros como titulares de los DP o en su caso nuestro
representante legal podremos ejercer cualquiera de los derechos ARCO ante
las empresas que los tengan en sus bases de datos
42
Mecanismos para que los ciudadanos podamos limitar el
uso de nuestros datos personales para fines comerciales
(liacuteneas telefoacutenicas particulares o moviles asiacute como sus
correos electroacutenicos domicilios y nombres)
Estas pueden ser propios o de organismos como la
PROFECO y la CONDUSEF que ya han creado estas
listas para registro opcional de los ciudadanos
REPEP (Registro Puacuteblico para Evitar Publicidad y
REUNS (Registro Puacuteblico de Usuarios que no desean
informacioacuten publicitaria de Productos y Servicios
Financieros)
Las empresas que realizan actividades de promocioacuten
deberaacuten previamente validar la existencia de los datos de
sus prospectos en estas listas para no incurrir en una
violacioacuten a la privacidad de los mismos
43
La empresa debe designar una persona
o un departamento interno para atender
las solicitudes de los Titulares de los
Datos a traveacutes del Ejercicio de sus
derechos ARCO
El Reglamento yo su encargado definen
su proceso interno medios y
procedimientos para la recepcioacuten
atencioacuten y resolucioacuten de las Solicitudes
de Derechos ARCO
El Ejercicio de los derechos debe ser
gratuito soacutelo en caso de reproduccioacuten o
enviacuteo el titular pagara los costos
correspondientes
44
El Titular Entrega solicitud de Derechos ARCO en
2 tantos que incluyen
bull Identificacioacuten oficial
bull Datos de localizacioacuten para
mantener la comunicacioacuten yo enviar
notificaciones
bull Documentacioacuten que ayude a su aacutegil
localizacioacuten o para demostrar la
correccioacuten o cambio solicitado
Espera 20 diacuteas la resolucioacuten ldquoprocede o
nordquo su solicitud
Espera 15 diacuteas maacutes aplicacioacuten de
resolucioacuten
45
El Departamento yo Encargado
de DP Entregar explicar yo recibir la solicitud de
Derechos ARCO en 2 tantos
bull Sellar la recepcioacuten con fecha y firma de
quien la recibe
bull Revisar y realizar el anaacutelisis de
procedencia de la solicitud (20 diacuteas
haacutebiles)
bull Notificar al titular la resolucioacuten proceda o
no
bull Aplicar resolucioacuten (15 diacuteas haacutebiles)
Nota El Responsible puede si asiacute se requiere y justifica incrementar el
plazo por uacutenica ocasioacuten por los mismos plazos descritos en cada
proceso previa notificacioacuten al titular
46
El titular o su representante legal no se
acrediten debidamente
No se encuentren los datos personales
en su base (s) de datos
Se lesionen derechos de terceros
La rectificacioacuten cancelacioacuten u oposicioacuten
hayan sido solicitadas preaviamente
Exista impedimento legal o resolucioacuten de
las autoridades que restrinja el ejercicio
de estos derechos
El Responsable podraacute negar el ejercicio
de los Derechos ARCO cuando
VIII Proteccioacuten de Derechos
ante el Ifai
47
48
Expresar claramente el
contenido de su
reclamacioacuten
Presentar el
documento que pruebe
la fecha en que
presentoacute la solicitud de
Derechos ARCO
bull Por escrito libre o a traveacutes de los
formatos establecidos por el IFAI
bull Sistema electroacutenico
bull En el domicilio del Instituto u oficina habilitada
bull Por correo certificado con acuse de recibo
El titular o su representante legal presenta su solicitud de proteccioacuten de derechos ante
el IFAI
Estaacute inconforme con la
respuesta
Dentro de los 15 diacuteas siguientes a la fecha en
que se comunique la respuesta
No recibioacute respuesta
Dentro de los 15 diacuteas a partir de que haya vencido el plazo de
respuesta
El TitularPlazos
Podraacute interponerse
IX Sanciones e Infracciones
49
50
El Salario miacutenimo vigente en el DF para 2014 es
Salario Miacutenimo ZonaAacuterea geograacutefica A 6729 pesos diarios
Fuente httpsalariominimocommxsalario-minimo-2014
DSMV DF Diacuteas de Salario Miacutenimo vigente en el Distrito Federal
No dar atencioacuten a las solicitudes ARCO
El apercibimiento para que el
responsable lleve a cabo los actos solicitados por el
titular
Omitir el aviso mantener DP
inexactos negar la existencia de DP con
dolo
Multa de 100 a 160000 VSM DF
De $6230 a $9972800
Incumplir deber de confidencialidad
cambiar la finalidad o realizar transferencias sin dar aviso de ello o vulnerar la seguridad de las bases de datos
Multa de 200 a 320000 VSM DF
De $12466 a $19945600
51
Trataacutendose de datos
personales sensibles
Provocar una vulneracioacuten de
seguridad a las bases de
datos bajo su custodia
3 meses a 3 antildeos
Tratamiento de DP
mediante el engantildeo
aprovechaacutendose del error
del titular o del
responsable
6 meses a 5 antildeos
Penas
anteriores
Delitos llevados
a cabo con
aacutenimo de lucro
Delito Prisioacuten
52
53
Beatriz Vargas
Director Comercial
beatrizvbsconsultingcommx
Tel 6380 5705 Cel 551071 9446
Ricardo Rangel
Director de Proyectos Estraacutetegicos
ricardorbsconsultingcommx
Tel 6380 5705 Cel 554453 4778
wwwBSConsultingcommx
II Normativa aplicable
5
Ley Federal de Proteccioacuten de Datos
Personales en Posesioacuten de los
Particulares (LFPDPPP) y su Reglamento
bull La Ley se publicoacute en el Diario Oficial de la
Federacioacuten el 5 de julio de 2010
bull 6 de julio de 2011 las personas
reguladas deben tener a disposicioacuten de
sus clientes su Aviso de Privacidad y
deben haber designado a la Persona o
Departamento de Datos Personales al
interior del negocio
bull El Reglamento de la Ley se publicoacute en el
Diario Oficial de la Federacioacuten el 21 de
diciembre de 2011
6
bull A partir del 6 de enero de 2012 los clientes
pueden ejercer sus Derechos ARCO
(acceso rectificacioacuten cancelacioacuten y
oposicioacuten)
bull Los ciudadanos ldquotitularesrdquo a partir del 6 de
febrero de 2012 pueden ejercer su derecho
a la proteccioacuten de datos personales ante el
IFAI
bull Lineamientos para el Aviso de Privacidad
Integral debe contar con 12 elementos
informativos baacutesicos a partir del 17 de abril
de 2013
bull La creacioacuten administracioacuten y uso de bases
de datos deben contar con procesos y
medidas de seguridad documentadas a
partir del 22 de junio de 2013 7
iquestCuaacutel es el aacutembito de aplicacioacuten de
la Ley
8
Ley Federal de Proteccioacuten de
Datos Personales en
Posesioacuten de los Particulares
- Orden puacuteblico y- Observancia general
- Federal
Proteccioacuten de datos personales en
posesioacuten de los particulares
Regular el tratamiento- Legiacutetimo
- Controlado- Informado
Naturaleza y aacutembito
de aplicacioacuten
Objeto
Finalidad
Sujetos ReguladosExcepcionesbull Sociedades de Informacioacuten
Crediticia
bull Personas fiacutesicas que traten
datos personales para su
uso personal y familiar
bull Personas Fiacutesicas y
Morales de caraacutecter
privado que recaban
datos personales
9
iquestQuieacuten es la entidad responsable
del cumplimiento de esta Ley
bull El Instituto Federal de Acceso a la
Informacioacuten y Proteccioacuten de Datos es
la entidad encargada de difundir y
promover el ejercicio del derecho a la
proteccioacuten de Datos Personales a la
sociedad mexicana y garantizar el
cumplimiento de la Ley
bull Estaacute facultado para imponer infracciones
y sanciones a quienes hagan uso
indebido de los datos personales 10
III Conceptos baacutesicos
11
Conceptos baacutesicos
iquestCuaacutel es un dato sensiblebull Son datos personales que
afectan la esfera maacutes iacutentima de
su titular o cuya utilizacioacuten
indebida pueda dar origen o
conlleve un riesgo grave para
eacuteste
iquestQueacute es un dato personalbull Es cualquier informacioacuten concer-
niente a una persona fiacutesica
ldquotitularrdquo que la identifica o la hace
identificable
12
Conceptos baacutesicos
bull Soporte fiacutesico (inteligible a
simple vista)
bull Soporte electroacutenico (se
requiere de un aparato con
circuitos electroacutenicos que
procese su contenido)
Medios de almacenamiento
bull Bases de Datos Pueden serexpresados en forma
bull Numeacuterica
bull Alfanumeacuterica
bull Graacutefica
bull Fotograacutefica
bull Acuacutestica
bull Cualquier otro tipo detecnologiacutea disponible en elmercado
13
Obtencioacuten de datos
Medios para recabar datos personales (DP)
Los datos pueden obtenerse de 3 formas
bull Personalmente Cuando el titular yo representante legal proporciona los DP alresponsable ldquopresencia fiacutesica de ambosrdquo
bull Directa Cuando el titular proporciona los DP por alguacuten medio que permite su entregadirecta al responsable entre ellos medios electroacutenicos sonoros oacutepticos visuales ocualquier otra tecnologiacutea que pueda utilizarse para ello
bull Indirecta Cuando el Responsable obtienen los DP sin que el titular se los hayaproporcionado de forma personal o directa como podriacutea ser a traveacutes de transferencias ofuentes de acceso puacuteblico (medios expresamente definidos para hacer de conocimiento delpuacuteblico en general los datos que contiene ej paacutegina de Internet boletiacuten diario oficial entreotros)
14
Tratamiento de Datos Personales
15
Es la obtencioacuten
divulgacioacuten uso o
almacenamiento de
datos personales por
cualquier medio
El uso abarca cualquier
accioacuten de acceso
manejo aprovecha-
miento transferencia o
disposicioacuten de datos
personales
16
Datos de identificacioacuten
Datos de contacto
Datos laborales
Datos sobre caracteriacutesticas fiacutesicas
Datos acadeacutemicos
Datos patrimoniales o financieros
17
Datos biomeacutetricos
Datos ideoloacutegicos
Datos sobre opiniones poliacuteticas
Datos sobre afiliacioacuten sindical
Datos de vida sexual
Datos de Salud
Datos de origen eacutetnico o racial
IMPORTANTE Las caracteriacutesticas de los datos personales y datos personales
sensibles de este documento son soacutelo una orientacioacuten ya que el pleno del Ifai
no ha emitido criterios institucionales al respecto ademaacutes de que ciertos datos
personales que en un principio no se consideren sensibles podriacutean llegar a serlo
dependiendo del contexto en que se trate la informacioacuten
IV Designar un encargado
o departamento de Datos
Personales
18
Actores principalesResponsable
Es la persona fiacutesica o moral de caraacutecter privado que DECIDE
sobre el tratamiento de los DP es decir
bull Quien establece las finalidades del tratamiento o el uso que se
les daraacute
bull El tipo de datos que se requieren
bull A quieacuten y para queacute se comparten
bull Coacutemo se obtienen almacenan y suprimen y
bull En queacute casos se divulgaraacuten
EncargadoEs la persona fiacutesica o moral (Outsourcing) que trata los datospersonales a nombre y por cuenta del Responsable
bull El encargado NO DECIDE sobre el tratamiento de los datospersonales lo realiza siguiendo las instrucciones delResponsable
Tercerobull Es la persona fiacutesica o moral nacional o extranjera ajena a la
organizacioacuten distinta del responsable encargado o titular 19
iquestCoacutemo seleccionar al ldquoEncargado de
DPrdquoEs importante considerar
bull Tamantildeo y capacidad de la organizacioacuten
bull Tipo y volumen de datos obtenidos
bull Naturaleza e intensidad del tratamiento
bull Nivel de riesgo y confidencialidad
La persona o Departamento de DP ldquoEncargado de
DPrdquo debe
bull Atender las Solicitudes de Derechos ARCO
bull Fomentar la proteccioacuten de DP al interior del
negocioArt 30 de la LFPDPPP
Es indispensable que el Responsable formalice la
relacioacuten con el Encargado de DP mediante un
instrumento juriacutedico (contrato claacuteusulas contractuales
acuerdos o convenios) en el que se establezcan las
obligaciones de ambos en torno a la proteccioacuten de datos
personales
Oficial de
Proteccioacuten de DP
20
V Identificar
Transferencias
21
TransferenciasTransferencia de DP
bull La transferencia es la comunicacioacuten de datospersonales dentro o fuera del territorio nacionala persona distinta del titular del Responsable odel encargado
bull Formalizarla a traveacutes de instrumentojuriacutedico
bull Debe ser Informada al titular a traveacutes delAviso de Privacidad a quien se transfiereny para que fines
bull Limitarse a las finalidades notificadas en elAviso de Privacidad y consentidas por eltitular
bull Se podraacute realizar hasta que se hayaobtenido el consentimiento del titular salvolas excepciones marcadas en el Art 37 dela Ley
bull Los Receptores asumen las mismasobligaciones del Responsable sobre los datosrecibidos de acuerdo con el Aviso de privacidady Contrato firmado entre las partes
Encargado
Responsable
Tercero
Transferencia interna
ldquoRemisioacuten de DPrdquo
Transferencia a
terceros
Cuando esteacute previsto en una Ley o Tratado en el que Meacutexico sea parte para
la prevencioacuten o el diagnoacutestico meacutedico para el cumplimiento de una relacioacuten
juriacutedica o salvaguarda de un intereacutes puacuteblico o procuracioacuten de justicia
22
23
Si el Responsable se adhiere a la infraestructura los servicios
o aplicaciones el proveedor deberaacute cumplir con las siguientes
condiciones definidas en el Art 52 del Reglamento de la Ley de lo
contrario el Responsable NO podraacute adherirse
I Cumpla al menos con lo siguiente
a) Tener y aplicar poliacuteticas de Proteccioacuten de DP y
medidas de seguridad acorden a la LFPDPPP
b) Transparentar las subcontrataciones
c) Abstenerse de asumir la titularidad o
propiedad de la informacioacuten y guardar
confidencialidad
d) Garantizar la supresioacuten de los DP una vez que
haya concluido el servicio prestado al
Responsable
VI Principios y deberes
24
Cumplir con los
Principios y deberes
25
Licitud
Lealtad
Proporcionalidad
Calidad
Finalidad
Consentimiento
Informacioacuten
Responsabilidad
Licitud
Lealtad
Principios
26
bull Todo tratamiento de datos personales
debe ser con estricto apego y
cumplimiento a lo dispuesto por la
legislacioacuten mexicana y el derecho
internacional
bull El tratamiento de DP debe realizarse en
atencioacuten a lo acordado NO deben de
utilizarse medios engantildeosos o fraudu-
lentos para recabar y tratar DP
Licitud
Lealtad
Principios
27
Proporcionalidad
Calidad
bull Los DP tratados deben ser los miacutenimos
necesarios para el cumplimiento de la
finalidad para la cual se recabaron
bull El responsable deberaacute aplicar el Criterio
de minimizacioacuten
bull Los DP deben ser correctos exactos
completos pertinentes y actualizados de
acuerdo con la finalidad para la cual
fueron recabados
Principio finalidad
28
bull Dan origen y son necesarias
para la relacioacuten juriacutedica
bull Una relacioacuten juriacutedica debe estar
enmarcada por los siguientes
factores
bull Viacutenculo entre los sujetos
bull Dos o mas sujetos
bull Estar regulado por el derecho y
bull Producir consecuencias juriacutedicas
El tratamiento de DP debe ser soacutelo el necesario para cumplir con la
finalidad determinada y legiacutetima que se sentildealoacute en el aviso de privacidad
de manera clara y objetiva
bull Finalidades distintas a las quedieron origen a la relacioacuten juriacutedicao bien aquellas legalmentepermitidas o para las que elresponsable haya obtenido elconsentimientondash Mercadoloacutegicos publicitarias
ndash Promocionales comunicacioacutenprospeccioacuten referencia comercial
ndash Videografacioacuten y toma de fotigrafiacuteas
bull El titular puede oponerse altratamiento de sus datos paraestas finalidades y no seraacute motivopara negar el servicio solicitado
Primarias Secundarias
Principio Consentimientobull Facultad de las personas para decidir sobre el tratamiento de sus DP
el cual taacutecito expreso o expreso y por escrito debe ser libre especiacuteficoinformado e inequiacutevoco
bull Si una ley o reglamento en lo particular exige el consentimiento expreso oexpreso y por escrito para el tratamiento de DP el responsable deberaacutesolicitarlo de esa forma aunque no se trate de datos financierospatrimoniales o sensibles
Nota No es necesario solicitar el consentimiento cuando el tratamiento de los DP sea en cumplimientoa obligaciones derivado de una relacioacuten juriacutedica entre el titular y el Responsable
Tipo de Consentimiento
bull Taacutecito
bull Expreso
bull Expreso y por escrito
Para que tipo de datos se requiere
bull Para cualquier tipo de dato personal con excepcioacuten de los datos patrimoniales financieros y sensibles
bull Para datos financieros y patrimoniales
bull Para datos personales sensibles
29
Principio de Responsabilidad
30
bull Establecer Medidas de Seguridad administrativas fiacutesicas yo
teacutecnicas para la proteccioacuten de los DP mismas que deben ser
documentadas (acciones anaacutelisis de riesgo anaacutelisis de
brecha revisiones o auditoriacuteas capacitacioacuten entre otras)
Algunas medidas baacutesicas pueden ser
1 Elaborar Poliacuteticas de Proteccioacuten de DP al
interior del negocio que incluyan sistemas de
supervisioacuten y vigilancia
2 Brindar capacitacioacuten para la concientizacioacuten de
personal
3 Establecer procedimientos para atender las
dudas o quejas de los titulares
31
iquestQueacute es el Aviso de Privacidad
Es un documento fiacutesico electroacutenico visual sonoro
o en cualquier otro formato generado por el
responsable de manera sencilla con un lenguaje
claro y comprensible de aceurdo al perfil de los
titulares puesto a su disposicioacuten previo al
tratamiento de sus datos personales
Establecer los teacuterminos y condiciones generales del
tratamiento de los datos personales que recaba
El Responsable deberaacute tener el nuacutemero de avisos de
pivacidad que resulte necesario de acuerdo a los
tratamientos que realice a los DP
32
El aviso de privacidad debe estar disponible en alguno de los
siguientes soportes
Fiacutesico (en papel)
Electroacutenico (paacuteginas web correos electroacutenicos etc)
Visual ( pantalla de TV videos etc)
Sonoro (Grabaciones IVR etc)
En otros medios (prensa)
33
No usar frases inexactas ambiguas o vagas como ldquoentre
otrosrdquo ldquocomo por ejemplordquo ldquoDe manera enunciativa maacutes no
limitativardquo
No incluir textos o frases que induzcan al titular de manera
engantildeosa o fraudulenta (ejemplo ldquoLe recomendamos que
nos autorice el uso de su informacioacuten personal sin restriccioacuten
alguna para ser maacutes eficiente nuestro trabajordquo
No remitir al titular a textos o documentos que no esteacuten
disponibes (links disponibles)
No incluir casillas u otros mecanismos similares que esteacuten
marcados previamente que obliguen a los titulares a
desmarcarlos para modificar la condicioacuten previamente
establecida
34
35
Ejemplo AP
36
Modalidades
del Aviso de
Privacidad
Integral
Simplificado
Corto
Cuando los datos se obtengan
personalmente del titular
(entrevista)
Cuando se obtienen de manera
directa (contacto paacuteg web ndash viacutea
telefoacutenica)
Cuando el espacio para dar a
conocer el aviso sea limitado
(correo formatos SMS etc)
Nota De acuerdo al tipo de DP que se recabe se deberaacute solicitar el
consentimiento correspondiente
37
ldquoObligacioacuten de guardar secreto de
los datos persnales que son
tratadosrdquo
El Responsable debe adoptar medidas para
evitar que quienes tengan acceso a eacutestos
divulguen dicha informacioacuten
Se debe cumplir aun una vez que finalice la
relacioacuten contractual o laboral entre el
responsable y quien tenga accesos a los
datos personales para el desarrollo de las
tareas o funciones que se le hubiern
encomendado
38
Establecer Medidas de seguridad administrativas fiacutesicas y teacutecnicas para la
proteger los DP mismas que deben ser documentadas (acciones anaacutelisis de
riesgo anaacutelisis de brecha revisiones o auditoriacuteas capacitacioacuten entre otras)
39
Peacuterdida destruccioacuten robo
extraviacuteo copia uso
acceso tratamiento dantildeo
alteracioacuten o modificacioacuten
NO AUTORIZADO
Si hay vulneracioacuten que impacte los derechos patrimoniales o
morales de los titulares se deberaacuten tomar acciones e informar a
los titulares sin dilacioacuten con el fin de que eacutestos tomen las medidas
pertinentes
VII Derechos ARCO y la
Proteccioacuten de Derechos
40
41
Cada uno de nosotros como titulares de los DP o en su caso nuestro
representante legal podremos ejercer cualquiera de los derechos ARCO ante
las empresas que los tengan en sus bases de datos
42
Mecanismos para que los ciudadanos podamos limitar el
uso de nuestros datos personales para fines comerciales
(liacuteneas telefoacutenicas particulares o moviles asiacute como sus
correos electroacutenicos domicilios y nombres)
Estas pueden ser propios o de organismos como la
PROFECO y la CONDUSEF que ya han creado estas
listas para registro opcional de los ciudadanos
REPEP (Registro Puacuteblico para Evitar Publicidad y
REUNS (Registro Puacuteblico de Usuarios que no desean
informacioacuten publicitaria de Productos y Servicios
Financieros)
Las empresas que realizan actividades de promocioacuten
deberaacuten previamente validar la existencia de los datos de
sus prospectos en estas listas para no incurrir en una
violacioacuten a la privacidad de los mismos
43
La empresa debe designar una persona
o un departamento interno para atender
las solicitudes de los Titulares de los
Datos a traveacutes del Ejercicio de sus
derechos ARCO
El Reglamento yo su encargado definen
su proceso interno medios y
procedimientos para la recepcioacuten
atencioacuten y resolucioacuten de las Solicitudes
de Derechos ARCO
El Ejercicio de los derechos debe ser
gratuito soacutelo en caso de reproduccioacuten o
enviacuteo el titular pagara los costos
correspondientes
44
El Titular Entrega solicitud de Derechos ARCO en
2 tantos que incluyen
bull Identificacioacuten oficial
bull Datos de localizacioacuten para
mantener la comunicacioacuten yo enviar
notificaciones
bull Documentacioacuten que ayude a su aacutegil
localizacioacuten o para demostrar la
correccioacuten o cambio solicitado
Espera 20 diacuteas la resolucioacuten ldquoprocede o
nordquo su solicitud
Espera 15 diacuteas maacutes aplicacioacuten de
resolucioacuten
45
El Departamento yo Encargado
de DP Entregar explicar yo recibir la solicitud de
Derechos ARCO en 2 tantos
bull Sellar la recepcioacuten con fecha y firma de
quien la recibe
bull Revisar y realizar el anaacutelisis de
procedencia de la solicitud (20 diacuteas
haacutebiles)
bull Notificar al titular la resolucioacuten proceda o
no
bull Aplicar resolucioacuten (15 diacuteas haacutebiles)
Nota El Responsible puede si asiacute se requiere y justifica incrementar el
plazo por uacutenica ocasioacuten por los mismos plazos descritos en cada
proceso previa notificacioacuten al titular
46
El titular o su representante legal no se
acrediten debidamente
No se encuentren los datos personales
en su base (s) de datos
Se lesionen derechos de terceros
La rectificacioacuten cancelacioacuten u oposicioacuten
hayan sido solicitadas preaviamente
Exista impedimento legal o resolucioacuten de
las autoridades que restrinja el ejercicio
de estos derechos
El Responsable podraacute negar el ejercicio
de los Derechos ARCO cuando
VIII Proteccioacuten de Derechos
ante el Ifai
47
48
Expresar claramente el
contenido de su
reclamacioacuten
Presentar el
documento que pruebe
la fecha en que
presentoacute la solicitud de
Derechos ARCO
bull Por escrito libre o a traveacutes de los
formatos establecidos por el IFAI
bull Sistema electroacutenico
bull En el domicilio del Instituto u oficina habilitada
bull Por correo certificado con acuse de recibo
El titular o su representante legal presenta su solicitud de proteccioacuten de derechos ante
el IFAI
Estaacute inconforme con la
respuesta
Dentro de los 15 diacuteas siguientes a la fecha en
que se comunique la respuesta
No recibioacute respuesta
Dentro de los 15 diacuteas a partir de que haya vencido el plazo de
respuesta
El TitularPlazos
Podraacute interponerse
IX Sanciones e Infracciones
49
50
El Salario miacutenimo vigente en el DF para 2014 es
Salario Miacutenimo ZonaAacuterea geograacutefica A 6729 pesos diarios
Fuente httpsalariominimocommxsalario-minimo-2014
DSMV DF Diacuteas de Salario Miacutenimo vigente en el Distrito Federal
No dar atencioacuten a las solicitudes ARCO
El apercibimiento para que el
responsable lleve a cabo los actos solicitados por el
titular
Omitir el aviso mantener DP
inexactos negar la existencia de DP con
dolo
Multa de 100 a 160000 VSM DF
De $6230 a $9972800
Incumplir deber de confidencialidad
cambiar la finalidad o realizar transferencias sin dar aviso de ello o vulnerar la seguridad de las bases de datos
Multa de 200 a 320000 VSM DF
De $12466 a $19945600
51
Trataacutendose de datos
personales sensibles
Provocar una vulneracioacuten de
seguridad a las bases de
datos bajo su custodia
3 meses a 3 antildeos
Tratamiento de DP
mediante el engantildeo
aprovechaacutendose del error
del titular o del
responsable
6 meses a 5 antildeos
Penas
anteriores
Delitos llevados
a cabo con
aacutenimo de lucro
Delito Prisioacuten
52
53
Beatriz Vargas
Director Comercial
beatrizvbsconsultingcommx
Tel 6380 5705 Cel 551071 9446
Ricardo Rangel
Director de Proyectos Estraacutetegicos
ricardorbsconsultingcommx
Tel 6380 5705 Cel 554453 4778
wwwBSConsultingcommx
Ley Federal de Proteccioacuten de Datos
Personales en Posesioacuten de los
Particulares (LFPDPPP) y su Reglamento
bull La Ley se publicoacute en el Diario Oficial de la
Federacioacuten el 5 de julio de 2010
bull 6 de julio de 2011 las personas
reguladas deben tener a disposicioacuten de
sus clientes su Aviso de Privacidad y
deben haber designado a la Persona o
Departamento de Datos Personales al
interior del negocio
bull El Reglamento de la Ley se publicoacute en el
Diario Oficial de la Federacioacuten el 21 de
diciembre de 2011
6
bull A partir del 6 de enero de 2012 los clientes
pueden ejercer sus Derechos ARCO
(acceso rectificacioacuten cancelacioacuten y
oposicioacuten)
bull Los ciudadanos ldquotitularesrdquo a partir del 6 de
febrero de 2012 pueden ejercer su derecho
a la proteccioacuten de datos personales ante el
IFAI
bull Lineamientos para el Aviso de Privacidad
Integral debe contar con 12 elementos
informativos baacutesicos a partir del 17 de abril
de 2013
bull La creacioacuten administracioacuten y uso de bases
de datos deben contar con procesos y
medidas de seguridad documentadas a
partir del 22 de junio de 2013 7
iquestCuaacutel es el aacutembito de aplicacioacuten de
la Ley
8
Ley Federal de Proteccioacuten de
Datos Personales en
Posesioacuten de los Particulares
- Orden puacuteblico y- Observancia general
- Federal
Proteccioacuten de datos personales en
posesioacuten de los particulares
Regular el tratamiento- Legiacutetimo
- Controlado- Informado
Naturaleza y aacutembito
de aplicacioacuten
Objeto
Finalidad
Sujetos ReguladosExcepcionesbull Sociedades de Informacioacuten
Crediticia
bull Personas fiacutesicas que traten
datos personales para su
uso personal y familiar
bull Personas Fiacutesicas y
Morales de caraacutecter
privado que recaban
datos personales
9
iquestQuieacuten es la entidad responsable
del cumplimiento de esta Ley
bull El Instituto Federal de Acceso a la
Informacioacuten y Proteccioacuten de Datos es
la entidad encargada de difundir y
promover el ejercicio del derecho a la
proteccioacuten de Datos Personales a la
sociedad mexicana y garantizar el
cumplimiento de la Ley
bull Estaacute facultado para imponer infracciones
y sanciones a quienes hagan uso
indebido de los datos personales 10
III Conceptos baacutesicos
11
Conceptos baacutesicos
iquestCuaacutel es un dato sensiblebull Son datos personales que
afectan la esfera maacutes iacutentima de
su titular o cuya utilizacioacuten
indebida pueda dar origen o
conlleve un riesgo grave para
eacuteste
iquestQueacute es un dato personalbull Es cualquier informacioacuten concer-
niente a una persona fiacutesica
ldquotitularrdquo que la identifica o la hace
identificable
12
Conceptos baacutesicos
bull Soporte fiacutesico (inteligible a
simple vista)
bull Soporte electroacutenico (se
requiere de un aparato con
circuitos electroacutenicos que
procese su contenido)
Medios de almacenamiento
bull Bases de Datos Pueden serexpresados en forma
bull Numeacuterica
bull Alfanumeacuterica
bull Graacutefica
bull Fotograacutefica
bull Acuacutestica
bull Cualquier otro tipo detecnologiacutea disponible en elmercado
13
Obtencioacuten de datos
Medios para recabar datos personales (DP)
Los datos pueden obtenerse de 3 formas
bull Personalmente Cuando el titular yo representante legal proporciona los DP alresponsable ldquopresencia fiacutesica de ambosrdquo
bull Directa Cuando el titular proporciona los DP por alguacuten medio que permite su entregadirecta al responsable entre ellos medios electroacutenicos sonoros oacutepticos visuales ocualquier otra tecnologiacutea que pueda utilizarse para ello
bull Indirecta Cuando el Responsable obtienen los DP sin que el titular se los hayaproporcionado de forma personal o directa como podriacutea ser a traveacutes de transferencias ofuentes de acceso puacuteblico (medios expresamente definidos para hacer de conocimiento delpuacuteblico en general los datos que contiene ej paacutegina de Internet boletiacuten diario oficial entreotros)
14
Tratamiento de Datos Personales
15
Es la obtencioacuten
divulgacioacuten uso o
almacenamiento de
datos personales por
cualquier medio
El uso abarca cualquier
accioacuten de acceso
manejo aprovecha-
miento transferencia o
disposicioacuten de datos
personales
16
Datos de identificacioacuten
Datos de contacto
Datos laborales
Datos sobre caracteriacutesticas fiacutesicas
Datos acadeacutemicos
Datos patrimoniales o financieros
17
Datos biomeacutetricos
Datos ideoloacutegicos
Datos sobre opiniones poliacuteticas
Datos sobre afiliacioacuten sindical
Datos de vida sexual
Datos de Salud
Datos de origen eacutetnico o racial
IMPORTANTE Las caracteriacutesticas de los datos personales y datos personales
sensibles de este documento son soacutelo una orientacioacuten ya que el pleno del Ifai
no ha emitido criterios institucionales al respecto ademaacutes de que ciertos datos
personales que en un principio no se consideren sensibles podriacutean llegar a serlo
dependiendo del contexto en que se trate la informacioacuten
IV Designar un encargado
o departamento de Datos
Personales
18
Actores principalesResponsable
Es la persona fiacutesica o moral de caraacutecter privado que DECIDE
sobre el tratamiento de los DP es decir
bull Quien establece las finalidades del tratamiento o el uso que se
les daraacute
bull El tipo de datos que se requieren
bull A quieacuten y para queacute se comparten
bull Coacutemo se obtienen almacenan y suprimen y
bull En queacute casos se divulgaraacuten
EncargadoEs la persona fiacutesica o moral (Outsourcing) que trata los datospersonales a nombre y por cuenta del Responsable
bull El encargado NO DECIDE sobre el tratamiento de los datospersonales lo realiza siguiendo las instrucciones delResponsable
Tercerobull Es la persona fiacutesica o moral nacional o extranjera ajena a la
organizacioacuten distinta del responsable encargado o titular 19
iquestCoacutemo seleccionar al ldquoEncargado de
DPrdquoEs importante considerar
bull Tamantildeo y capacidad de la organizacioacuten
bull Tipo y volumen de datos obtenidos
bull Naturaleza e intensidad del tratamiento
bull Nivel de riesgo y confidencialidad
La persona o Departamento de DP ldquoEncargado de
DPrdquo debe
bull Atender las Solicitudes de Derechos ARCO
bull Fomentar la proteccioacuten de DP al interior del
negocioArt 30 de la LFPDPPP
Es indispensable que el Responsable formalice la
relacioacuten con el Encargado de DP mediante un
instrumento juriacutedico (contrato claacuteusulas contractuales
acuerdos o convenios) en el que se establezcan las
obligaciones de ambos en torno a la proteccioacuten de datos
personales
Oficial de
Proteccioacuten de DP
20
V Identificar
Transferencias
21
TransferenciasTransferencia de DP
bull La transferencia es la comunicacioacuten de datospersonales dentro o fuera del territorio nacionala persona distinta del titular del Responsable odel encargado
bull Formalizarla a traveacutes de instrumentojuriacutedico
bull Debe ser Informada al titular a traveacutes delAviso de Privacidad a quien se transfiereny para que fines
bull Limitarse a las finalidades notificadas en elAviso de Privacidad y consentidas por eltitular
bull Se podraacute realizar hasta que se hayaobtenido el consentimiento del titular salvolas excepciones marcadas en el Art 37 dela Ley
bull Los Receptores asumen las mismasobligaciones del Responsable sobre los datosrecibidos de acuerdo con el Aviso de privacidady Contrato firmado entre las partes
Encargado
Responsable
Tercero
Transferencia interna
ldquoRemisioacuten de DPrdquo
Transferencia a
terceros
Cuando esteacute previsto en una Ley o Tratado en el que Meacutexico sea parte para
la prevencioacuten o el diagnoacutestico meacutedico para el cumplimiento de una relacioacuten
juriacutedica o salvaguarda de un intereacutes puacuteblico o procuracioacuten de justicia
22
23
Si el Responsable se adhiere a la infraestructura los servicios
o aplicaciones el proveedor deberaacute cumplir con las siguientes
condiciones definidas en el Art 52 del Reglamento de la Ley de lo
contrario el Responsable NO podraacute adherirse
I Cumpla al menos con lo siguiente
a) Tener y aplicar poliacuteticas de Proteccioacuten de DP y
medidas de seguridad acorden a la LFPDPPP
b) Transparentar las subcontrataciones
c) Abstenerse de asumir la titularidad o
propiedad de la informacioacuten y guardar
confidencialidad
d) Garantizar la supresioacuten de los DP una vez que
haya concluido el servicio prestado al
Responsable
VI Principios y deberes
24
Cumplir con los
Principios y deberes
25
Licitud
Lealtad
Proporcionalidad
Calidad
Finalidad
Consentimiento
Informacioacuten
Responsabilidad
Licitud
Lealtad
Principios
26
bull Todo tratamiento de datos personales
debe ser con estricto apego y
cumplimiento a lo dispuesto por la
legislacioacuten mexicana y el derecho
internacional
bull El tratamiento de DP debe realizarse en
atencioacuten a lo acordado NO deben de
utilizarse medios engantildeosos o fraudu-
lentos para recabar y tratar DP
Licitud
Lealtad
Principios
27
Proporcionalidad
Calidad
bull Los DP tratados deben ser los miacutenimos
necesarios para el cumplimiento de la
finalidad para la cual se recabaron
bull El responsable deberaacute aplicar el Criterio
de minimizacioacuten
bull Los DP deben ser correctos exactos
completos pertinentes y actualizados de
acuerdo con la finalidad para la cual
fueron recabados
Principio finalidad
28
bull Dan origen y son necesarias
para la relacioacuten juriacutedica
bull Una relacioacuten juriacutedica debe estar
enmarcada por los siguientes
factores
bull Viacutenculo entre los sujetos
bull Dos o mas sujetos
bull Estar regulado por el derecho y
bull Producir consecuencias juriacutedicas
El tratamiento de DP debe ser soacutelo el necesario para cumplir con la
finalidad determinada y legiacutetima que se sentildealoacute en el aviso de privacidad
de manera clara y objetiva
bull Finalidades distintas a las quedieron origen a la relacioacuten juriacutedicao bien aquellas legalmentepermitidas o para las que elresponsable haya obtenido elconsentimientondash Mercadoloacutegicos publicitarias
ndash Promocionales comunicacioacutenprospeccioacuten referencia comercial
ndash Videografacioacuten y toma de fotigrafiacuteas
bull El titular puede oponerse altratamiento de sus datos paraestas finalidades y no seraacute motivopara negar el servicio solicitado
Primarias Secundarias
Principio Consentimientobull Facultad de las personas para decidir sobre el tratamiento de sus DP
el cual taacutecito expreso o expreso y por escrito debe ser libre especiacuteficoinformado e inequiacutevoco
bull Si una ley o reglamento en lo particular exige el consentimiento expreso oexpreso y por escrito para el tratamiento de DP el responsable deberaacutesolicitarlo de esa forma aunque no se trate de datos financierospatrimoniales o sensibles
Nota No es necesario solicitar el consentimiento cuando el tratamiento de los DP sea en cumplimientoa obligaciones derivado de una relacioacuten juriacutedica entre el titular y el Responsable
Tipo de Consentimiento
bull Taacutecito
bull Expreso
bull Expreso y por escrito
Para que tipo de datos se requiere
bull Para cualquier tipo de dato personal con excepcioacuten de los datos patrimoniales financieros y sensibles
bull Para datos financieros y patrimoniales
bull Para datos personales sensibles
29
Principio de Responsabilidad
30
bull Establecer Medidas de Seguridad administrativas fiacutesicas yo
teacutecnicas para la proteccioacuten de los DP mismas que deben ser
documentadas (acciones anaacutelisis de riesgo anaacutelisis de
brecha revisiones o auditoriacuteas capacitacioacuten entre otras)
Algunas medidas baacutesicas pueden ser
1 Elaborar Poliacuteticas de Proteccioacuten de DP al
interior del negocio que incluyan sistemas de
supervisioacuten y vigilancia
2 Brindar capacitacioacuten para la concientizacioacuten de
personal
3 Establecer procedimientos para atender las
dudas o quejas de los titulares
31
iquestQueacute es el Aviso de Privacidad
Es un documento fiacutesico electroacutenico visual sonoro
o en cualquier otro formato generado por el
responsable de manera sencilla con un lenguaje
claro y comprensible de aceurdo al perfil de los
titulares puesto a su disposicioacuten previo al
tratamiento de sus datos personales
Establecer los teacuterminos y condiciones generales del
tratamiento de los datos personales que recaba
El Responsable deberaacute tener el nuacutemero de avisos de
pivacidad que resulte necesario de acuerdo a los
tratamientos que realice a los DP
32
El aviso de privacidad debe estar disponible en alguno de los
siguientes soportes
Fiacutesico (en papel)
Electroacutenico (paacuteginas web correos electroacutenicos etc)
Visual ( pantalla de TV videos etc)
Sonoro (Grabaciones IVR etc)
En otros medios (prensa)
33
No usar frases inexactas ambiguas o vagas como ldquoentre
otrosrdquo ldquocomo por ejemplordquo ldquoDe manera enunciativa maacutes no
limitativardquo
No incluir textos o frases que induzcan al titular de manera
engantildeosa o fraudulenta (ejemplo ldquoLe recomendamos que
nos autorice el uso de su informacioacuten personal sin restriccioacuten
alguna para ser maacutes eficiente nuestro trabajordquo
No remitir al titular a textos o documentos que no esteacuten
disponibes (links disponibles)
No incluir casillas u otros mecanismos similares que esteacuten
marcados previamente que obliguen a los titulares a
desmarcarlos para modificar la condicioacuten previamente
establecida
34
35
Ejemplo AP
36
Modalidades
del Aviso de
Privacidad
Integral
Simplificado
Corto
Cuando los datos se obtengan
personalmente del titular
(entrevista)
Cuando se obtienen de manera
directa (contacto paacuteg web ndash viacutea
telefoacutenica)
Cuando el espacio para dar a
conocer el aviso sea limitado
(correo formatos SMS etc)
Nota De acuerdo al tipo de DP que se recabe se deberaacute solicitar el
consentimiento correspondiente
37
ldquoObligacioacuten de guardar secreto de
los datos persnales que son
tratadosrdquo
El Responsable debe adoptar medidas para
evitar que quienes tengan acceso a eacutestos
divulguen dicha informacioacuten
Se debe cumplir aun una vez que finalice la
relacioacuten contractual o laboral entre el
responsable y quien tenga accesos a los
datos personales para el desarrollo de las
tareas o funciones que se le hubiern
encomendado
38
Establecer Medidas de seguridad administrativas fiacutesicas y teacutecnicas para la
proteger los DP mismas que deben ser documentadas (acciones anaacutelisis de
riesgo anaacutelisis de brecha revisiones o auditoriacuteas capacitacioacuten entre otras)
39
Peacuterdida destruccioacuten robo
extraviacuteo copia uso
acceso tratamiento dantildeo
alteracioacuten o modificacioacuten
NO AUTORIZADO
Si hay vulneracioacuten que impacte los derechos patrimoniales o
morales de los titulares se deberaacuten tomar acciones e informar a
los titulares sin dilacioacuten con el fin de que eacutestos tomen las medidas
pertinentes
VII Derechos ARCO y la
Proteccioacuten de Derechos
40
41
Cada uno de nosotros como titulares de los DP o en su caso nuestro
representante legal podremos ejercer cualquiera de los derechos ARCO ante
las empresas que los tengan en sus bases de datos
42
Mecanismos para que los ciudadanos podamos limitar el
uso de nuestros datos personales para fines comerciales
(liacuteneas telefoacutenicas particulares o moviles asiacute como sus
correos electroacutenicos domicilios y nombres)
Estas pueden ser propios o de organismos como la
PROFECO y la CONDUSEF que ya han creado estas
listas para registro opcional de los ciudadanos
REPEP (Registro Puacuteblico para Evitar Publicidad y
REUNS (Registro Puacuteblico de Usuarios que no desean
informacioacuten publicitaria de Productos y Servicios
Financieros)
Las empresas que realizan actividades de promocioacuten
deberaacuten previamente validar la existencia de los datos de
sus prospectos en estas listas para no incurrir en una
violacioacuten a la privacidad de los mismos
43
La empresa debe designar una persona
o un departamento interno para atender
las solicitudes de los Titulares de los
Datos a traveacutes del Ejercicio de sus
derechos ARCO
El Reglamento yo su encargado definen
su proceso interno medios y
procedimientos para la recepcioacuten
atencioacuten y resolucioacuten de las Solicitudes
de Derechos ARCO
El Ejercicio de los derechos debe ser
gratuito soacutelo en caso de reproduccioacuten o
enviacuteo el titular pagara los costos
correspondientes
44
El Titular Entrega solicitud de Derechos ARCO en
2 tantos que incluyen
bull Identificacioacuten oficial
bull Datos de localizacioacuten para
mantener la comunicacioacuten yo enviar
notificaciones
bull Documentacioacuten que ayude a su aacutegil
localizacioacuten o para demostrar la
correccioacuten o cambio solicitado
Espera 20 diacuteas la resolucioacuten ldquoprocede o
nordquo su solicitud
Espera 15 diacuteas maacutes aplicacioacuten de
resolucioacuten
45
El Departamento yo Encargado
de DP Entregar explicar yo recibir la solicitud de
Derechos ARCO en 2 tantos
bull Sellar la recepcioacuten con fecha y firma de
quien la recibe
bull Revisar y realizar el anaacutelisis de
procedencia de la solicitud (20 diacuteas
haacutebiles)
bull Notificar al titular la resolucioacuten proceda o
no
bull Aplicar resolucioacuten (15 diacuteas haacutebiles)
Nota El Responsible puede si asiacute se requiere y justifica incrementar el
plazo por uacutenica ocasioacuten por los mismos plazos descritos en cada
proceso previa notificacioacuten al titular
46
El titular o su representante legal no se
acrediten debidamente
No se encuentren los datos personales
en su base (s) de datos
Se lesionen derechos de terceros
La rectificacioacuten cancelacioacuten u oposicioacuten
hayan sido solicitadas preaviamente
Exista impedimento legal o resolucioacuten de
las autoridades que restrinja el ejercicio
de estos derechos
El Responsable podraacute negar el ejercicio
de los Derechos ARCO cuando
VIII Proteccioacuten de Derechos
ante el Ifai
47
48
Expresar claramente el
contenido de su
reclamacioacuten
Presentar el
documento que pruebe
la fecha en que
presentoacute la solicitud de
Derechos ARCO
bull Por escrito libre o a traveacutes de los
formatos establecidos por el IFAI
bull Sistema electroacutenico
bull En el domicilio del Instituto u oficina habilitada
bull Por correo certificado con acuse de recibo
El titular o su representante legal presenta su solicitud de proteccioacuten de derechos ante
el IFAI
Estaacute inconforme con la
respuesta
Dentro de los 15 diacuteas siguientes a la fecha en
que se comunique la respuesta
No recibioacute respuesta
Dentro de los 15 diacuteas a partir de que haya vencido el plazo de
respuesta
El TitularPlazos
Podraacute interponerse
IX Sanciones e Infracciones
49
50
El Salario miacutenimo vigente en el DF para 2014 es
Salario Miacutenimo ZonaAacuterea geograacutefica A 6729 pesos diarios
Fuente httpsalariominimocommxsalario-minimo-2014
DSMV DF Diacuteas de Salario Miacutenimo vigente en el Distrito Federal
No dar atencioacuten a las solicitudes ARCO
El apercibimiento para que el
responsable lleve a cabo los actos solicitados por el
titular
Omitir el aviso mantener DP
inexactos negar la existencia de DP con
dolo
Multa de 100 a 160000 VSM DF
De $6230 a $9972800
Incumplir deber de confidencialidad
cambiar la finalidad o realizar transferencias sin dar aviso de ello o vulnerar la seguridad de las bases de datos
Multa de 200 a 320000 VSM DF
De $12466 a $19945600
51
Trataacutendose de datos
personales sensibles
Provocar una vulneracioacuten de
seguridad a las bases de
datos bajo su custodia
3 meses a 3 antildeos
Tratamiento de DP
mediante el engantildeo
aprovechaacutendose del error
del titular o del
responsable
6 meses a 5 antildeos
Penas
anteriores
Delitos llevados
a cabo con
aacutenimo de lucro
Delito Prisioacuten
52
53
Beatriz Vargas
Director Comercial
beatrizvbsconsultingcommx
Tel 6380 5705 Cel 551071 9446
Ricardo Rangel
Director de Proyectos Estraacutetegicos
ricardorbsconsultingcommx
Tel 6380 5705 Cel 554453 4778
wwwBSConsultingcommx
bull A partir del 6 de enero de 2012 los clientes
pueden ejercer sus Derechos ARCO
(acceso rectificacioacuten cancelacioacuten y
oposicioacuten)
bull Los ciudadanos ldquotitularesrdquo a partir del 6 de
febrero de 2012 pueden ejercer su derecho
a la proteccioacuten de datos personales ante el
IFAI
bull Lineamientos para el Aviso de Privacidad
Integral debe contar con 12 elementos
informativos baacutesicos a partir del 17 de abril
de 2013
bull La creacioacuten administracioacuten y uso de bases
de datos deben contar con procesos y
medidas de seguridad documentadas a
partir del 22 de junio de 2013 7
iquestCuaacutel es el aacutembito de aplicacioacuten de
la Ley
8
Ley Federal de Proteccioacuten de
Datos Personales en
Posesioacuten de los Particulares
- Orden puacuteblico y- Observancia general
- Federal
Proteccioacuten de datos personales en
posesioacuten de los particulares
Regular el tratamiento- Legiacutetimo
- Controlado- Informado
Naturaleza y aacutembito
de aplicacioacuten
Objeto
Finalidad
Sujetos ReguladosExcepcionesbull Sociedades de Informacioacuten
Crediticia
bull Personas fiacutesicas que traten
datos personales para su
uso personal y familiar
bull Personas Fiacutesicas y
Morales de caraacutecter
privado que recaban
datos personales
9
iquestQuieacuten es la entidad responsable
del cumplimiento de esta Ley
bull El Instituto Federal de Acceso a la
Informacioacuten y Proteccioacuten de Datos es
la entidad encargada de difundir y
promover el ejercicio del derecho a la
proteccioacuten de Datos Personales a la
sociedad mexicana y garantizar el
cumplimiento de la Ley
bull Estaacute facultado para imponer infracciones
y sanciones a quienes hagan uso
indebido de los datos personales 10
III Conceptos baacutesicos
11
Conceptos baacutesicos
iquestCuaacutel es un dato sensiblebull Son datos personales que
afectan la esfera maacutes iacutentima de
su titular o cuya utilizacioacuten
indebida pueda dar origen o
conlleve un riesgo grave para
eacuteste
iquestQueacute es un dato personalbull Es cualquier informacioacuten concer-
niente a una persona fiacutesica
ldquotitularrdquo que la identifica o la hace
identificable
12
Conceptos baacutesicos
bull Soporte fiacutesico (inteligible a
simple vista)
bull Soporte electroacutenico (se
requiere de un aparato con
circuitos electroacutenicos que
procese su contenido)
Medios de almacenamiento
bull Bases de Datos Pueden serexpresados en forma
bull Numeacuterica
bull Alfanumeacuterica
bull Graacutefica
bull Fotograacutefica
bull Acuacutestica
bull Cualquier otro tipo detecnologiacutea disponible en elmercado
13
Obtencioacuten de datos
Medios para recabar datos personales (DP)
Los datos pueden obtenerse de 3 formas
bull Personalmente Cuando el titular yo representante legal proporciona los DP alresponsable ldquopresencia fiacutesica de ambosrdquo
bull Directa Cuando el titular proporciona los DP por alguacuten medio que permite su entregadirecta al responsable entre ellos medios electroacutenicos sonoros oacutepticos visuales ocualquier otra tecnologiacutea que pueda utilizarse para ello
bull Indirecta Cuando el Responsable obtienen los DP sin que el titular se los hayaproporcionado de forma personal o directa como podriacutea ser a traveacutes de transferencias ofuentes de acceso puacuteblico (medios expresamente definidos para hacer de conocimiento delpuacuteblico en general los datos que contiene ej paacutegina de Internet boletiacuten diario oficial entreotros)
14
Tratamiento de Datos Personales
15
Es la obtencioacuten
divulgacioacuten uso o
almacenamiento de
datos personales por
cualquier medio
El uso abarca cualquier
accioacuten de acceso
manejo aprovecha-
miento transferencia o
disposicioacuten de datos
personales
16
Datos de identificacioacuten
Datos de contacto
Datos laborales
Datos sobre caracteriacutesticas fiacutesicas
Datos acadeacutemicos
Datos patrimoniales o financieros
17
Datos biomeacutetricos
Datos ideoloacutegicos
Datos sobre opiniones poliacuteticas
Datos sobre afiliacioacuten sindical
Datos de vida sexual
Datos de Salud
Datos de origen eacutetnico o racial
IMPORTANTE Las caracteriacutesticas de los datos personales y datos personales
sensibles de este documento son soacutelo una orientacioacuten ya que el pleno del Ifai
no ha emitido criterios institucionales al respecto ademaacutes de que ciertos datos
personales que en un principio no se consideren sensibles podriacutean llegar a serlo
dependiendo del contexto en que se trate la informacioacuten
IV Designar un encargado
o departamento de Datos
Personales
18
Actores principalesResponsable
Es la persona fiacutesica o moral de caraacutecter privado que DECIDE
sobre el tratamiento de los DP es decir
bull Quien establece las finalidades del tratamiento o el uso que se
les daraacute
bull El tipo de datos que se requieren
bull A quieacuten y para queacute se comparten
bull Coacutemo se obtienen almacenan y suprimen y
bull En queacute casos se divulgaraacuten
EncargadoEs la persona fiacutesica o moral (Outsourcing) que trata los datospersonales a nombre y por cuenta del Responsable
bull El encargado NO DECIDE sobre el tratamiento de los datospersonales lo realiza siguiendo las instrucciones delResponsable
Tercerobull Es la persona fiacutesica o moral nacional o extranjera ajena a la
organizacioacuten distinta del responsable encargado o titular 19
iquestCoacutemo seleccionar al ldquoEncargado de
DPrdquoEs importante considerar
bull Tamantildeo y capacidad de la organizacioacuten
bull Tipo y volumen de datos obtenidos
bull Naturaleza e intensidad del tratamiento
bull Nivel de riesgo y confidencialidad
La persona o Departamento de DP ldquoEncargado de
DPrdquo debe
bull Atender las Solicitudes de Derechos ARCO
bull Fomentar la proteccioacuten de DP al interior del
negocioArt 30 de la LFPDPPP
Es indispensable que el Responsable formalice la
relacioacuten con el Encargado de DP mediante un
instrumento juriacutedico (contrato claacuteusulas contractuales
acuerdos o convenios) en el que se establezcan las
obligaciones de ambos en torno a la proteccioacuten de datos
personales
Oficial de
Proteccioacuten de DP
20
V Identificar
Transferencias
21
TransferenciasTransferencia de DP
bull La transferencia es la comunicacioacuten de datospersonales dentro o fuera del territorio nacionala persona distinta del titular del Responsable odel encargado
bull Formalizarla a traveacutes de instrumentojuriacutedico
bull Debe ser Informada al titular a traveacutes delAviso de Privacidad a quien se transfiereny para que fines
bull Limitarse a las finalidades notificadas en elAviso de Privacidad y consentidas por eltitular
bull Se podraacute realizar hasta que se hayaobtenido el consentimiento del titular salvolas excepciones marcadas en el Art 37 dela Ley
bull Los Receptores asumen las mismasobligaciones del Responsable sobre los datosrecibidos de acuerdo con el Aviso de privacidady Contrato firmado entre las partes
Encargado
Responsable
Tercero
Transferencia interna
ldquoRemisioacuten de DPrdquo
Transferencia a
terceros
Cuando esteacute previsto en una Ley o Tratado en el que Meacutexico sea parte para
la prevencioacuten o el diagnoacutestico meacutedico para el cumplimiento de una relacioacuten
juriacutedica o salvaguarda de un intereacutes puacuteblico o procuracioacuten de justicia
22
23
Si el Responsable se adhiere a la infraestructura los servicios
o aplicaciones el proveedor deberaacute cumplir con las siguientes
condiciones definidas en el Art 52 del Reglamento de la Ley de lo
contrario el Responsable NO podraacute adherirse
I Cumpla al menos con lo siguiente
a) Tener y aplicar poliacuteticas de Proteccioacuten de DP y
medidas de seguridad acorden a la LFPDPPP
b) Transparentar las subcontrataciones
c) Abstenerse de asumir la titularidad o
propiedad de la informacioacuten y guardar
confidencialidad
d) Garantizar la supresioacuten de los DP una vez que
haya concluido el servicio prestado al
Responsable
VI Principios y deberes
24
Cumplir con los
Principios y deberes
25
Licitud
Lealtad
Proporcionalidad
Calidad
Finalidad
Consentimiento
Informacioacuten
Responsabilidad
Licitud
Lealtad
Principios
26
bull Todo tratamiento de datos personales
debe ser con estricto apego y
cumplimiento a lo dispuesto por la
legislacioacuten mexicana y el derecho
internacional
bull El tratamiento de DP debe realizarse en
atencioacuten a lo acordado NO deben de
utilizarse medios engantildeosos o fraudu-
lentos para recabar y tratar DP
Licitud
Lealtad
Principios
27
Proporcionalidad
Calidad
bull Los DP tratados deben ser los miacutenimos
necesarios para el cumplimiento de la
finalidad para la cual se recabaron
bull El responsable deberaacute aplicar el Criterio
de minimizacioacuten
bull Los DP deben ser correctos exactos
completos pertinentes y actualizados de
acuerdo con la finalidad para la cual
fueron recabados
Principio finalidad
28
bull Dan origen y son necesarias
para la relacioacuten juriacutedica
bull Una relacioacuten juriacutedica debe estar
enmarcada por los siguientes
factores
bull Viacutenculo entre los sujetos
bull Dos o mas sujetos
bull Estar regulado por el derecho y
bull Producir consecuencias juriacutedicas
El tratamiento de DP debe ser soacutelo el necesario para cumplir con la
finalidad determinada y legiacutetima que se sentildealoacute en el aviso de privacidad
de manera clara y objetiva
bull Finalidades distintas a las quedieron origen a la relacioacuten juriacutedicao bien aquellas legalmentepermitidas o para las que elresponsable haya obtenido elconsentimientondash Mercadoloacutegicos publicitarias
ndash Promocionales comunicacioacutenprospeccioacuten referencia comercial
ndash Videografacioacuten y toma de fotigrafiacuteas
bull El titular puede oponerse altratamiento de sus datos paraestas finalidades y no seraacute motivopara negar el servicio solicitado
Primarias Secundarias
Principio Consentimientobull Facultad de las personas para decidir sobre el tratamiento de sus DP
el cual taacutecito expreso o expreso y por escrito debe ser libre especiacuteficoinformado e inequiacutevoco
bull Si una ley o reglamento en lo particular exige el consentimiento expreso oexpreso y por escrito para el tratamiento de DP el responsable deberaacutesolicitarlo de esa forma aunque no se trate de datos financierospatrimoniales o sensibles
Nota No es necesario solicitar el consentimiento cuando el tratamiento de los DP sea en cumplimientoa obligaciones derivado de una relacioacuten juriacutedica entre el titular y el Responsable
Tipo de Consentimiento
bull Taacutecito
bull Expreso
bull Expreso y por escrito
Para que tipo de datos se requiere
bull Para cualquier tipo de dato personal con excepcioacuten de los datos patrimoniales financieros y sensibles
bull Para datos financieros y patrimoniales
bull Para datos personales sensibles
29
Principio de Responsabilidad
30
bull Establecer Medidas de Seguridad administrativas fiacutesicas yo
teacutecnicas para la proteccioacuten de los DP mismas que deben ser
documentadas (acciones anaacutelisis de riesgo anaacutelisis de
brecha revisiones o auditoriacuteas capacitacioacuten entre otras)
Algunas medidas baacutesicas pueden ser
1 Elaborar Poliacuteticas de Proteccioacuten de DP al
interior del negocio que incluyan sistemas de
supervisioacuten y vigilancia
2 Brindar capacitacioacuten para la concientizacioacuten de
personal
3 Establecer procedimientos para atender las
dudas o quejas de los titulares
31
iquestQueacute es el Aviso de Privacidad
Es un documento fiacutesico electroacutenico visual sonoro
o en cualquier otro formato generado por el
responsable de manera sencilla con un lenguaje
claro y comprensible de aceurdo al perfil de los
titulares puesto a su disposicioacuten previo al
tratamiento de sus datos personales
Establecer los teacuterminos y condiciones generales del
tratamiento de los datos personales que recaba
El Responsable deberaacute tener el nuacutemero de avisos de
pivacidad que resulte necesario de acuerdo a los
tratamientos que realice a los DP
32
El aviso de privacidad debe estar disponible en alguno de los
siguientes soportes
Fiacutesico (en papel)
Electroacutenico (paacuteginas web correos electroacutenicos etc)
Visual ( pantalla de TV videos etc)
Sonoro (Grabaciones IVR etc)
En otros medios (prensa)
33
No usar frases inexactas ambiguas o vagas como ldquoentre
otrosrdquo ldquocomo por ejemplordquo ldquoDe manera enunciativa maacutes no
limitativardquo
No incluir textos o frases que induzcan al titular de manera
engantildeosa o fraudulenta (ejemplo ldquoLe recomendamos que
nos autorice el uso de su informacioacuten personal sin restriccioacuten
alguna para ser maacutes eficiente nuestro trabajordquo
No remitir al titular a textos o documentos que no esteacuten
disponibes (links disponibles)
No incluir casillas u otros mecanismos similares que esteacuten
marcados previamente que obliguen a los titulares a
desmarcarlos para modificar la condicioacuten previamente
establecida
34
35
Ejemplo AP
36
Modalidades
del Aviso de
Privacidad
Integral
Simplificado
Corto
Cuando los datos se obtengan
personalmente del titular
(entrevista)
Cuando se obtienen de manera
directa (contacto paacuteg web ndash viacutea
telefoacutenica)
Cuando el espacio para dar a
conocer el aviso sea limitado
(correo formatos SMS etc)
Nota De acuerdo al tipo de DP que se recabe se deberaacute solicitar el
consentimiento correspondiente
37
ldquoObligacioacuten de guardar secreto de
los datos persnales que son
tratadosrdquo
El Responsable debe adoptar medidas para
evitar que quienes tengan acceso a eacutestos
divulguen dicha informacioacuten
Se debe cumplir aun una vez que finalice la
relacioacuten contractual o laboral entre el
responsable y quien tenga accesos a los
datos personales para el desarrollo de las
tareas o funciones que se le hubiern
encomendado
38
Establecer Medidas de seguridad administrativas fiacutesicas y teacutecnicas para la
proteger los DP mismas que deben ser documentadas (acciones anaacutelisis de
riesgo anaacutelisis de brecha revisiones o auditoriacuteas capacitacioacuten entre otras)
39
Peacuterdida destruccioacuten robo
extraviacuteo copia uso
acceso tratamiento dantildeo
alteracioacuten o modificacioacuten
NO AUTORIZADO
Si hay vulneracioacuten que impacte los derechos patrimoniales o
morales de los titulares se deberaacuten tomar acciones e informar a
los titulares sin dilacioacuten con el fin de que eacutestos tomen las medidas
pertinentes
VII Derechos ARCO y la
Proteccioacuten de Derechos
40
41
Cada uno de nosotros como titulares de los DP o en su caso nuestro
representante legal podremos ejercer cualquiera de los derechos ARCO ante
las empresas que los tengan en sus bases de datos
42
Mecanismos para que los ciudadanos podamos limitar el
uso de nuestros datos personales para fines comerciales
(liacuteneas telefoacutenicas particulares o moviles asiacute como sus
correos electroacutenicos domicilios y nombres)
Estas pueden ser propios o de organismos como la
PROFECO y la CONDUSEF que ya han creado estas
listas para registro opcional de los ciudadanos
REPEP (Registro Puacuteblico para Evitar Publicidad y
REUNS (Registro Puacuteblico de Usuarios que no desean
informacioacuten publicitaria de Productos y Servicios
Financieros)
Las empresas que realizan actividades de promocioacuten
deberaacuten previamente validar la existencia de los datos de
sus prospectos en estas listas para no incurrir en una
violacioacuten a la privacidad de los mismos
43
La empresa debe designar una persona
o un departamento interno para atender
las solicitudes de los Titulares de los
Datos a traveacutes del Ejercicio de sus
derechos ARCO
El Reglamento yo su encargado definen
su proceso interno medios y
procedimientos para la recepcioacuten
atencioacuten y resolucioacuten de las Solicitudes
de Derechos ARCO
El Ejercicio de los derechos debe ser
gratuito soacutelo en caso de reproduccioacuten o
enviacuteo el titular pagara los costos
correspondientes
44
El Titular Entrega solicitud de Derechos ARCO en
2 tantos que incluyen
bull Identificacioacuten oficial
bull Datos de localizacioacuten para
mantener la comunicacioacuten yo enviar
notificaciones
bull Documentacioacuten que ayude a su aacutegil
localizacioacuten o para demostrar la
correccioacuten o cambio solicitado
Espera 20 diacuteas la resolucioacuten ldquoprocede o
nordquo su solicitud
Espera 15 diacuteas maacutes aplicacioacuten de
resolucioacuten
45
El Departamento yo Encargado
de DP Entregar explicar yo recibir la solicitud de
Derechos ARCO en 2 tantos
bull Sellar la recepcioacuten con fecha y firma de
quien la recibe
bull Revisar y realizar el anaacutelisis de
procedencia de la solicitud (20 diacuteas
haacutebiles)
bull Notificar al titular la resolucioacuten proceda o
no
bull Aplicar resolucioacuten (15 diacuteas haacutebiles)
Nota El Responsible puede si asiacute se requiere y justifica incrementar el
plazo por uacutenica ocasioacuten por los mismos plazos descritos en cada
proceso previa notificacioacuten al titular
46
El titular o su representante legal no se
acrediten debidamente
No se encuentren los datos personales
en su base (s) de datos
Se lesionen derechos de terceros
La rectificacioacuten cancelacioacuten u oposicioacuten
hayan sido solicitadas preaviamente
Exista impedimento legal o resolucioacuten de
las autoridades que restrinja el ejercicio
de estos derechos
El Responsable podraacute negar el ejercicio
de los Derechos ARCO cuando
VIII Proteccioacuten de Derechos
ante el Ifai
47
48
Expresar claramente el
contenido de su
reclamacioacuten
Presentar el
documento que pruebe
la fecha en que
presentoacute la solicitud de
Derechos ARCO
bull Por escrito libre o a traveacutes de los
formatos establecidos por el IFAI
bull Sistema electroacutenico
bull En el domicilio del Instituto u oficina habilitada
bull Por correo certificado con acuse de recibo
El titular o su representante legal presenta su solicitud de proteccioacuten de derechos ante
el IFAI
Estaacute inconforme con la
respuesta
Dentro de los 15 diacuteas siguientes a la fecha en
que se comunique la respuesta
No recibioacute respuesta
Dentro de los 15 diacuteas a partir de que haya vencido el plazo de
respuesta
El TitularPlazos
Podraacute interponerse
IX Sanciones e Infracciones
49
50
El Salario miacutenimo vigente en el DF para 2014 es
Salario Miacutenimo ZonaAacuterea geograacutefica A 6729 pesos diarios
Fuente httpsalariominimocommxsalario-minimo-2014
DSMV DF Diacuteas de Salario Miacutenimo vigente en el Distrito Federal
No dar atencioacuten a las solicitudes ARCO
El apercibimiento para que el
responsable lleve a cabo los actos solicitados por el
titular
Omitir el aviso mantener DP
inexactos negar la existencia de DP con
dolo
Multa de 100 a 160000 VSM DF
De $6230 a $9972800
Incumplir deber de confidencialidad
cambiar la finalidad o realizar transferencias sin dar aviso de ello o vulnerar la seguridad de las bases de datos
Multa de 200 a 320000 VSM DF
De $12466 a $19945600
51
Trataacutendose de datos
personales sensibles
Provocar una vulneracioacuten de
seguridad a las bases de
datos bajo su custodia
3 meses a 3 antildeos
Tratamiento de DP
mediante el engantildeo
aprovechaacutendose del error
del titular o del
responsable
6 meses a 5 antildeos
Penas
anteriores
Delitos llevados
a cabo con
aacutenimo de lucro
Delito Prisioacuten
52
53
Beatriz Vargas
Director Comercial
beatrizvbsconsultingcommx
Tel 6380 5705 Cel 551071 9446
Ricardo Rangel
Director de Proyectos Estraacutetegicos
ricardorbsconsultingcommx
Tel 6380 5705 Cel 554453 4778
wwwBSConsultingcommx
iquestCuaacutel es el aacutembito de aplicacioacuten de
la Ley
8
Ley Federal de Proteccioacuten de
Datos Personales en
Posesioacuten de los Particulares
- Orden puacuteblico y- Observancia general
- Federal
Proteccioacuten de datos personales en
posesioacuten de los particulares
Regular el tratamiento- Legiacutetimo
- Controlado- Informado
Naturaleza y aacutembito
de aplicacioacuten
Objeto
Finalidad
Sujetos ReguladosExcepcionesbull Sociedades de Informacioacuten
Crediticia
bull Personas fiacutesicas que traten
datos personales para su
uso personal y familiar
bull Personas Fiacutesicas y
Morales de caraacutecter
privado que recaban
datos personales
9
iquestQuieacuten es la entidad responsable
del cumplimiento de esta Ley
bull El Instituto Federal de Acceso a la
Informacioacuten y Proteccioacuten de Datos es
la entidad encargada de difundir y
promover el ejercicio del derecho a la
proteccioacuten de Datos Personales a la
sociedad mexicana y garantizar el
cumplimiento de la Ley
bull Estaacute facultado para imponer infracciones
y sanciones a quienes hagan uso
indebido de los datos personales 10
III Conceptos baacutesicos
11
Conceptos baacutesicos
iquestCuaacutel es un dato sensiblebull Son datos personales que
afectan la esfera maacutes iacutentima de
su titular o cuya utilizacioacuten
indebida pueda dar origen o
conlleve un riesgo grave para
eacuteste
iquestQueacute es un dato personalbull Es cualquier informacioacuten concer-
niente a una persona fiacutesica
ldquotitularrdquo que la identifica o la hace
identificable
12
Conceptos baacutesicos
bull Soporte fiacutesico (inteligible a
simple vista)
bull Soporte electroacutenico (se
requiere de un aparato con
circuitos electroacutenicos que
procese su contenido)
Medios de almacenamiento
bull Bases de Datos Pueden serexpresados en forma
bull Numeacuterica
bull Alfanumeacuterica
bull Graacutefica
bull Fotograacutefica
bull Acuacutestica
bull Cualquier otro tipo detecnologiacutea disponible en elmercado
13
Obtencioacuten de datos
Medios para recabar datos personales (DP)
Los datos pueden obtenerse de 3 formas
bull Personalmente Cuando el titular yo representante legal proporciona los DP alresponsable ldquopresencia fiacutesica de ambosrdquo
bull Directa Cuando el titular proporciona los DP por alguacuten medio que permite su entregadirecta al responsable entre ellos medios electroacutenicos sonoros oacutepticos visuales ocualquier otra tecnologiacutea que pueda utilizarse para ello
bull Indirecta Cuando el Responsable obtienen los DP sin que el titular se los hayaproporcionado de forma personal o directa como podriacutea ser a traveacutes de transferencias ofuentes de acceso puacuteblico (medios expresamente definidos para hacer de conocimiento delpuacuteblico en general los datos que contiene ej paacutegina de Internet boletiacuten diario oficial entreotros)
14
Tratamiento de Datos Personales
15
Es la obtencioacuten
divulgacioacuten uso o
almacenamiento de
datos personales por
cualquier medio
El uso abarca cualquier
accioacuten de acceso
manejo aprovecha-
miento transferencia o
disposicioacuten de datos
personales
16
Datos de identificacioacuten
Datos de contacto
Datos laborales
Datos sobre caracteriacutesticas fiacutesicas
Datos acadeacutemicos
Datos patrimoniales o financieros
17
Datos biomeacutetricos
Datos ideoloacutegicos
Datos sobre opiniones poliacuteticas
Datos sobre afiliacioacuten sindical
Datos de vida sexual
Datos de Salud
Datos de origen eacutetnico o racial
IMPORTANTE Las caracteriacutesticas de los datos personales y datos personales
sensibles de este documento son soacutelo una orientacioacuten ya que el pleno del Ifai
no ha emitido criterios institucionales al respecto ademaacutes de que ciertos datos
personales que en un principio no se consideren sensibles podriacutean llegar a serlo
dependiendo del contexto en que se trate la informacioacuten
IV Designar un encargado
o departamento de Datos
Personales
18
Actores principalesResponsable
Es la persona fiacutesica o moral de caraacutecter privado que DECIDE
sobre el tratamiento de los DP es decir
bull Quien establece las finalidades del tratamiento o el uso que se
les daraacute
bull El tipo de datos que se requieren
bull A quieacuten y para queacute se comparten
bull Coacutemo se obtienen almacenan y suprimen y
bull En queacute casos se divulgaraacuten
EncargadoEs la persona fiacutesica o moral (Outsourcing) que trata los datospersonales a nombre y por cuenta del Responsable
bull El encargado NO DECIDE sobre el tratamiento de los datospersonales lo realiza siguiendo las instrucciones delResponsable
Tercerobull Es la persona fiacutesica o moral nacional o extranjera ajena a la
organizacioacuten distinta del responsable encargado o titular 19
iquestCoacutemo seleccionar al ldquoEncargado de
DPrdquoEs importante considerar
bull Tamantildeo y capacidad de la organizacioacuten
bull Tipo y volumen de datos obtenidos
bull Naturaleza e intensidad del tratamiento
bull Nivel de riesgo y confidencialidad
La persona o Departamento de DP ldquoEncargado de
DPrdquo debe
bull Atender las Solicitudes de Derechos ARCO
bull Fomentar la proteccioacuten de DP al interior del
negocioArt 30 de la LFPDPPP
Es indispensable que el Responsable formalice la
relacioacuten con el Encargado de DP mediante un
instrumento juriacutedico (contrato claacuteusulas contractuales
acuerdos o convenios) en el que se establezcan las
obligaciones de ambos en torno a la proteccioacuten de datos
personales
Oficial de
Proteccioacuten de DP
20
V Identificar
Transferencias
21
TransferenciasTransferencia de DP
bull La transferencia es la comunicacioacuten de datospersonales dentro o fuera del territorio nacionala persona distinta del titular del Responsable odel encargado
bull Formalizarla a traveacutes de instrumentojuriacutedico
bull Debe ser Informada al titular a traveacutes delAviso de Privacidad a quien se transfiereny para que fines
bull Limitarse a las finalidades notificadas en elAviso de Privacidad y consentidas por eltitular
bull Se podraacute realizar hasta que se hayaobtenido el consentimiento del titular salvolas excepciones marcadas en el Art 37 dela Ley
bull Los Receptores asumen las mismasobligaciones del Responsable sobre los datosrecibidos de acuerdo con el Aviso de privacidady Contrato firmado entre las partes
Encargado
Responsable
Tercero
Transferencia interna
ldquoRemisioacuten de DPrdquo
Transferencia a
terceros
Cuando esteacute previsto en una Ley o Tratado en el que Meacutexico sea parte para
la prevencioacuten o el diagnoacutestico meacutedico para el cumplimiento de una relacioacuten
juriacutedica o salvaguarda de un intereacutes puacuteblico o procuracioacuten de justicia
22
23
Si el Responsable se adhiere a la infraestructura los servicios
o aplicaciones el proveedor deberaacute cumplir con las siguientes
condiciones definidas en el Art 52 del Reglamento de la Ley de lo
contrario el Responsable NO podraacute adherirse
I Cumpla al menos con lo siguiente
a) Tener y aplicar poliacuteticas de Proteccioacuten de DP y
medidas de seguridad acorden a la LFPDPPP
b) Transparentar las subcontrataciones
c) Abstenerse de asumir la titularidad o
propiedad de la informacioacuten y guardar
confidencialidad
d) Garantizar la supresioacuten de los DP una vez que
haya concluido el servicio prestado al
Responsable
VI Principios y deberes
24
Cumplir con los
Principios y deberes
25
Licitud
Lealtad
Proporcionalidad
Calidad
Finalidad
Consentimiento
Informacioacuten
Responsabilidad
Licitud
Lealtad
Principios
26
bull Todo tratamiento de datos personales
debe ser con estricto apego y
cumplimiento a lo dispuesto por la
legislacioacuten mexicana y el derecho
internacional
bull El tratamiento de DP debe realizarse en
atencioacuten a lo acordado NO deben de
utilizarse medios engantildeosos o fraudu-
lentos para recabar y tratar DP
Licitud
Lealtad
Principios
27
Proporcionalidad
Calidad
bull Los DP tratados deben ser los miacutenimos
necesarios para el cumplimiento de la
finalidad para la cual se recabaron
bull El responsable deberaacute aplicar el Criterio
de minimizacioacuten
bull Los DP deben ser correctos exactos
completos pertinentes y actualizados de
acuerdo con la finalidad para la cual
fueron recabados
Principio finalidad
28
bull Dan origen y son necesarias
para la relacioacuten juriacutedica
bull Una relacioacuten juriacutedica debe estar
enmarcada por los siguientes
factores
bull Viacutenculo entre los sujetos
bull Dos o mas sujetos
bull Estar regulado por el derecho y
bull Producir consecuencias juriacutedicas
El tratamiento de DP debe ser soacutelo el necesario para cumplir con la
finalidad determinada y legiacutetima que se sentildealoacute en el aviso de privacidad
de manera clara y objetiva
bull Finalidades distintas a las quedieron origen a la relacioacuten juriacutedicao bien aquellas legalmentepermitidas o para las que elresponsable haya obtenido elconsentimientondash Mercadoloacutegicos publicitarias
ndash Promocionales comunicacioacutenprospeccioacuten referencia comercial
ndash Videografacioacuten y toma de fotigrafiacuteas
bull El titular puede oponerse altratamiento de sus datos paraestas finalidades y no seraacute motivopara negar el servicio solicitado
Primarias Secundarias
Principio Consentimientobull Facultad de las personas para decidir sobre el tratamiento de sus DP
el cual taacutecito expreso o expreso y por escrito debe ser libre especiacuteficoinformado e inequiacutevoco
bull Si una ley o reglamento en lo particular exige el consentimiento expreso oexpreso y por escrito para el tratamiento de DP el responsable deberaacutesolicitarlo de esa forma aunque no se trate de datos financierospatrimoniales o sensibles
Nota No es necesario solicitar el consentimiento cuando el tratamiento de los DP sea en cumplimientoa obligaciones derivado de una relacioacuten juriacutedica entre el titular y el Responsable
Tipo de Consentimiento
bull Taacutecito
bull Expreso
bull Expreso y por escrito
Para que tipo de datos se requiere
bull Para cualquier tipo de dato personal con excepcioacuten de los datos patrimoniales financieros y sensibles
bull Para datos financieros y patrimoniales
bull Para datos personales sensibles
29
Principio de Responsabilidad
30
bull Establecer Medidas de Seguridad administrativas fiacutesicas yo
teacutecnicas para la proteccioacuten de los DP mismas que deben ser
documentadas (acciones anaacutelisis de riesgo anaacutelisis de
brecha revisiones o auditoriacuteas capacitacioacuten entre otras)
Algunas medidas baacutesicas pueden ser
1 Elaborar Poliacuteticas de Proteccioacuten de DP al
interior del negocio que incluyan sistemas de
supervisioacuten y vigilancia
2 Brindar capacitacioacuten para la concientizacioacuten de
personal
3 Establecer procedimientos para atender las
dudas o quejas de los titulares
31
iquestQueacute es el Aviso de Privacidad
Es un documento fiacutesico electroacutenico visual sonoro
o en cualquier otro formato generado por el
responsable de manera sencilla con un lenguaje
claro y comprensible de aceurdo al perfil de los
titulares puesto a su disposicioacuten previo al
tratamiento de sus datos personales
Establecer los teacuterminos y condiciones generales del
tratamiento de los datos personales que recaba
El Responsable deberaacute tener el nuacutemero de avisos de
pivacidad que resulte necesario de acuerdo a los
tratamientos que realice a los DP
32
El aviso de privacidad debe estar disponible en alguno de los
siguientes soportes
Fiacutesico (en papel)
Electroacutenico (paacuteginas web correos electroacutenicos etc)
Visual ( pantalla de TV videos etc)
Sonoro (Grabaciones IVR etc)
En otros medios (prensa)
33
No usar frases inexactas ambiguas o vagas como ldquoentre
otrosrdquo ldquocomo por ejemplordquo ldquoDe manera enunciativa maacutes no
limitativardquo
No incluir textos o frases que induzcan al titular de manera
engantildeosa o fraudulenta (ejemplo ldquoLe recomendamos que
nos autorice el uso de su informacioacuten personal sin restriccioacuten
alguna para ser maacutes eficiente nuestro trabajordquo
No remitir al titular a textos o documentos que no esteacuten
disponibes (links disponibles)
No incluir casillas u otros mecanismos similares que esteacuten
marcados previamente que obliguen a los titulares a
desmarcarlos para modificar la condicioacuten previamente
establecida
34
35
Ejemplo AP
36
Modalidades
del Aviso de
Privacidad
Integral
Simplificado
Corto
Cuando los datos se obtengan
personalmente del titular
(entrevista)
Cuando se obtienen de manera
directa (contacto paacuteg web ndash viacutea
telefoacutenica)
Cuando el espacio para dar a
conocer el aviso sea limitado
(correo formatos SMS etc)
Nota De acuerdo al tipo de DP que se recabe se deberaacute solicitar el
consentimiento correspondiente
37
ldquoObligacioacuten de guardar secreto de
los datos persnales que son
tratadosrdquo
El Responsable debe adoptar medidas para
evitar que quienes tengan acceso a eacutestos
divulguen dicha informacioacuten
Se debe cumplir aun una vez que finalice la
relacioacuten contractual o laboral entre el
responsable y quien tenga accesos a los
datos personales para el desarrollo de las
tareas o funciones que se le hubiern
encomendado
38
Establecer Medidas de seguridad administrativas fiacutesicas y teacutecnicas para la
proteger los DP mismas que deben ser documentadas (acciones anaacutelisis de
riesgo anaacutelisis de brecha revisiones o auditoriacuteas capacitacioacuten entre otras)
39
Peacuterdida destruccioacuten robo
extraviacuteo copia uso
acceso tratamiento dantildeo
alteracioacuten o modificacioacuten
NO AUTORIZADO
Si hay vulneracioacuten que impacte los derechos patrimoniales o
morales de los titulares se deberaacuten tomar acciones e informar a
los titulares sin dilacioacuten con el fin de que eacutestos tomen las medidas
pertinentes
VII Derechos ARCO y la
Proteccioacuten de Derechos
40
41
Cada uno de nosotros como titulares de los DP o en su caso nuestro
representante legal podremos ejercer cualquiera de los derechos ARCO ante
las empresas que los tengan en sus bases de datos
42
Mecanismos para que los ciudadanos podamos limitar el
uso de nuestros datos personales para fines comerciales
(liacuteneas telefoacutenicas particulares o moviles asiacute como sus
correos electroacutenicos domicilios y nombres)
Estas pueden ser propios o de organismos como la
PROFECO y la CONDUSEF que ya han creado estas
listas para registro opcional de los ciudadanos
REPEP (Registro Puacuteblico para Evitar Publicidad y
REUNS (Registro Puacuteblico de Usuarios que no desean
informacioacuten publicitaria de Productos y Servicios
Financieros)
Las empresas que realizan actividades de promocioacuten
deberaacuten previamente validar la existencia de los datos de
sus prospectos en estas listas para no incurrir en una
violacioacuten a la privacidad de los mismos
43
La empresa debe designar una persona
o un departamento interno para atender
las solicitudes de los Titulares de los
Datos a traveacutes del Ejercicio de sus
derechos ARCO
El Reglamento yo su encargado definen
su proceso interno medios y
procedimientos para la recepcioacuten
atencioacuten y resolucioacuten de las Solicitudes
de Derechos ARCO
El Ejercicio de los derechos debe ser
gratuito soacutelo en caso de reproduccioacuten o
enviacuteo el titular pagara los costos
correspondientes
44
El Titular Entrega solicitud de Derechos ARCO en
2 tantos que incluyen
bull Identificacioacuten oficial
bull Datos de localizacioacuten para
mantener la comunicacioacuten yo enviar
notificaciones
bull Documentacioacuten que ayude a su aacutegil
localizacioacuten o para demostrar la
correccioacuten o cambio solicitado
Espera 20 diacuteas la resolucioacuten ldquoprocede o
nordquo su solicitud
Espera 15 diacuteas maacutes aplicacioacuten de
resolucioacuten
45
El Departamento yo Encargado
de DP Entregar explicar yo recibir la solicitud de
Derechos ARCO en 2 tantos
bull Sellar la recepcioacuten con fecha y firma de
quien la recibe
bull Revisar y realizar el anaacutelisis de
procedencia de la solicitud (20 diacuteas
haacutebiles)
bull Notificar al titular la resolucioacuten proceda o
no
bull Aplicar resolucioacuten (15 diacuteas haacutebiles)
Nota El Responsible puede si asiacute se requiere y justifica incrementar el
plazo por uacutenica ocasioacuten por los mismos plazos descritos en cada
proceso previa notificacioacuten al titular
46
El titular o su representante legal no se
acrediten debidamente
No se encuentren los datos personales
en su base (s) de datos
Se lesionen derechos de terceros
La rectificacioacuten cancelacioacuten u oposicioacuten
hayan sido solicitadas preaviamente
Exista impedimento legal o resolucioacuten de
las autoridades que restrinja el ejercicio
de estos derechos
El Responsable podraacute negar el ejercicio
de los Derechos ARCO cuando
VIII Proteccioacuten de Derechos
ante el Ifai
47
48
Expresar claramente el
contenido de su
reclamacioacuten
Presentar el
documento que pruebe
la fecha en que
presentoacute la solicitud de
Derechos ARCO
bull Por escrito libre o a traveacutes de los
formatos establecidos por el IFAI
bull Sistema electroacutenico
bull En el domicilio del Instituto u oficina habilitada
bull Por correo certificado con acuse de recibo
El titular o su representante legal presenta su solicitud de proteccioacuten de derechos ante
el IFAI
Estaacute inconforme con la
respuesta
Dentro de los 15 diacuteas siguientes a la fecha en
que se comunique la respuesta
No recibioacute respuesta
Dentro de los 15 diacuteas a partir de que haya vencido el plazo de
respuesta
El TitularPlazos
Podraacute interponerse
IX Sanciones e Infracciones
49
50
El Salario miacutenimo vigente en el DF para 2014 es
Salario Miacutenimo ZonaAacuterea geograacutefica A 6729 pesos diarios
Fuente httpsalariominimocommxsalario-minimo-2014
DSMV DF Diacuteas de Salario Miacutenimo vigente en el Distrito Federal
No dar atencioacuten a las solicitudes ARCO
El apercibimiento para que el
responsable lleve a cabo los actos solicitados por el
titular
Omitir el aviso mantener DP
inexactos negar la existencia de DP con
dolo
Multa de 100 a 160000 VSM DF
De $6230 a $9972800
Incumplir deber de confidencialidad
cambiar la finalidad o realizar transferencias sin dar aviso de ello o vulnerar la seguridad de las bases de datos
Multa de 200 a 320000 VSM DF
De $12466 a $19945600
51
Trataacutendose de datos
personales sensibles
Provocar una vulneracioacuten de
seguridad a las bases de
datos bajo su custodia
3 meses a 3 antildeos
Tratamiento de DP
mediante el engantildeo
aprovechaacutendose del error
del titular o del
responsable
6 meses a 5 antildeos
Penas
anteriores
Delitos llevados
a cabo con
aacutenimo de lucro
Delito Prisioacuten
52
53
Beatriz Vargas
Director Comercial
beatrizvbsconsultingcommx
Tel 6380 5705 Cel 551071 9446
Ricardo Rangel
Director de Proyectos Estraacutetegicos
ricardorbsconsultingcommx
Tel 6380 5705 Cel 554453 4778
wwwBSConsultingcommx
Sujetos ReguladosExcepcionesbull Sociedades de Informacioacuten
Crediticia
bull Personas fiacutesicas que traten
datos personales para su
uso personal y familiar
bull Personas Fiacutesicas y
Morales de caraacutecter
privado que recaban
datos personales
9
iquestQuieacuten es la entidad responsable
del cumplimiento de esta Ley
bull El Instituto Federal de Acceso a la
Informacioacuten y Proteccioacuten de Datos es
la entidad encargada de difundir y
promover el ejercicio del derecho a la
proteccioacuten de Datos Personales a la
sociedad mexicana y garantizar el
cumplimiento de la Ley
bull Estaacute facultado para imponer infracciones
y sanciones a quienes hagan uso
indebido de los datos personales 10
III Conceptos baacutesicos
11
Conceptos baacutesicos
iquestCuaacutel es un dato sensiblebull Son datos personales que
afectan la esfera maacutes iacutentima de
su titular o cuya utilizacioacuten
indebida pueda dar origen o
conlleve un riesgo grave para
eacuteste
iquestQueacute es un dato personalbull Es cualquier informacioacuten concer-
niente a una persona fiacutesica
ldquotitularrdquo que la identifica o la hace
identificable
12
Conceptos baacutesicos
bull Soporte fiacutesico (inteligible a
simple vista)
bull Soporte electroacutenico (se
requiere de un aparato con
circuitos electroacutenicos que
procese su contenido)
Medios de almacenamiento
bull Bases de Datos Pueden serexpresados en forma
bull Numeacuterica
bull Alfanumeacuterica
bull Graacutefica
bull Fotograacutefica
bull Acuacutestica
bull Cualquier otro tipo detecnologiacutea disponible en elmercado
13
Obtencioacuten de datos
Medios para recabar datos personales (DP)
Los datos pueden obtenerse de 3 formas
bull Personalmente Cuando el titular yo representante legal proporciona los DP alresponsable ldquopresencia fiacutesica de ambosrdquo
bull Directa Cuando el titular proporciona los DP por alguacuten medio que permite su entregadirecta al responsable entre ellos medios electroacutenicos sonoros oacutepticos visuales ocualquier otra tecnologiacutea que pueda utilizarse para ello
bull Indirecta Cuando el Responsable obtienen los DP sin que el titular se los hayaproporcionado de forma personal o directa como podriacutea ser a traveacutes de transferencias ofuentes de acceso puacuteblico (medios expresamente definidos para hacer de conocimiento delpuacuteblico en general los datos que contiene ej paacutegina de Internet boletiacuten diario oficial entreotros)
14
Tratamiento de Datos Personales
15
Es la obtencioacuten
divulgacioacuten uso o
almacenamiento de
datos personales por
cualquier medio
El uso abarca cualquier
accioacuten de acceso
manejo aprovecha-
miento transferencia o
disposicioacuten de datos
personales
16
Datos de identificacioacuten
Datos de contacto
Datos laborales
Datos sobre caracteriacutesticas fiacutesicas
Datos acadeacutemicos
Datos patrimoniales o financieros
17
Datos biomeacutetricos
Datos ideoloacutegicos
Datos sobre opiniones poliacuteticas
Datos sobre afiliacioacuten sindical
Datos de vida sexual
Datos de Salud
Datos de origen eacutetnico o racial
IMPORTANTE Las caracteriacutesticas de los datos personales y datos personales
sensibles de este documento son soacutelo una orientacioacuten ya que el pleno del Ifai
no ha emitido criterios institucionales al respecto ademaacutes de que ciertos datos
personales que en un principio no se consideren sensibles podriacutean llegar a serlo
dependiendo del contexto en que se trate la informacioacuten
IV Designar un encargado
o departamento de Datos
Personales
18
Actores principalesResponsable
Es la persona fiacutesica o moral de caraacutecter privado que DECIDE
sobre el tratamiento de los DP es decir
bull Quien establece las finalidades del tratamiento o el uso que se
les daraacute
bull El tipo de datos que se requieren
bull A quieacuten y para queacute se comparten
bull Coacutemo se obtienen almacenan y suprimen y
bull En queacute casos se divulgaraacuten
EncargadoEs la persona fiacutesica o moral (Outsourcing) que trata los datospersonales a nombre y por cuenta del Responsable
bull El encargado NO DECIDE sobre el tratamiento de los datospersonales lo realiza siguiendo las instrucciones delResponsable
Tercerobull Es la persona fiacutesica o moral nacional o extranjera ajena a la
organizacioacuten distinta del responsable encargado o titular 19
iquestCoacutemo seleccionar al ldquoEncargado de
DPrdquoEs importante considerar
bull Tamantildeo y capacidad de la organizacioacuten
bull Tipo y volumen de datos obtenidos
bull Naturaleza e intensidad del tratamiento
bull Nivel de riesgo y confidencialidad
La persona o Departamento de DP ldquoEncargado de
DPrdquo debe
bull Atender las Solicitudes de Derechos ARCO
bull Fomentar la proteccioacuten de DP al interior del
negocioArt 30 de la LFPDPPP
Es indispensable que el Responsable formalice la
relacioacuten con el Encargado de DP mediante un
instrumento juriacutedico (contrato claacuteusulas contractuales
acuerdos o convenios) en el que se establezcan las
obligaciones de ambos en torno a la proteccioacuten de datos
personales
Oficial de
Proteccioacuten de DP
20
V Identificar
Transferencias
21
TransferenciasTransferencia de DP
bull La transferencia es la comunicacioacuten de datospersonales dentro o fuera del territorio nacionala persona distinta del titular del Responsable odel encargado
bull Formalizarla a traveacutes de instrumentojuriacutedico
bull Debe ser Informada al titular a traveacutes delAviso de Privacidad a quien se transfiereny para que fines
bull Limitarse a las finalidades notificadas en elAviso de Privacidad y consentidas por eltitular
bull Se podraacute realizar hasta que se hayaobtenido el consentimiento del titular salvolas excepciones marcadas en el Art 37 dela Ley
bull Los Receptores asumen las mismasobligaciones del Responsable sobre los datosrecibidos de acuerdo con el Aviso de privacidady Contrato firmado entre las partes
Encargado
Responsable
Tercero
Transferencia interna
ldquoRemisioacuten de DPrdquo
Transferencia a
terceros
Cuando esteacute previsto en una Ley o Tratado en el que Meacutexico sea parte para
la prevencioacuten o el diagnoacutestico meacutedico para el cumplimiento de una relacioacuten
juriacutedica o salvaguarda de un intereacutes puacuteblico o procuracioacuten de justicia
22
23
Si el Responsable se adhiere a la infraestructura los servicios
o aplicaciones el proveedor deberaacute cumplir con las siguientes
condiciones definidas en el Art 52 del Reglamento de la Ley de lo
contrario el Responsable NO podraacute adherirse
I Cumpla al menos con lo siguiente
a) Tener y aplicar poliacuteticas de Proteccioacuten de DP y
medidas de seguridad acorden a la LFPDPPP
b) Transparentar las subcontrataciones
c) Abstenerse de asumir la titularidad o
propiedad de la informacioacuten y guardar
confidencialidad
d) Garantizar la supresioacuten de los DP una vez que
haya concluido el servicio prestado al
Responsable
VI Principios y deberes
24
Cumplir con los
Principios y deberes
25
Licitud
Lealtad
Proporcionalidad
Calidad
Finalidad
Consentimiento
Informacioacuten
Responsabilidad
Licitud
Lealtad
Principios
26
bull Todo tratamiento de datos personales
debe ser con estricto apego y
cumplimiento a lo dispuesto por la
legislacioacuten mexicana y el derecho
internacional
bull El tratamiento de DP debe realizarse en
atencioacuten a lo acordado NO deben de
utilizarse medios engantildeosos o fraudu-
lentos para recabar y tratar DP
Licitud
Lealtad
Principios
27
Proporcionalidad
Calidad
bull Los DP tratados deben ser los miacutenimos
necesarios para el cumplimiento de la
finalidad para la cual se recabaron
bull El responsable deberaacute aplicar el Criterio
de minimizacioacuten
bull Los DP deben ser correctos exactos
completos pertinentes y actualizados de
acuerdo con la finalidad para la cual
fueron recabados
Principio finalidad
28
bull Dan origen y son necesarias
para la relacioacuten juriacutedica
bull Una relacioacuten juriacutedica debe estar
enmarcada por los siguientes
factores
bull Viacutenculo entre los sujetos
bull Dos o mas sujetos
bull Estar regulado por el derecho y
bull Producir consecuencias juriacutedicas
El tratamiento de DP debe ser soacutelo el necesario para cumplir con la
finalidad determinada y legiacutetima que se sentildealoacute en el aviso de privacidad
de manera clara y objetiva
bull Finalidades distintas a las quedieron origen a la relacioacuten juriacutedicao bien aquellas legalmentepermitidas o para las que elresponsable haya obtenido elconsentimientondash Mercadoloacutegicos publicitarias
ndash Promocionales comunicacioacutenprospeccioacuten referencia comercial
ndash Videografacioacuten y toma de fotigrafiacuteas
bull El titular puede oponerse altratamiento de sus datos paraestas finalidades y no seraacute motivopara negar el servicio solicitado
Primarias Secundarias
Principio Consentimientobull Facultad de las personas para decidir sobre el tratamiento de sus DP
el cual taacutecito expreso o expreso y por escrito debe ser libre especiacuteficoinformado e inequiacutevoco
bull Si una ley o reglamento en lo particular exige el consentimiento expreso oexpreso y por escrito para el tratamiento de DP el responsable deberaacutesolicitarlo de esa forma aunque no se trate de datos financierospatrimoniales o sensibles
Nota No es necesario solicitar el consentimiento cuando el tratamiento de los DP sea en cumplimientoa obligaciones derivado de una relacioacuten juriacutedica entre el titular y el Responsable
Tipo de Consentimiento
bull Taacutecito
bull Expreso
bull Expreso y por escrito
Para que tipo de datos se requiere
bull Para cualquier tipo de dato personal con excepcioacuten de los datos patrimoniales financieros y sensibles
bull Para datos financieros y patrimoniales
bull Para datos personales sensibles
29
Principio de Responsabilidad
30
bull Establecer Medidas de Seguridad administrativas fiacutesicas yo
teacutecnicas para la proteccioacuten de los DP mismas que deben ser
documentadas (acciones anaacutelisis de riesgo anaacutelisis de
brecha revisiones o auditoriacuteas capacitacioacuten entre otras)
Algunas medidas baacutesicas pueden ser
1 Elaborar Poliacuteticas de Proteccioacuten de DP al
interior del negocio que incluyan sistemas de
supervisioacuten y vigilancia
2 Brindar capacitacioacuten para la concientizacioacuten de
personal
3 Establecer procedimientos para atender las
dudas o quejas de los titulares
31
iquestQueacute es el Aviso de Privacidad
Es un documento fiacutesico electroacutenico visual sonoro
o en cualquier otro formato generado por el
responsable de manera sencilla con un lenguaje
claro y comprensible de aceurdo al perfil de los
titulares puesto a su disposicioacuten previo al
tratamiento de sus datos personales
Establecer los teacuterminos y condiciones generales del
tratamiento de los datos personales que recaba
El Responsable deberaacute tener el nuacutemero de avisos de
pivacidad que resulte necesario de acuerdo a los
tratamientos que realice a los DP
32
El aviso de privacidad debe estar disponible en alguno de los
siguientes soportes
Fiacutesico (en papel)
Electroacutenico (paacuteginas web correos electroacutenicos etc)
Visual ( pantalla de TV videos etc)
Sonoro (Grabaciones IVR etc)
En otros medios (prensa)
33
No usar frases inexactas ambiguas o vagas como ldquoentre
otrosrdquo ldquocomo por ejemplordquo ldquoDe manera enunciativa maacutes no
limitativardquo
No incluir textos o frases que induzcan al titular de manera
engantildeosa o fraudulenta (ejemplo ldquoLe recomendamos que
nos autorice el uso de su informacioacuten personal sin restriccioacuten
alguna para ser maacutes eficiente nuestro trabajordquo
No remitir al titular a textos o documentos que no esteacuten
disponibes (links disponibles)
No incluir casillas u otros mecanismos similares que esteacuten
marcados previamente que obliguen a los titulares a
desmarcarlos para modificar la condicioacuten previamente
establecida
34
35
Ejemplo AP
36
Modalidades
del Aviso de
Privacidad
Integral
Simplificado
Corto
Cuando los datos se obtengan
personalmente del titular
(entrevista)
Cuando se obtienen de manera
directa (contacto paacuteg web ndash viacutea
telefoacutenica)
Cuando el espacio para dar a
conocer el aviso sea limitado
(correo formatos SMS etc)
Nota De acuerdo al tipo de DP que se recabe se deberaacute solicitar el
consentimiento correspondiente
37
ldquoObligacioacuten de guardar secreto de
los datos persnales que son
tratadosrdquo
El Responsable debe adoptar medidas para
evitar que quienes tengan acceso a eacutestos
divulguen dicha informacioacuten
Se debe cumplir aun una vez que finalice la
relacioacuten contractual o laboral entre el
responsable y quien tenga accesos a los
datos personales para el desarrollo de las
tareas o funciones que se le hubiern
encomendado
38
Establecer Medidas de seguridad administrativas fiacutesicas y teacutecnicas para la
proteger los DP mismas que deben ser documentadas (acciones anaacutelisis de
riesgo anaacutelisis de brecha revisiones o auditoriacuteas capacitacioacuten entre otras)
39
Peacuterdida destruccioacuten robo
extraviacuteo copia uso
acceso tratamiento dantildeo
alteracioacuten o modificacioacuten
NO AUTORIZADO
Si hay vulneracioacuten que impacte los derechos patrimoniales o
morales de los titulares se deberaacuten tomar acciones e informar a
los titulares sin dilacioacuten con el fin de que eacutestos tomen las medidas
pertinentes
VII Derechos ARCO y la
Proteccioacuten de Derechos
40
41
Cada uno de nosotros como titulares de los DP o en su caso nuestro
representante legal podremos ejercer cualquiera de los derechos ARCO ante
las empresas que los tengan en sus bases de datos
42
Mecanismos para que los ciudadanos podamos limitar el
uso de nuestros datos personales para fines comerciales
(liacuteneas telefoacutenicas particulares o moviles asiacute como sus
correos electroacutenicos domicilios y nombres)
Estas pueden ser propios o de organismos como la
PROFECO y la CONDUSEF que ya han creado estas
listas para registro opcional de los ciudadanos
REPEP (Registro Puacuteblico para Evitar Publicidad y
REUNS (Registro Puacuteblico de Usuarios que no desean
informacioacuten publicitaria de Productos y Servicios
Financieros)
Las empresas que realizan actividades de promocioacuten
deberaacuten previamente validar la existencia de los datos de
sus prospectos en estas listas para no incurrir en una
violacioacuten a la privacidad de los mismos
43
La empresa debe designar una persona
o un departamento interno para atender
las solicitudes de los Titulares de los
Datos a traveacutes del Ejercicio de sus
derechos ARCO
El Reglamento yo su encargado definen
su proceso interno medios y
procedimientos para la recepcioacuten
atencioacuten y resolucioacuten de las Solicitudes
de Derechos ARCO
El Ejercicio de los derechos debe ser
gratuito soacutelo en caso de reproduccioacuten o
enviacuteo el titular pagara los costos
correspondientes
44
El Titular Entrega solicitud de Derechos ARCO en
2 tantos que incluyen
bull Identificacioacuten oficial
bull Datos de localizacioacuten para
mantener la comunicacioacuten yo enviar
notificaciones
bull Documentacioacuten que ayude a su aacutegil
localizacioacuten o para demostrar la
correccioacuten o cambio solicitado
Espera 20 diacuteas la resolucioacuten ldquoprocede o
nordquo su solicitud
Espera 15 diacuteas maacutes aplicacioacuten de
resolucioacuten
45
El Departamento yo Encargado
de DP Entregar explicar yo recibir la solicitud de
Derechos ARCO en 2 tantos
bull Sellar la recepcioacuten con fecha y firma de
quien la recibe
bull Revisar y realizar el anaacutelisis de
procedencia de la solicitud (20 diacuteas
haacutebiles)
bull Notificar al titular la resolucioacuten proceda o
no
bull Aplicar resolucioacuten (15 diacuteas haacutebiles)
Nota El Responsible puede si asiacute se requiere y justifica incrementar el
plazo por uacutenica ocasioacuten por los mismos plazos descritos en cada
proceso previa notificacioacuten al titular
46
El titular o su representante legal no se
acrediten debidamente
No se encuentren los datos personales
en su base (s) de datos
Se lesionen derechos de terceros
La rectificacioacuten cancelacioacuten u oposicioacuten
hayan sido solicitadas preaviamente
Exista impedimento legal o resolucioacuten de
las autoridades que restrinja el ejercicio
de estos derechos
El Responsable podraacute negar el ejercicio
de los Derechos ARCO cuando
VIII Proteccioacuten de Derechos
ante el Ifai
47
48
Expresar claramente el
contenido de su
reclamacioacuten
Presentar el
documento que pruebe
la fecha en que
presentoacute la solicitud de
Derechos ARCO
bull Por escrito libre o a traveacutes de los
formatos establecidos por el IFAI
bull Sistema electroacutenico
bull En el domicilio del Instituto u oficina habilitada
bull Por correo certificado con acuse de recibo
El titular o su representante legal presenta su solicitud de proteccioacuten de derechos ante
el IFAI
Estaacute inconforme con la
respuesta
Dentro de los 15 diacuteas siguientes a la fecha en
que se comunique la respuesta
No recibioacute respuesta
Dentro de los 15 diacuteas a partir de que haya vencido el plazo de
respuesta
El TitularPlazos
Podraacute interponerse
IX Sanciones e Infracciones
49
50
El Salario miacutenimo vigente en el DF para 2014 es
Salario Miacutenimo ZonaAacuterea geograacutefica A 6729 pesos diarios
Fuente httpsalariominimocommxsalario-minimo-2014
DSMV DF Diacuteas de Salario Miacutenimo vigente en el Distrito Federal
No dar atencioacuten a las solicitudes ARCO
El apercibimiento para que el
responsable lleve a cabo los actos solicitados por el
titular
Omitir el aviso mantener DP
inexactos negar la existencia de DP con
dolo
Multa de 100 a 160000 VSM DF
De $6230 a $9972800
Incumplir deber de confidencialidad
cambiar la finalidad o realizar transferencias sin dar aviso de ello o vulnerar la seguridad de las bases de datos
Multa de 200 a 320000 VSM DF
De $12466 a $19945600
51
Trataacutendose de datos
personales sensibles
Provocar una vulneracioacuten de
seguridad a las bases de
datos bajo su custodia
3 meses a 3 antildeos
Tratamiento de DP
mediante el engantildeo
aprovechaacutendose del error
del titular o del
responsable
6 meses a 5 antildeos
Penas
anteriores
Delitos llevados
a cabo con
aacutenimo de lucro
Delito Prisioacuten
52
53
Beatriz Vargas
Director Comercial
beatrizvbsconsultingcommx
Tel 6380 5705 Cel 551071 9446
Ricardo Rangel
Director de Proyectos Estraacutetegicos
ricardorbsconsultingcommx
Tel 6380 5705 Cel 554453 4778
wwwBSConsultingcommx
iquestQuieacuten es la entidad responsable
del cumplimiento de esta Ley
bull El Instituto Federal de Acceso a la
Informacioacuten y Proteccioacuten de Datos es
la entidad encargada de difundir y
promover el ejercicio del derecho a la
proteccioacuten de Datos Personales a la
sociedad mexicana y garantizar el
cumplimiento de la Ley
bull Estaacute facultado para imponer infracciones
y sanciones a quienes hagan uso
indebido de los datos personales 10
III Conceptos baacutesicos
11
Conceptos baacutesicos
iquestCuaacutel es un dato sensiblebull Son datos personales que
afectan la esfera maacutes iacutentima de
su titular o cuya utilizacioacuten
indebida pueda dar origen o
conlleve un riesgo grave para
eacuteste
iquestQueacute es un dato personalbull Es cualquier informacioacuten concer-
niente a una persona fiacutesica
ldquotitularrdquo que la identifica o la hace
identificable
12
Conceptos baacutesicos
bull Soporte fiacutesico (inteligible a
simple vista)
bull Soporte electroacutenico (se
requiere de un aparato con
circuitos electroacutenicos que
procese su contenido)
Medios de almacenamiento
bull Bases de Datos Pueden serexpresados en forma
bull Numeacuterica
bull Alfanumeacuterica
bull Graacutefica
bull Fotograacutefica
bull Acuacutestica
bull Cualquier otro tipo detecnologiacutea disponible en elmercado
13
Obtencioacuten de datos
Medios para recabar datos personales (DP)
Los datos pueden obtenerse de 3 formas
bull Personalmente Cuando el titular yo representante legal proporciona los DP alresponsable ldquopresencia fiacutesica de ambosrdquo
bull Directa Cuando el titular proporciona los DP por alguacuten medio que permite su entregadirecta al responsable entre ellos medios electroacutenicos sonoros oacutepticos visuales ocualquier otra tecnologiacutea que pueda utilizarse para ello
bull Indirecta Cuando el Responsable obtienen los DP sin que el titular se los hayaproporcionado de forma personal o directa como podriacutea ser a traveacutes de transferencias ofuentes de acceso puacuteblico (medios expresamente definidos para hacer de conocimiento delpuacuteblico en general los datos que contiene ej paacutegina de Internet boletiacuten diario oficial entreotros)
14
Tratamiento de Datos Personales
15
Es la obtencioacuten
divulgacioacuten uso o
almacenamiento de
datos personales por
cualquier medio
El uso abarca cualquier
accioacuten de acceso
manejo aprovecha-
miento transferencia o
disposicioacuten de datos
personales
16
Datos de identificacioacuten
Datos de contacto
Datos laborales
Datos sobre caracteriacutesticas fiacutesicas
Datos acadeacutemicos
Datos patrimoniales o financieros
17
Datos biomeacutetricos
Datos ideoloacutegicos
Datos sobre opiniones poliacuteticas
Datos sobre afiliacioacuten sindical
Datos de vida sexual
Datos de Salud
Datos de origen eacutetnico o racial
IMPORTANTE Las caracteriacutesticas de los datos personales y datos personales
sensibles de este documento son soacutelo una orientacioacuten ya que el pleno del Ifai
no ha emitido criterios institucionales al respecto ademaacutes de que ciertos datos
personales que en un principio no se consideren sensibles podriacutean llegar a serlo
dependiendo del contexto en que se trate la informacioacuten
IV Designar un encargado
o departamento de Datos
Personales
18
Actores principalesResponsable
Es la persona fiacutesica o moral de caraacutecter privado que DECIDE
sobre el tratamiento de los DP es decir
bull Quien establece las finalidades del tratamiento o el uso que se
les daraacute
bull El tipo de datos que se requieren
bull A quieacuten y para queacute se comparten
bull Coacutemo se obtienen almacenan y suprimen y
bull En queacute casos se divulgaraacuten
EncargadoEs la persona fiacutesica o moral (Outsourcing) que trata los datospersonales a nombre y por cuenta del Responsable
bull El encargado NO DECIDE sobre el tratamiento de los datospersonales lo realiza siguiendo las instrucciones delResponsable
Tercerobull Es la persona fiacutesica o moral nacional o extranjera ajena a la
organizacioacuten distinta del responsable encargado o titular 19
iquestCoacutemo seleccionar al ldquoEncargado de
DPrdquoEs importante considerar
bull Tamantildeo y capacidad de la organizacioacuten
bull Tipo y volumen de datos obtenidos
bull Naturaleza e intensidad del tratamiento
bull Nivel de riesgo y confidencialidad
La persona o Departamento de DP ldquoEncargado de
DPrdquo debe
bull Atender las Solicitudes de Derechos ARCO
bull Fomentar la proteccioacuten de DP al interior del
negocioArt 30 de la LFPDPPP
Es indispensable que el Responsable formalice la
relacioacuten con el Encargado de DP mediante un
instrumento juriacutedico (contrato claacuteusulas contractuales
acuerdos o convenios) en el que se establezcan las
obligaciones de ambos en torno a la proteccioacuten de datos
personales
Oficial de
Proteccioacuten de DP
20
V Identificar
Transferencias
21
TransferenciasTransferencia de DP
bull La transferencia es la comunicacioacuten de datospersonales dentro o fuera del territorio nacionala persona distinta del titular del Responsable odel encargado
bull Formalizarla a traveacutes de instrumentojuriacutedico
bull Debe ser Informada al titular a traveacutes delAviso de Privacidad a quien se transfiereny para que fines
bull Limitarse a las finalidades notificadas en elAviso de Privacidad y consentidas por eltitular
bull Se podraacute realizar hasta que se hayaobtenido el consentimiento del titular salvolas excepciones marcadas en el Art 37 dela Ley
bull Los Receptores asumen las mismasobligaciones del Responsable sobre los datosrecibidos de acuerdo con el Aviso de privacidady Contrato firmado entre las partes
Encargado
Responsable
Tercero
Transferencia interna
ldquoRemisioacuten de DPrdquo
Transferencia a
terceros
Cuando esteacute previsto en una Ley o Tratado en el que Meacutexico sea parte para
la prevencioacuten o el diagnoacutestico meacutedico para el cumplimiento de una relacioacuten
juriacutedica o salvaguarda de un intereacutes puacuteblico o procuracioacuten de justicia
22
23
Si el Responsable se adhiere a la infraestructura los servicios
o aplicaciones el proveedor deberaacute cumplir con las siguientes
condiciones definidas en el Art 52 del Reglamento de la Ley de lo
contrario el Responsable NO podraacute adherirse
I Cumpla al menos con lo siguiente
a) Tener y aplicar poliacuteticas de Proteccioacuten de DP y
medidas de seguridad acorden a la LFPDPPP
b) Transparentar las subcontrataciones
c) Abstenerse de asumir la titularidad o
propiedad de la informacioacuten y guardar
confidencialidad
d) Garantizar la supresioacuten de los DP una vez que
haya concluido el servicio prestado al
Responsable
VI Principios y deberes
24
Cumplir con los
Principios y deberes
25
Licitud
Lealtad
Proporcionalidad
Calidad
Finalidad
Consentimiento
Informacioacuten
Responsabilidad
Licitud
Lealtad
Principios
26
bull Todo tratamiento de datos personales
debe ser con estricto apego y
cumplimiento a lo dispuesto por la
legislacioacuten mexicana y el derecho
internacional
bull El tratamiento de DP debe realizarse en
atencioacuten a lo acordado NO deben de
utilizarse medios engantildeosos o fraudu-
lentos para recabar y tratar DP
Licitud
Lealtad
Principios
27
Proporcionalidad
Calidad
bull Los DP tratados deben ser los miacutenimos
necesarios para el cumplimiento de la
finalidad para la cual se recabaron
bull El responsable deberaacute aplicar el Criterio
de minimizacioacuten
bull Los DP deben ser correctos exactos
completos pertinentes y actualizados de
acuerdo con la finalidad para la cual
fueron recabados
Principio finalidad
28
bull Dan origen y son necesarias
para la relacioacuten juriacutedica
bull Una relacioacuten juriacutedica debe estar
enmarcada por los siguientes
factores
bull Viacutenculo entre los sujetos
bull Dos o mas sujetos
bull Estar regulado por el derecho y
bull Producir consecuencias juriacutedicas
El tratamiento de DP debe ser soacutelo el necesario para cumplir con la
finalidad determinada y legiacutetima que se sentildealoacute en el aviso de privacidad
de manera clara y objetiva
bull Finalidades distintas a las quedieron origen a la relacioacuten juriacutedicao bien aquellas legalmentepermitidas o para las que elresponsable haya obtenido elconsentimientondash Mercadoloacutegicos publicitarias
ndash Promocionales comunicacioacutenprospeccioacuten referencia comercial
ndash Videografacioacuten y toma de fotigrafiacuteas
bull El titular puede oponerse altratamiento de sus datos paraestas finalidades y no seraacute motivopara negar el servicio solicitado
Primarias Secundarias
Principio Consentimientobull Facultad de las personas para decidir sobre el tratamiento de sus DP
el cual taacutecito expreso o expreso y por escrito debe ser libre especiacuteficoinformado e inequiacutevoco
bull Si una ley o reglamento en lo particular exige el consentimiento expreso oexpreso y por escrito para el tratamiento de DP el responsable deberaacutesolicitarlo de esa forma aunque no se trate de datos financierospatrimoniales o sensibles
Nota No es necesario solicitar el consentimiento cuando el tratamiento de los DP sea en cumplimientoa obligaciones derivado de una relacioacuten juriacutedica entre el titular y el Responsable
Tipo de Consentimiento
bull Taacutecito
bull Expreso
bull Expreso y por escrito
Para que tipo de datos se requiere
bull Para cualquier tipo de dato personal con excepcioacuten de los datos patrimoniales financieros y sensibles
bull Para datos financieros y patrimoniales
bull Para datos personales sensibles
29
Principio de Responsabilidad
30
bull Establecer Medidas de Seguridad administrativas fiacutesicas yo
teacutecnicas para la proteccioacuten de los DP mismas que deben ser
documentadas (acciones anaacutelisis de riesgo anaacutelisis de
brecha revisiones o auditoriacuteas capacitacioacuten entre otras)
Algunas medidas baacutesicas pueden ser
1 Elaborar Poliacuteticas de Proteccioacuten de DP al
interior del negocio que incluyan sistemas de
supervisioacuten y vigilancia
2 Brindar capacitacioacuten para la concientizacioacuten de
personal
3 Establecer procedimientos para atender las
dudas o quejas de los titulares
31
iquestQueacute es el Aviso de Privacidad
Es un documento fiacutesico electroacutenico visual sonoro
o en cualquier otro formato generado por el
responsable de manera sencilla con un lenguaje
claro y comprensible de aceurdo al perfil de los
titulares puesto a su disposicioacuten previo al
tratamiento de sus datos personales
Establecer los teacuterminos y condiciones generales del
tratamiento de los datos personales que recaba
El Responsable deberaacute tener el nuacutemero de avisos de
pivacidad que resulte necesario de acuerdo a los
tratamientos que realice a los DP
32
El aviso de privacidad debe estar disponible en alguno de los
siguientes soportes
Fiacutesico (en papel)
Electroacutenico (paacuteginas web correos electroacutenicos etc)
Visual ( pantalla de TV videos etc)
Sonoro (Grabaciones IVR etc)
En otros medios (prensa)
33
No usar frases inexactas ambiguas o vagas como ldquoentre
otrosrdquo ldquocomo por ejemplordquo ldquoDe manera enunciativa maacutes no
limitativardquo
No incluir textos o frases que induzcan al titular de manera
engantildeosa o fraudulenta (ejemplo ldquoLe recomendamos que
nos autorice el uso de su informacioacuten personal sin restriccioacuten
alguna para ser maacutes eficiente nuestro trabajordquo
No remitir al titular a textos o documentos que no esteacuten
disponibes (links disponibles)
No incluir casillas u otros mecanismos similares que esteacuten
marcados previamente que obliguen a los titulares a
desmarcarlos para modificar la condicioacuten previamente
establecida
34
35
Ejemplo AP
36
Modalidades
del Aviso de
Privacidad
Integral
Simplificado
Corto
Cuando los datos se obtengan
personalmente del titular
(entrevista)
Cuando se obtienen de manera
directa (contacto paacuteg web ndash viacutea
telefoacutenica)
Cuando el espacio para dar a
conocer el aviso sea limitado
(correo formatos SMS etc)
Nota De acuerdo al tipo de DP que se recabe se deberaacute solicitar el
consentimiento correspondiente
37
ldquoObligacioacuten de guardar secreto de
los datos persnales que son
tratadosrdquo
El Responsable debe adoptar medidas para
evitar que quienes tengan acceso a eacutestos
divulguen dicha informacioacuten
Se debe cumplir aun una vez que finalice la
relacioacuten contractual o laboral entre el
responsable y quien tenga accesos a los
datos personales para el desarrollo de las
tareas o funciones que se le hubiern
encomendado
38
Establecer Medidas de seguridad administrativas fiacutesicas y teacutecnicas para la
proteger los DP mismas que deben ser documentadas (acciones anaacutelisis de
riesgo anaacutelisis de brecha revisiones o auditoriacuteas capacitacioacuten entre otras)
39
Peacuterdida destruccioacuten robo
extraviacuteo copia uso
acceso tratamiento dantildeo
alteracioacuten o modificacioacuten
NO AUTORIZADO
Si hay vulneracioacuten que impacte los derechos patrimoniales o
morales de los titulares se deberaacuten tomar acciones e informar a
los titulares sin dilacioacuten con el fin de que eacutestos tomen las medidas
pertinentes
VII Derechos ARCO y la
Proteccioacuten de Derechos
40
41
Cada uno de nosotros como titulares de los DP o en su caso nuestro
representante legal podremos ejercer cualquiera de los derechos ARCO ante
las empresas que los tengan en sus bases de datos
42
Mecanismos para que los ciudadanos podamos limitar el
uso de nuestros datos personales para fines comerciales
(liacuteneas telefoacutenicas particulares o moviles asiacute como sus
correos electroacutenicos domicilios y nombres)
Estas pueden ser propios o de organismos como la
PROFECO y la CONDUSEF que ya han creado estas
listas para registro opcional de los ciudadanos
REPEP (Registro Puacuteblico para Evitar Publicidad y
REUNS (Registro Puacuteblico de Usuarios que no desean
informacioacuten publicitaria de Productos y Servicios
Financieros)
Las empresas que realizan actividades de promocioacuten
deberaacuten previamente validar la existencia de los datos de
sus prospectos en estas listas para no incurrir en una
violacioacuten a la privacidad de los mismos
43
La empresa debe designar una persona
o un departamento interno para atender
las solicitudes de los Titulares de los
Datos a traveacutes del Ejercicio de sus
derechos ARCO
El Reglamento yo su encargado definen
su proceso interno medios y
procedimientos para la recepcioacuten
atencioacuten y resolucioacuten de las Solicitudes
de Derechos ARCO
El Ejercicio de los derechos debe ser
gratuito soacutelo en caso de reproduccioacuten o
enviacuteo el titular pagara los costos
correspondientes
44
El Titular Entrega solicitud de Derechos ARCO en
2 tantos que incluyen
bull Identificacioacuten oficial
bull Datos de localizacioacuten para
mantener la comunicacioacuten yo enviar
notificaciones
bull Documentacioacuten que ayude a su aacutegil
localizacioacuten o para demostrar la
correccioacuten o cambio solicitado
Espera 20 diacuteas la resolucioacuten ldquoprocede o
nordquo su solicitud
Espera 15 diacuteas maacutes aplicacioacuten de
resolucioacuten
45
El Departamento yo Encargado
de DP Entregar explicar yo recibir la solicitud de
Derechos ARCO en 2 tantos
bull Sellar la recepcioacuten con fecha y firma de
quien la recibe
bull Revisar y realizar el anaacutelisis de
procedencia de la solicitud (20 diacuteas
haacutebiles)
bull Notificar al titular la resolucioacuten proceda o
no
bull Aplicar resolucioacuten (15 diacuteas haacutebiles)
Nota El Responsible puede si asiacute se requiere y justifica incrementar el
plazo por uacutenica ocasioacuten por los mismos plazos descritos en cada
proceso previa notificacioacuten al titular
46
El titular o su representante legal no se
acrediten debidamente
No se encuentren los datos personales
en su base (s) de datos
Se lesionen derechos de terceros
La rectificacioacuten cancelacioacuten u oposicioacuten
hayan sido solicitadas preaviamente
Exista impedimento legal o resolucioacuten de
las autoridades que restrinja el ejercicio
de estos derechos
El Responsable podraacute negar el ejercicio
de los Derechos ARCO cuando
VIII Proteccioacuten de Derechos
ante el Ifai
47
48
Expresar claramente el
contenido de su
reclamacioacuten
Presentar el
documento que pruebe
la fecha en que
presentoacute la solicitud de
Derechos ARCO
bull Por escrito libre o a traveacutes de los
formatos establecidos por el IFAI
bull Sistema electroacutenico
bull En el domicilio del Instituto u oficina habilitada
bull Por correo certificado con acuse de recibo
El titular o su representante legal presenta su solicitud de proteccioacuten de derechos ante
el IFAI
Estaacute inconforme con la
respuesta
Dentro de los 15 diacuteas siguientes a la fecha en
que se comunique la respuesta
No recibioacute respuesta
Dentro de los 15 diacuteas a partir de que haya vencido el plazo de
respuesta
El TitularPlazos
Podraacute interponerse
IX Sanciones e Infracciones
49
50
El Salario miacutenimo vigente en el DF para 2014 es
Salario Miacutenimo ZonaAacuterea geograacutefica A 6729 pesos diarios
Fuente httpsalariominimocommxsalario-minimo-2014
DSMV DF Diacuteas de Salario Miacutenimo vigente en el Distrito Federal
No dar atencioacuten a las solicitudes ARCO
El apercibimiento para que el
responsable lleve a cabo los actos solicitados por el
titular
Omitir el aviso mantener DP
inexactos negar la existencia de DP con
dolo
Multa de 100 a 160000 VSM DF
De $6230 a $9972800
Incumplir deber de confidencialidad
cambiar la finalidad o realizar transferencias sin dar aviso de ello o vulnerar la seguridad de las bases de datos
Multa de 200 a 320000 VSM DF
De $12466 a $19945600
51
Trataacutendose de datos
personales sensibles
Provocar una vulneracioacuten de
seguridad a las bases de
datos bajo su custodia
3 meses a 3 antildeos
Tratamiento de DP
mediante el engantildeo
aprovechaacutendose del error
del titular o del
responsable
6 meses a 5 antildeos
Penas
anteriores
Delitos llevados
a cabo con
aacutenimo de lucro
Delito Prisioacuten
52
53
Beatriz Vargas
Director Comercial
beatrizvbsconsultingcommx
Tel 6380 5705 Cel 551071 9446
Ricardo Rangel
Director de Proyectos Estraacutetegicos
ricardorbsconsultingcommx
Tel 6380 5705 Cel 554453 4778
wwwBSConsultingcommx
III Conceptos baacutesicos
11
Conceptos baacutesicos
iquestCuaacutel es un dato sensiblebull Son datos personales que
afectan la esfera maacutes iacutentima de
su titular o cuya utilizacioacuten
indebida pueda dar origen o
conlleve un riesgo grave para
eacuteste
iquestQueacute es un dato personalbull Es cualquier informacioacuten concer-
niente a una persona fiacutesica
ldquotitularrdquo que la identifica o la hace
identificable
12
Conceptos baacutesicos
bull Soporte fiacutesico (inteligible a
simple vista)
bull Soporte electroacutenico (se
requiere de un aparato con
circuitos electroacutenicos que
procese su contenido)
Medios de almacenamiento
bull Bases de Datos Pueden serexpresados en forma
bull Numeacuterica
bull Alfanumeacuterica
bull Graacutefica
bull Fotograacutefica
bull Acuacutestica
bull Cualquier otro tipo detecnologiacutea disponible en elmercado
13
Obtencioacuten de datos
Medios para recabar datos personales (DP)
Los datos pueden obtenerse de 3 formas
bull Personalmente Cuando el titular yo representante legal proporciona los DP alresponsable ldquopresencia fiacutesica de ambosrdquo
bull Directa Cuando el titular proporciona los DP por alguacuten medio que permite su entregadirecta al responsable entre ellos medios electroacutenicos sonoros oacutepticos visuales ocualquier otra tecnologiacutea que pueda utilizarse para ello
bull Indirecta Cuando el Responsable obtienen los DP sin que el titular se los hayaproporcionado de forma personal o directa como podriacutea ser a traveacutes de transferencias ofuentes de acceso puacuteblico (medios expresamente definidos para hacer de conocimiento delpuacuteblico en general los datos que contiene ej paacutegina de Internet boletiacuten diario oficial entreotros)
14
Tratamiento de Datos Personales
15
Es la obtencioacuten
divulgacioacuten uso o
almacenamiento de
datos personales por
cualquier medio
El uso abarca cualquier
accioacuten de acceso
manejo aprovecha-
miento transferencia o
disposicioacuten de datos
personales
16
Datos de identificacioacuten
Datos de contacto
Datos laborales
Datos sobre caracteriacutesticas fiacutesicas
Datos acadeacutemicos
Datos patrimoniales o financieros
17
Datos biomeacutetricos
Datos ideoloacutegicos
Datos sobre opiniones poliacuteticas
Datos sobre afiliacioacuten sindical
Datos de vida sexual
Datos de Salud
Datos de origen eacutetnico o racial
IMPORTANTE Las caracteriacutesticas de los datos personales y datos personales
sensibles de este documento son soacutelo una orientacioacuten ya que el pleno del Ifai
no ha emitido criterios institucionales al respecto ademaacutes de que ciertos datos
personales que en un principio no se consideren sensibles podriacutean llegar a serlo
dependiendo del contexto en que se trate la informacioacuten
IV Designar un encargado
o departamento de Datos
Personales
18
Actores principalesResponsable
Es la persona fiacutesica o moral de caraacutecter privado que DECIDE
sobre el tratamiento de los DP es decir
bull Quien establece las finalidades del tratamiento o el uso que se
les daraacute
bull El tipo de datos que se requieren
bull A quieacuten y para queacute se comparten
bull Coacutemo se obtienen almacenan y suprimen y
bull En queacute casos se divulgaraacuten
EncargadoEs la persona fiacutesica o moral (Outsourcing) que trata los datospersonales a nombre y por cuenta del Responsable
bull El encargado NO DECIDE sobre el tratamiento de los datospersonales lo realiza siguiendo las instrucciones delResponsable
Tercerobull Es la persona fiacutesica o moral nacional o extranjera ajena a la
organizacioacuten distinta del responsable encargado o titular 19
iquestCoacutemo seleccionar al ldquoEncargado de
DPrdquoEs importante considerar
bull Tamantildeo y capacidad de la organizacioacuten
bull Tipo y volumen de datos obtenidos
bull Naturaleza e intensidad del tratamiento
bull Nivel de riesgo y confidencialidad
La persona o Departamento de DP ldquoEncargado de
DPrdquo debe
bull Atender las Solicitudes de Derechos ARCO
bull Fomentar la proteccioacuten de DP al interior del
negocioArt 30 de la LFPDPPP
Es indispensable que el Responsable formalice la
relacioacuten con el Encargado de DP mediante un
instrumento juriacutedico (contrato claacuteusulas contractuales
acuerdos o convenios) en el que se establezcan las
obligaciones de ambos en torno a la proteccioacuten de datos
personales
Oficial de
Proteccioacuten de DP
20
V Identificar
Transferencias
21
TransferenciasTransferencia de DP
bull La transferencia es la comunicacioacuten de datospersonales dentro o fuera del territorio nacionala persona distinta del titular del Responsable odel encargado
bull Formalizarla a traveacutes de instrumentojuriacutedico
bull Debe ser Informada al titular a traveacutes delAviso de Privacidad a quien se transfiereny para que fines
bull Limitarse a las finalidades notificadas en elAviso de Privacidad y consentidas por eltitular
bull Se podraacute realizar hasta que se hayaobtenido el consentimiento del titular salvolas excepciones marcadas en el Art 37 dela Ley
bull Los Receptores asumen las mismasobligaciones del Responsable sobre los datosrecibidos de acuerdo con el Aviso de privacidady Contrato firmado entre las partes
Encargado
Responsable
Tercero
Transferencia interna
ldquoRemisioacuten de DPrdquo
Transferencia a
terceros
Cuando esteacute previsto en una Ley o Tratado en el que Meacutexico sea parte para
la prevencioacuten o el diagnoacutestico meacutedico para el cumplimiento de una relacioacuten
juriacutedica o salvaguarda de un intereacutes puacuteblico o procuracioacuten de justicia
22
23
Si el Responsable se adhiere a la infraestructura los servicios
o aplicaciones el proveedor deberaacute cumplir con las siguientes
condiciones definidas en el Art 52 del Reglamento de la Ley de lo
contrario el Responsable NO podraacute adherirse
I Cumpla al menos con lo siguiente
a) Tener y aplicar poliacuteticas de Proteccioacuten de DP y
medidas de seguridad acorden a la LFPDPPP
b) Transparentar las subcontrataciones
c) Abstenerse de asumir la titularidad o
propiedad de la informacioacuten y guardar
confidencialidad
d) Garantizar la supresioacuten de los DP una vez que
haya concluido el servicio prestado al
Responsable
VI Principios y deberes
24
Cumplir con los
Principios y deberes
25
Licitud
Lealtad
Proporcionalidad
Calidad
Finalidad
Consentimiento
Informacioacuten
Responsabilidad
Licitud
Lealtad
Principios
26
bull Todo tratamiento de datos personales
debe ser con estricto apego y
cumplimiento a lo dispuesto por la
legislacioacuten mexicana y el derecho
internacional
bull El tratamiento de DP debe realizarse en
atencioacuten a lo acordado NO deben de
utilizarse medios engantildeosos o fraudu-
lentos para recabar y tratar DP
Licitud
Lealtad
Principios
27
Proporcionalidad
Calidad
bull Los DP tratados deben ser los miacutenimos
necesarios para el cumplimiento de la
finalidad para la cual se recabaron
bull El responsable deberaacute aplicar el Criterio
de minimizacioacuten
bull Los DP deben ser correctos exactos
completos pertinentes y actualizados de
acuerdo con la finalidad para la cual
fueron recabados
Principio finalidad
28
bull Dan origen y son necesarias
para la relacioacuten juriacutedica
bull Una relacioacuten juriacutedica debe estar
enmarcada por los siguientes
factores
bull Viacutenculo entre los sujetos
bull Dos o mas sujetos
bull Estar regulado por el derecho y
bull Producir consecuencias juriacutedicas
El tratamiento de DP debe ser soacutelo el necesario para cumplir con la
finalidad determinada y legiacutetima que se sentildealoacute en el aviso de privacidad
de manera clara y objetiva
bull Finalidades distintas a las quedieron origen a la relacioacuten juriacutedicao bien aquellas legalmentepermitidas o para las que elresponsable haya obtenido elconsentimientondash Mercadoloacutegicos publicitarias
ndash Promocionales comunicacioacutenprospeccioacuten referencia comercial
ndash Videografacioacuten y toma de fotigrafiacuteas
bull El titular puede oponerse altratamiento de sus datos paraestas finalidades y no seraacute motivopara negar el servicio solicitado
Primarias Secundarias
Principio Consentimientobull Facultad de las personas para decidir sobre el tratamiento de sus DP
el cual taacutecito expreso o expreso y por escrito debe ser libre especiacuteficoinformado e inequiacutevoco
bull Si una ley o reglamento en lo particular exige el consentimiento expreso oexpreso y por escrito para el tratamiento de DP el responsable deberaacutesolicitarlo de esa forma aunque no se trate de datos financierospatrimoniales o sensibles
Nota No es necesario solicitar el consentimiento cuando el tratamiento de los DP sea en cumplimientoa obligaciones derivado de una relacioacuten juriacutedica entre el titular y el Responsable
Tipo de Consentimiento
bull Taacutecito
bull Expreso
bull Expreso y por escrito
Para que tipo de datos se requiere
bull Para cualquier tipo de dato personal con excepcioacuten de los datos patrimoniales financieros y sensibles
bull Para datos financieros y patrimoniales
bull Para datos personales sensibles
29
Principio de Responsabilidad
30
bull Establecer Medidas de Seguridad administrativas fiacutesicas yo
teacutecnicas para la proteccioacuten de los DP mismas que deben ser
documentadas (acciones anaacutelisis de riesgo anaacutelisis de
brecha revisiones o auditoriacuteas capacitacioacuten entre otras)
Algunas medidas baacutesicas pueden ser
1 Elaborar Poliacuteticas de Proteccioacuten de DP al
interior del negocio que incluyan sistemas de
supervisioacuten y vigilancia
2 Brindar capacitacioacuten para la concientizacioacuten de
personal
3 Establecer procedimientos para atender las
dudas o quejas de los titulares
31
iquestQueacute es el Aviso de Privacidad
Es un documento fiacutesico electroacutenico visual sonoro
o en cualquier otro formato generado por el
responsable de manera sencilla con un lenguaje
claro y comprensible de aceurdo al perfil de los
titulares puesto a su disposicioacuten previo al
tratamiento de sus datos personales
Establecer los teacuterminos y condiciones generales del
tratamiento de los datos personales que recaba
El Responsable deberaacute tener el nuacutemero de avisos de
pivacidad que resulte necesario de acuerdo a los
tratamientos que realice a los DP
32
El aviso de privacidad debe estar disponible en alguno de los
siguientes soportes
Fiacutesico (en papel)
Electroacutenico (paacuteginas web correos electroacutenicos etc)
Visual ( pantalla de TV videos etc)
Sonoro (Grabaciones IVR etc)
En otros medios (prensa)
33
No usar frases inexactas ambiguas o vagas como ldquoentre
otrosrdquo ldquocomo por ejemplordquo ldquoDe manera enunciativa maacutes no
limitativardquo
No incluir textos o frases que induzcan al titular de manera
engantildeosa o fraudulenta (ejemplo ldquoLe recomendamos que
nos autorice el uso de su informacioacuten personal sin restriccioacuten
alguna para ser maacutes eficiente nuestro trabajordquo
No remitir al titular a textos o documentos que no esteacuten
disponibes (links disponibles)
No incluir casillas u otros mecanismos similares que esteacuten
marcados previamente que obliguen a los titulares a
desmarcarlos para modificar la condicioacuten previamente
establecida
34
35
Ejemplo AP
36
Modalidades
del Aviso de
Privacidad
Integral
Simplificado
Corto
Cuando los datos se obtengan
personalmente del titular
(entrevista)
Cuando se obtienen de manera
directa (contacto paacuteg web ndash viacutea
telefoacutenica)
Cuando el espacio para dar a
conocer el aviso sea limitado
(correo formatos SMS etc)
Nota De acuerdo al tipo de DP que se recabe se deberaacute solicitar el
consentimiento correspondiente
37
ldquoObligacioacuten de guardar secreto de
los datos persnales que son
tratadosrdquo
El Responsable debe adoptar medidas para
evitar que quienes tengan acceso a eacutestos
divulguen dicha informacioacuten
Se debe cumplir aun una vez que finalice la
relacioacuten contractual o laboral entre el
responsable y quien tenga accesos a los
datos personales para el desarrollo de las
tareas o funciones que se le hubiern
encomendado
38
Establecer Medidas de seguridad administrativas fiacutesicas y teacutecnicas para la
proteger los DP mismas que deben ser documentadas (acciones anaacutelisis de
riesgo anaacutelisis de brecha revisiones o auditoriacuteas capacitacioacuten entre otras)
39
Peacuterdida destruccioacuten robo
extraviacuteo copia uso
acceso tratamiento dantildeo
alteracioacuten o modificacioacuten
NO AUTORIZADO
Si hay vulneracioacuten que impacte los derechos patrimoniales o
morales de los titulares se deberaacuten tomar acciones e informar a
los titulares sin dilacioacuten con el fin de que eacutestos tomen las medidas
pertinentes
VII Derechos ARCO y la
Proteccioacuten de Derechos
40
41
Cada uno de nosotros como titulares de los DP o en su caso nuestro
representante legal podremos ejercer cualquiera de los derechos ARCO ante
las empresas que los tengan en sus bases de datos
42
Mecanismos para que los ciudadanos podamos limitar el
uso de nuestros datos personales para fines comerciales
(liacuteneas telefoacutenicas particulares o moviles asiacute como sus
correos electroacutenicos domicilios y nombres)
Estas pueden ser propios o de organismos como la
PROFECO y la CONDUSEF que ya han creado estas
listas para registro opcional de los ciudadanos
REPEP (Registro Puacuteblico para Evitar Publicidad y
REUNS (Registro Puacuteblico de Usuarios que no desean
informacioacuten publicitaria de Productos y Servicios
Financieros)
Las empresas que realizan actividades de promocioacuten
deberaacuten previamente validar la existencia de los datos de
sus prospectos en estas listas para no incurrir en una
violacioacuten a la privacidad de los mismos
43
La empresa debe designar una persona
o un departamento interno para atender
las solicitudes de los Titulares de los
Datos a traveacutes del Ejercicio de sus
derechos ARCO
El Reglamento yo su encargado definen
su proceso interno medios y
procedimientos para la recepcioacuten
atencioacuten y resolucioacuten de las Solicitudes
de Derechos ARCO
El Ejercicio de los derechos debe ser
gratuito soacutelo en caso de reproduccioacuten o
enviacuteo el titular pagara los costos
correspondientes
44
El Titular Entrega solicitud de Derechos ARCO en
2 tantos que incluyen
bull Identificacioacuten oficial
bull Datos de localizacioacuten para
mantener la comunicacioacuten yo enviar
notificaciones
bull Documentacioacuten que ayude a su aacutegil
localizacioacuten o para demostrar la
correccioacuten o cambio solicitado
Espera 20 diacuteas la resolucioacuten ldquoprocede o
nordquo su solicitud
Espera 15 diacuteas maacutes aplicacioacuten de
resolucioacuten
45
El Departamento yo Encargado
de DP Entregar explicar yo recibir la solicitud de
Derechos ARCO en 2 tantos
bull Sellar la recepcioacuten con fecha y firma de
quien la recibe
bull Revisar y realizar el anaacutelisis de
procedencia de la solicitud (20 diacuteas
haacutebiles)
bull Notificar al titular la resolucioacuten proceda o
no
bull Aplicar resolucioacuten (15 diacuteas haacutebiles)
Nota El Responsible puede si asiacute se requiere y justifica incrementar el
plazo por uacutenica ocasioacuten por los mismos plazos descritos en cada
proceso previa notificacioacuten al titular
46
El titular o su representante legal no se
acrediten debidamente
No se encuentren los datos personales
en su base (s) de datos
Se lesionen derechos de terceros
La rectificacioacuten cancelacioacuten u oposicioacuten
hayan sido solicitadas preaviamente
Exista impedimento legal o resolucioacuten de
las autoridades que restrinja el ejercicio
de estos derechos
El Responsable podraacute negar el ejercicio
de los Derechos ARCO cuando
VIII Proteccioacuten de Derechos
ante el Ifai
47
48
Expresar claramente el
contenido de su
reclamacioacuten
Presentar el
documento que pruebe
la fecha en que
presentoacute la solicitud de
Derechos ARCO
bull Por escrito libre o a traveacutes de los
formatos establecidos por el IFAI
bull Sistema electroacutenico
bull En el domicilio del Instituto u oficina habilitada
bull Por correo certificado con acuse de recibo
El titular o su representante legal presenta su solicitud de proteccioacuten de derechos ante
el IFAI
Estaacute inconforme con la
respuesta
Dentro de los 15 diacuteas siguientes a la fecha en
que se comunique la respuesta
No recibioacute respuesta
Dentro de los 15 diacuteas a partir de que haya vencido el plazo de
respuesta
El TitularPlazos
Podraacute interponerse
IX Sanciones e Infracciones
49
50
El Salario miacutenimo vigente en el DF para 2014 es
Salario Miacutenimo ZonaAacuterea geograacutefica A 6729 pesos diarios
Fuente httpsalariominimocommxsalario-minimo-2014
DSMV DF Diacuteas de Salario Miacutenimo vigente en el Distrito Federal
No dar atencioacuten a las solicitudes ARCO
El apercibimiento para que el
responsable lleve a cabo los actos solicitados por el
titular
Omitir el aviso mantener DP
inexactos negar la existencia de DP con
dolo
Multa de 100 a 160000 VSM DF
De $6230 a $9972800
Incumplir deber de confidencialidad
cambiar la finalidad o realizar transferencias sin dar aviso de ello o vulnerar la seguridad de las bases de datos
Multa de 200 a 320000 VSM DF
De $12466 a $19945600
51
Trataacutendose de datos
personales sensibles
Provocar una vulneracioacuten de
seguridad a las bases de
datos bajo su custodia
3 meses a 3 antildeos
Tratamiento de DP
mediante el engantildeo
aprovechaacutendose del error
del titular o del
responsable
6 meses a 5 antildeos
Penas
anteriores
Delitos llevados
a cabo con
aacutenimo de lucro
Delito Prisioacuten
52
53
Beatriz Vargas
Director Comercial
beatrizvbsconsultingcommx
Tel 6380 5705 Cel 551071 9446
Ricardo Rangel
Director de Proyectos Estraacutetegicos
ricardorbsconsultingcommx
Tel 6380 5705 Cel 554453 4778
wwwBSConsultingcommx
Conceptos baacutesicos
iquestCuaacutel es un dato sensiblebull Son datos personales que
afectan la esfera maacutes iacutentima de
su titular o cuya utilizacioacuten
indebida pueda dar origen o
conlleve un riesgo grave para
eacuteste
iquestQueacute es un dato personalbull Es cualquier informacioacuten concer-
niente a una persona fiacutesica
ldquotitularrdquo que la identifica o la hace
identificable
12
Conceptos baacutesicos
bull Soporte fiacutesico (inteligible a
simple vista)
bull Soporte electroacutenico (se
requiere de un aparato con
circuitos electroacutenicos que
procese su contenido)
Medios de almacenamiento
bull Bases de Datos Pueden serexpresados en forma
bull Numeacuterica
bull Alfanumeacuterica
bull Graacutefica
bull Fotograacutefica
bull Acuacutestica
bull Cualquier otro tipo detecnologiacutea disponible en elmercado
13
Obtencioacuten de datos
Medios para recabar datos personales (DP)
Los datos pueden obtenerse de 3 formas
bull Personalmente Cuando el titular yo representante legal proporciona los DP alresponsable ldquopresencia fiacutesica de ambosrdquo
bull Directa Cuando el titular proporciona los DP por alguacuten medio que permite su entregadirecta al responsable entre ellos medios electroacutenicos sonoros oacutepticos visuales ocualquier otra tecnologiacutea que pueda utilizarse para ello
bull Indirecta Cuando el Responsable obtienen los DP sin que el titular se los hayaproporcionado de forma personal o directa como podriacutea ser a traveacutes de transferencias ofuentes de acceso puacuteblico (medios expresamente definidos para hacer de conocimiento delpuacuteblico en general los datos que contiene ej paacutegina de Internet boletiacuten diario oficial entreotros)
14
Tratamiento de Datos Personales
15
Es la obtencioacuten
divulgacioacuten uso o
almacenamiento de
datos personales por
cualquier medio
El uso abarca cualquier
accioacuten de acceso
manejo aprovecha-
miento transferencia o
disposicioacuten de datos
personales
16
Datos de identificacioacuten
Datos de contacto
Datos laborales
Datos sobre caracteriacutesticas fiacutesicas
Datos acadeacutemicos
Datos patrimoniales o financieros
17
Datos biomeacutetricos
Datos ideoloacutegicos
Datos sobre opiniones poliacuteticas
Datos sobre afiliacioacuten sindical
Datos de vida sexual
Datos de Salud
Datos de origen eacutetnico o racial
IMPORTANTE Las caracteriacutesticas de los datos personales y datos personales
sensibles de este documento son soacutelo una orientacioacuten ya que el pleno del Ifai
no ha emitido criterios institucionales al respecto ademaacutes de que ciertos datos
personales que en un principio no se consideren sensibles podriacutean llegar a serlo
dependiendo del contexto en que se trate la informacioacuten
IV Designar un encargado
o departamento de Datos
Personales
18
Actores principalesResponsable
Es la persona fiacutesica o moral de caraacutecter privado que DECIDE
sobre el tratamiento de los DP es decir
bull Quien establece las finalidades del tratamiento o el uso que se
les daraacute
bull El tipo de datos que se requieren
bull A quieacuten y para queacute se comparten
bull Coacutemo se obtienen almacenan y suprimen y
bull En queacute casos se divulgaraacuten
EncargadoEs la persona fiacutesica o moral (Outsourcing) que trata los datospersonales a nombre y por cuenta del Responsable
bull El encargado NO DECIDE sobre el tratamiento de los datospersonales lo realiza siguiendo las instrucciones delResponsable
Tercerobull Es la persona fiacutesica o moral nacional o extranjera ajena a la
organizacioacuten distinta del responsable encargado o titular 19
iquestCoacutemo seleccionar al ldquoEncargado de
DPrdquoEs importante considerar
bull Tamantildeo y capacidad de la organizacioacuten
bull Tipo y volumen de datos obtenidos
bull Naturaleza e intensidad del tratamiento
bull Nivel de riesgo y confidencialidad
La persona o Departamento de DP ldquoEncargado de
DPrdquo debe
bull Atender las Solicitudes de Derechos ARCO
bull Fomentar la proteccioacuten de DP al interior del
negocioArt 30 de la LFPDPPP
Es indispensable que el Responsable formalice la
relacioacuten con el Encargado de DP mediante un
instrumento juriacutedico (contrato claacuteusulas contractuales
acuerdos o convenios) en el que se establezcan las
obligaciones de ambos en torno a la proteccioacuten de datos
personales
Oficial de
Proteccioacuten de DP
20
V Identificar
Transferencias
21
TransferenciasTransferencia de DP
bull La transferencia es la comunicacioacuten de datospersonales dentro o fuera del territorio nacionala persona distinta del titular del Responsable odel encargado
bull Formalizarla a traveacutes de instrumentojuriacutedico
bull Debe ser Informada al titular a traveacutes delAviso de Privacidad a quien se transfiereny para que fines
bull Limitarse a las finalidades notificadas en elAviso de Privacidad y consentidas por eltitular
bull Se podraacute realizar hasta que se hayaobtenido el consentimiento del titular salvolas excepciones marcadas en el Art 37 dela Ley
bull Los Receptores asumen las mismasobligaciones del Responsable sobre los datosrecibidos de acuerdo con el Aviso de privacidady Contrato firmado entre las partes
Encargado
Responsable
Tercero
Transferencia interna
ldquoRemisioacuten de DPrdquo
Transferencia a
terceros
Cuando esteacute previsto en una Ley o Tratado en el que Meacutexico sea parte para
la prevencioacuten o el diagnoacutestico meacutedico para el cumplimiento de una relacioacuten
juriacutedica o salvaguarda de un intereacutes puacuteblico o procuracioacuten de justicia
22
23
Si el Responsable se adhiere a la infraestructura los servicios
o aplicaciones el proveedor deberaacute cumplir con las siguientes
condiciones definidas en el Art 52 del Reglamento de la Ley de lo
contrario el Responsable NO podraacute adherirse
I Cumpla al menos con lo siguiente
a) Tener y aplicar poliacuteticas de Proteccioacuten de DP y
medidas de seguridad acorden a la LFPDPPP
b) Transparentar las subcontrataciones
c) Abstenerse de asumir la titularidad o
propiedad de la informacioacuten y guardar
confidencialidad
d) Garantizar la supresioacuten de los DP una vez que
haya concluido el servicio prestado al
Responsable
VI Principios y deberes
24
Cumplir con los
Principios y deberes
25
Licitud
Lealtad
Proporcionalidad
Calidad
Finalidad
Consentimiento
Informacioacuten
Responsabilidad
Licitud
Lealtad
Principios
26
bull Todo tratamiento de datos personales
debe ser con estricto apego y
cumplimiento a lo dispuesto por la
legislacioacuten mexicana y el derecho
internacional
bull El tratamiento de DP debe realizarse en
atencioacuten a lo acordado NO deben de
utilizarse medios engantildeosos o fraudu-
lentos para recabar y tratar DP
Licitud
Lealtad
Principios
27
Proporcionalidad
Calidad
bull Los DP tratados deben ser los miacutenimos
necesarios para el cumplimiento de la
finalidad para la cual se recabaron
bull El responsable deberaacute aplicar el Criterio
de minimizacioacuten
bull Los DP deben ser correctos exactos
completos pertinentes y actualizados de
acuerdo con la finalidad para la cual
fueron recabados
Principio finalidad
28
bull Dan origen y son necesarias
para la relacioacuten juriacutedica
bull Una relacioacuten juriacutedica debe estar
enmarcada por los siguientes
factores
bull Viacutenculo entre los sujetos
bull Dos o mas sujetos
bull Estar regulado por el derecho y
bull Producir consecuencias juriacutedicas
El tratamiento de DP debe ser soacutelo el necesario para cumplir con la
finalidad determinada y legiacutetima que se sentildealoacute en el aviso de privacidad
de manera clara y objetiva
bull Finalidades distintas a las quedieron origen a la relacioacuten juriacutedicao bien aquellas legalmentepermitidas o para las que elresponsable haya obtenido elconsentimientondash Mercadoloacutegicos publicitarias
ndash Promocionales comunicacioacutenprospeccioacuten referencia comercial
ndash Videografacioacuten y toma de fotigrafiacuteas
bull El titular puede oponerse altratamiento de sus datos paraestas finalidades y no seraacute motivopara negar el servicio solicitado
Primarias Secundarias
Principio Consentimientobull Facultad de las personas para decidir sobre el tratamiento de sus DP
el cual taacutecito expreso o expreso y por escrito debe ser libre especiacuteficoinformado e inequiacutevoco
bull Si una ley o reglamento en lo particular exige el consentimiento expreso oexpreso y por escrito para el tratamiento de DP el responsable deberaacutesolicitarlo de esa forma aunque no se trate de datos financierospatrimoniales o sensibles
Nota No es necesario solicitar el consentimiento cuando el tratamiento de los DP sea en cumplimientoa obligaciones derivado de una relacioacuten juriacutedica entre el titular y el Responsable
Tipo de Consentimiento
bull Taacutecito
bull Expreso
bull Expreso y por escrito
Para que tipo de datos se requiere
bull Para cualquier tipo de dato personal con excepcioacuten de los datos patrimoniales financieros y sensibles
bull Para datos financieros y patrimoniales
bull Para datos personales sensibles
29
Principio de Responsabilidad
30
bull Establecer Medidas de Seguridad administrativas fiacutesicas yo
teacutecnicas para la proteccioacuten de los DP mismas que deben ser
documentadas (acciones anaacutelisis de riesgo anaacutelisis de
brecha revisiones o auditoriacuteas capacitacioacuten entre otras)
Algunas medidas baacutesicas pueden ser
1 Elaborar Poliacuteticas de Proteccioacuten de DP al
interior del negocio que incluyan sistemas de
supervisioacuten y vigilancia
2 Brindar capacitacioacuten para la concientizacioacuten de
personal
3 Establecer procedimientos para atender las
dudas o quejas de los titulares
31
iquestQueacute es el Aviso de Privacidad
Es un documento fiacutesico electroacutenico visual sonoro
o en cualquier otro formato generado por el
responsable de manera sencilla con un lenguaje
claro y comprensible de aceurdo al perfil de los
titulares puesto a su disposicioacuten previo al
tratamiento de sus datos personales
Establecer los teacuterminos y condiciones generales del
tratamiento de los datos personales que recaba
El Responsable deberaacute tener el nuacutemero de avisos de
pivacidad que resulte necesario de acuerdo a los
tratamientos que realice a los DP
32
El aviso de privacidad debe estar disponible en alguno de los
siguientes soportes
Fiacutesico (en papel)
Electroacutenico (paacuteginas web correos electroacutenicos etc)
Visual ( pantalla de TV videos etc)
Sonoro (Grabaciones IVR etc)
En otros medios (prensa)
33
No usar frases inexactas ambiguas o vagas como ldquoentre
otrosrdquo ldquocomo por ejemplordquo ldquoDe manera enunciativa maacutes no
limitativardquo
No incluir textos o frases que induzcan al titular de manera
engantildeosa o fraudulenta (ejemplo ldquoLe recomendamos que
nos autorice el uso de su informacioacuten personal sin restriccioacuten
alguna para ser maacutes eficiente nuestro trabajordquo
No remitir al titular a textos o documentos que no esteacuten
disponibes (links disponibles)
No incluir casillas u otros mecanismos similares que esteacuten
marcados previamente que obliguen a los titulares a
desmarcarlos para modificar la condicioacuten previamente
establecida
34
35
Ejemplo AP
36
Modalidades
del Aviso de
Privacidad
Integral
Simplificado
Corto
Cuando los datos se obtengan
personalmente del titular
(entrevista)
Cuando se obtienen de manera
directa (contacto paacuteg web ndash viacutea
telefoacutenica)
Cuando el espacio para dar a
conocer el aviso sea limitado
(correo formatos SMS etc)
Nota De acuerdo al tipo de DP que se recabe se deberaacute solicitar el
consentimiento correspondiente
37
ldquoObligacioacuten de guardar secreto de
los datos persnales que son
tratadosrdquo
El Responsable debe adoptar medidas para
evitar que quienes tengan acceso a eacutestos
divulguen dicha informacioacuten
Se debe cumplir aun una vez que finalice la
relacioacuten contractual o laboral entre el
responsable y quien tenga accesos a los
datos personales para el desarrollo de las
tareas o funciones que se le hubiern
encomendado
38
Establecer Medidas de seguridad administrativas fiacutesicas y teacutecnicas para la
proteger los DP mismas que deben ser documentadas (acciones anaacutelisis de
riesgo anaacutelisis de brecha revisiones o auditoriacuteas capacitacioacuten entre otras)
39
Peacuterdida destruccioacuten robo
extraviacuteo copia uso
acceso tratamiento dantildeo
alteracioacuten o modificacioacuten
NO AUTORIZADO
Si hay vulneracioacuten que impacte los derechos patrimoniales o
morales de los titulares se deberaacuten tomar acciones e informar a
los titulares sin dilacioacuten con el fin de que eacutestos tomen las medidas
pertinentes
VII Derechos ARCO y la
Proteccioacuten de Derechos
40
41
Cada uno de nosotros como titulares de los DP o en su caso nuestro
representante legal podremos ejercer cualquiera de los derechos ARCO ante
las empresas que los tengan en sus bases de datos
42
Mecanismos para que los ciudadanos podamos limitar el
uso de nuestros datos personales para fines comerciales
(liacuteneas telefoacutenicas particulares o moviles asiacute como sus
correos electroacutenicos domicilios y nombres)
Estas pueden ser propios o de organismos como la
PROFECO y la CONDUSEF que ya han creado estas
listas para registro opcional de los ciudadanos
REPEP (Registro Puacuteblico para Evitar Publicidad y
REUNS (Registro Puacuteblico de Usuarios que no desean
informacioacuten publicitaria de Productos y Servicios
Financieros)
Las empresas que realizan actividades de promocioacuten
deberaacuten previamente validar la existencia de los datos de
sus prospectos en estas listas para no incurrir en una
violacioacuten a la privacidad de los mismos
43
La empresa debe designar una persona
o un departamento interno para atender
las solicitudes de los Titulares de los
Datos a traveacutes del Ejercicio de sus
derechos ARCO
El Reglamento yo su encargado definen
su proceso interno medios y
procedimientos para la recepcioacuten
atencioacuten y resolucioacuten de las Solicitudes
de Derechos ARCO
El Ejercicio de los derechos debe ser
gratuito soacutelo en caso de reproduccioacuten o
enviacuteo el titular pagara los costos
correspondientes
44
El Titular Entrega solicitud de Derechos ARCO en
2 tantos que incluyen
bull Identificacioacuten oficial
bull Datos de localizacioacuten para
mantener la comunicacioacuten yo enviar
notificaciones
bull Documentacioacuten que ayude a su aacutegil
localizacioacuten o para demostrar la
correccioacuten o cambio solicitado
Espera 20 diacuteas la resolucioacuten ldquoprocede o
nordquo su solicitud
Espera 15 diacuteas maacutes aplicacioacuten de
resolucioacuten
45
El Departamento yo Encargado
de DP Entregar explicar yo recibir la solicitud de
Derechos ARCO en 2 tantos
bull Sellar la recepcioacuten con fecha y firma de
quien la recibe
bull Revisar y realizar el anaacutelisis de
procedencia de la solicitud (20 diacuteas
haacutebiles)
bull Notificar al titular la resolucioacuten proceda o
no
bull Aplicar resolucioacuten (15 diacuteas haacutebiles)
Nota El Responsible puede si asiacute se requiere y justifica incrementar el
plazo por uacutenica ocasioacuten por los mismos plazos descritos en cada
proceso previa notificacioacuten al titular
46
El titular o su representante legal no se
acrediten debidamente
No se encuentren los datos personales
en su base (s) de datos
Se lesionen derechos de terceros
La rectificacioacuten cancelacioacuten u oposicioacuten
hayan sido solicitadas preaviamente
Exista impedimento legal o resolucioacuten de
las autoridades que restrinja el ejercicio
de estos derechos
El Responsable podraacute negar el ejercicio
de los Derechos ARCO cuando
VIII Proteccioacuten de Derechos
ante el Ifai
47
48
Expresar claramente el
contenido de su
reclamacioacuten
Presentar el
documento que pruebe
la fecha en que
presentoacute la solicitud de
Derechos ARCO
bull Por escrito libre o a traveacutes de los
formatos establecidos por el IFAI
bull Sistema electroacutenico
bull En el domicilio del Instituto u oficina habilitada
bull Por correo certificado con acuse de recibo
El titular o su representante legal presenta su solicitud de proteccioacuten de derechos ante
el IFAI
Estaacute inconforme con la
respuesta
Dentro de los 15 diacuteas siguientes a la fecha en
que se comunique la respuesta
No recibioacute respuesta
Dentro de los 15 diacuteas a partir de que haya vencido el plazo de
respuesta
El TitularPlazos
Podraacute interponerse
IX Sanciones e Infracciones
49
50
El Salario miacutenimo vigente en el DF para 2014 es
Salario Miacutenimo ZonaAacuterea geograacutefica A 6729 pesos diarios
Fuente httpsalariominimocommxsalario-minimo-2014
DSMV DF Diacuteas de Salario Miacutenimo vigente en el Distrito Federal
No dar atencioacuten a las solicitudes ARCO
El apercibimiento para que el
responsable lleve a cabo los actos solicitados por el
titular
Omitir el aviso mantener DP
inexactos negar la existencia de DP con
dolo
Multa de 100 a 160000 VSM DF
De $6230 a $9972800
Incumplir deber de confidencialidad
cambiar la finalidad o realizar transferencias sin dar aviso de ello o vulnerar la seguridad de las bases de datos
Multa de 200 a 320000 VSM DF
De $12466 a $19945600
51
Trataacutendose de datos
personales sensibles
Provocar una vulneracioacuten de
seguridad a las bases de
datos bajo su custodia
3 meses a 3 antildeos
Tratamiento de DP
mediante el engantildeo
aprovechaacutendose del error
del titular o del
responsable
6 meses a 5 antildeos
Penas
anteriores
Delitos llevados
a cabo con
aacutenimo de lucro
Delito Prisioacuten
52
53
Beatriz Vargas
Director Comercial
beatrizvbsconsultingcommx
Tel 6380 5705 Cel 551071 9446
Ricardo Rangel
Director de Proyectos Estraacutetegicos
ricardorbsconsultingcommx
Tel 6380 5705 Cel 554453 4778
wwwBSConsultingcommx
Conceptos baacutesicos
bull Soporte fiacutesico (inteligible a
simple vista)
bull Soporte electroacutenico (se
requiere de un aparato con
circuitos electroacutenicos que
procese su contenido)
Medios de almacenamiento
bull Bases de Datos Pueden serexpresados en forma
bull Numeacuterica
bull Alfanumeacuterica
bull Graacutefica
bull Fotograacutefica
bull Acuacutestica
bull Cualquier otro tipo detecnologiacutea disponible en elmercado
13
Obtencioacuten de datos
Medios para recabar datos personales (DP)
Los datos pueden obtenerse de 3 formas
bull Personalmente Cuando el titular yo representante legal proporciona los DP alresponsable ldquopresencia fiacutesica de ambosrdquo
bull Directa Cuando el titular proporciona los DP por alguacuten medio que permite su entregadirecta al responsable entre ellos medios electroacutenicos sonoros oacutepticos visuales ocualquier otra tecnologiacutea que pueda utilizarse para ello
bull Indirecta Cuando el Responsable obtienen los DP sin que el titular se los hayaproporcionado de forma personal o directa como podriacutea ser a traveacutes de transferencias ofuentes de acceso puacuteblico (medios expresamente definidos para hacer de conocimiento delpuacuteblico en general los datos que contiene ej paacutegina de Internet boletiacuten diario oficial entreotros)
14
Tratamiento de Datos Personales
15
Es la obtencioacuten
divulgacioacuten uso o
almacenamiento de
datos personales por
cualquier medio
El uso abarca cualquier
accioacuten de acceso
manejo aprovecha-
miento transferencia o
disposicioacuten de datos
personales
16
Datos de identificacioacuten
Datos de contacto
Datos laborales
Datos sobre caracteriacutesticas fiacutesicas
Datos acadeacutemicos
Datos patrimoniales o financieros
17
Datos biomeacutetricos
Datos ideoloacutegicos
Datos sobre opiniones poliacuteticas
Datos sobre afiliacioacuten sindical
Datos de vida sexual
Datos de Salud
Datos de origen eacutetnico o racial
IMPORTANTE Las caracteriacutesticas de los datos personales y datos personales
sensibles de este documento son soacutelo una orientacioacuten ya que el pleno del Ifai
no ha emitido criterios institucionales al respecto ademaacutes de que ciertos datos
personales que en un principio no se consideren sensibles podriacutean llegar a serlo
dependiendo del contexto en que se trate la informacioacuten
IV Designar un encargado
o departamento de Datos
Personales
18
Actores principalesResponsable
Es la persona fiacutesica o moral de caraacutecter privado que DECIDE
sobre el tratamiento de los DP es decir
bull Quien establece las finalidades del tratamiento o el uso que se
les daraacute
bull El tipo de datos que se requieren
bull A quieacuten y para queacute se comparten
bull Coacutemo se obtienen almacenan y suprimen y
bull En queacute casos se divulgaraacuten
EncargadoEs la persona fiacutesica o moral (Outsourcing) que trata los datospersonales a nombre y por cuenta del Responsable
bull El encargado NO DECIDE sobre el tratamiento de los datospersonales lo realiza siguiendo las instrucciones delResponsable
Tercerobull Es la persona fiacutesica o moral nacional o extranjera ajena a la
organizacioacuten distinta del responsable encargado o titular 19
iquestCoacutemo seleccionar al ldquoEncargado de
DPrdquoEs importante considerar
bull Tamantildeo y capacidad de la organizacioacuten
bull Tipo y volumen de datos obtenidos
bull Naturaleza e intensidad del tratamiento
bull Nivel de riesgo y confidencialidad
La persona o Departamento de DP ldquoEncargado de
DPrdquo debe
bull Atender las Solicitudes de Derechos ARCO
bull Fomentar la proteccioacuten de DP al interior del
negocioArt 30 de la LFPDPPP
Es indispensable que el Responsable formalice la
relacioacuten con el Encargado de DP mediante un
instrumento juriacutedico (contrato claacuteusulas contractuales
acuerdos o convenios) en el que se establezcan las
obligaciones de ambos en torno a la proteccioacuten de datos
personales
Oficial de
Proteccioacuten de DP
20
V Identificar
Transferencias
21
TransferenciasTransferencia de DP
bull La transferencia es la comunicacioacuten de datospersonales dentro o fuera del territorio nacionala persona distinta del titular del Responsable odel encargado
bull Formalizarla a traveacutes de instrumentojuriacutedico
bull Debe ser Informada al titular a traveacutes delAviso de Privacidad a quien se transfiereny para que fines
bull Limitarse a las finalidades notificadas en elAviso de Privacidad y consentidas por eltitular
bull Se podraacute realizar hasta que se hayaobtenido el consentimiento del titular salvolas excepciones marcadas en el Art 37 dela Ley
bull Los Receptores asumen las mismasobligaciones del Responsable sobre los datosrecibidos de acuerdo con el Aviso de privacidady Contrato firmado entre las partes
Encargado
Responsable
Tercero
Transferencia interna
ldquoRemisioacuten de DPrdquo
Transferencia a
terceros
Cuando esteacute previsto en una Ley o Tratado en el que Meacutexico sea parte para
la prevencioacuten o el diagnoacutestico meacutedico para el cumplimiento de una relacioacuten
juriacutedica o salvaguarda de un intereacutes puacuteblico o procuracioacuten de justicia
22
23
Si el Responsable se adhiere a la infraestructura los servicios
o aplicaciones el proveedor deberaacute cumplir con las siguientes
condiciones definidas en el Art 52 del Reglamento de la Ley de lo
contrario el Responsable NO podraacute adherirse
I Cumpla al menos con lo siguiente
a) Tener y aplicar poliacuteticas de Proteccioacuten de DP y
medidas de seguridad acorden a la LFPDPPP
b) Transparentar las subcontrataciones
c) Abstenerse de asumir la titularidad o
propiedad de la informacioacuten y guardar
confidencialidad
d) Garantizar la supresioacuten de los DP una vez que
haya concluido el servicio prestado al
Responsable
VI Principios y deberes
24
Cumplir con los
Principios y deberes
25
Licitud
Lealtad
Proporcionalidad
Calidad
Finalidad
Consentimiento
Informacioacuten
Responsabilidad
Licitud
Lealtad
Principios
26
bull Todo tratamiento de datos personales
debe ser con estricto apego y
cumplimiento a lo dispuesto por la
legislacioacuten mexicana y el derecho
internacional
bull El tratamiento de DP debe realizarse en
atencioacuten a lo acordado NO deben de
utilizarse medios engantildeosos o fraudu-
lentos para recabar y tratar DP
Licitud
Lealtad
Principios
27
Proporcionalidad
Calidad
bull Los DP tratados deben ser los miacutenimos
necesarios para el cumplimiento de la
finalidad para la cual se recabaron
bull El responsable deberaacute aplicar el Criterio
de minimizacioacuten
bull Los DP deben ser correctos exactos
completos pertinentes y actualizados de
acuerdo con la finalidad para la cual
fueron recabados
Principio finalidad
28
bull Dan origen y son necesarias
para la relacioacuten juriacutedica
bull Una relacioacuten juriacutedica debe estar
enmarcada por los siguientes
factores
bull Viacutenculo entre los sujetos
bull Dos o mas sujetos
bull Estar regulado por el derecho y
bull Producir consecuencias juriacutedicas
El tratamiento de DP debe ser soacutelo el necesario para cumplir con la
finalidad determinada y legiacutetima que se sentildealoacute en el aviso de privacidad
de manera clara y objetiva
bull Finalidades distintas a las quedieron origen a la relacioacuten juriacutedicao bien aquellas legalmentepermitidas o para las que elresponsable haya obtenido elconsentimientondash Mercadoloacutegicos publicitarias
ndash Promocionales comunicacioacutenprospeccioacuten referencia comercial
ndash Videografacioacuten y toma de fotigrafiacuteas
bull El titular puede oponerse altratamiento de sus datos paraestas finalidades y no seraacute motivopara negar el servicio solicitado
Primarias Secundarias
Principio Consentimientobull Facultad de las personas para decidir sobre el tratamiento de sus DP
el cual taacutecito expreso o expreso y por escrito debe ser libre especiacuteficoinformado e inequiacutevoco
bull Si una ley o reglamento en lo particular exige el consentimiento expreso oexpreso y por escrito para el tratamiento de DP el responsable deberaacutesolicitarlo de esa forma aunque no se trate de datos financierospatrimoniales o sensibles
Nota No es necesario solicitar el consentimiento cuando el tratamiento de los DP sea en cumplimientoa obligaciones derivado de una relacioacuten juriacutedica entre el titular y el Responsable
Tipo de Consentimiento
bull Taacutecito
bull Expreso
bull Expreso y por escrito
Para que tipo de datos se requiere
bull Para cualquier tipo de dato personal con excepcioacuten de los datos patrimoniales financieros y sensibles
bull Para datos financieros y patrimoniales
bull Para datos personales sensibles
29
Principio de Responsabilidad
30
bull Establecer Medidas de Seguridad administrativas fiacutesicas yo
teacutecnicas para la proteccioacuten de los DP mismas que deben ser
documentadas (acciones anaacutelisis de riesgo anaacutelisis de
brecha revisiones o auditoriacuteas capacitacioacuten entre otras)
Algunas medidas baacutesicas pueden ser
1 Elaborar Poliacuteticas de Proteccioacuten de DP al
interior del negocio que incluyan sistemas de
supervisioacuten y vigilancia
2 Brindar capacitacioacuten para la concientizacioacuten de
personal
3 Establecer procedimientos para atender las
dudas o quejas de los titulares
31
iquestQueacute es el Aviso de Privacidad
Es un documento fiacutesico electroacutenico visual sonoro
o en cualquier otro formato generado por el
responsable de manera sencilla con un lenguaje
claro y comprensible de aceurdo al perfil de los
titulares puesto a su disposicioacuten previo al
tratamiento de sus datos personales
Establecer los teacuterminos y condiciones generales del
tratamiento de los datos personales que recaba
El Responsable deberaacute tener el nuacutemero de avisos de
pivacidad que resulte necesario de acuerdo a los
tratamientos que realice a los DP
32
El aviso de privacidad debe estar disponible en alguno de los
siguientes soportes
Fiacutesico (en papel)
Electroacutenico (paacuteginas web correos electroacutenicos etc)
Visual ( pantalla de TV videos etc)
Sonoro (Grabaciones IVR etc)
En otros medios (prensa)
33
No usar frases inexactas ambiguas o vagas como ldquoentre
otrosrdquo ldquocomo por ejemplordquo ldquoDe manera enunciativa maacutes no
limitativardquo
No incluir textos o frases que induzcan al titular de manera
engantildeosa o fraudulenta (ejemplo ldquoLe recomendamos que
nos autorice el uso de su informacioacuten personal sin restriccioacuten
alguna para ser maacutes eficiente nuestro trabajordquo
No remitir al titular a textos o documentos que no esteacuten
disponibes (links disponibles)
No incluir casillas u otros mecanismos similares que esteacuten
marcados previamente que obliguen a los titulares a
desmarcarlos para modificar la condicioacuten previamente
establecida
34
35
Ejemplo AP
36
Modalidades
del Aviso de
Privacidad
Integral
Simplificado
Corto
Cuando los datos se obtengan
personalmente del titular
(entrevista)
Cuando se obtienen de manera
directa (contacto paacuteg web ndash viacutea
telefoacutenica)
Cuando el espacio para dar a
conocer el aviso sea limitado
(correo formatos SMS etc)
Nota De acuerdo al tipo de DP que se recabe se deberaacute solicitar el
consentimiento correspondiente
37
ldquoObligacioacuten de guardar secreto de
los datos persnales que son
tratadosrdquo
El Responsable debe adoptar medidas para
evitar que quienes tengan acceso a eacutestos
divulguen dicha informacioacuten
Se debe cumplir aun una vez que finalice la
relacioacuten contractual o laboral entre el
responsable y quien tenga accesos a los
datos personales para el desarrollo de las
tareas o funciones que se le hubiern
encomendado
38
Establecer Medidas de seguridad administrativas fiacutesicas y teacutecnicas para la
proteger los DP mismas que deben ser documentadas (acciones anaacutelisis de
riesgo anaacutelisis de brecha revisiones o auditoriacuteas capacitacioacuten entre otras)
39
Peacuterdida destruccioacuten robo
extraviacuteo copia uso
acceso tratamiento dantildeo
alteracioacuten o modificacioacuten
NO AUTORIZADO
Si hay vulneracioacuten que impacte los derechos patrimoniales o
morales de los titulares se deberaacuten tomar acciones e informar a
los titulares sin dilacioacuten con el fin de que eacutestos tomen las medidas
pertinentes
VII Derechos ARCO y la
Proteccioacuten de Derechos
40
41
Cada uno de nosotros como titulares de los DP o en su caso nuestro
representante legal podremos ejercer cualquiera de los derechos ARCO ante
las empresas que los tengan en sus bases de datos
42
Mecanismos para que los ciudadanos podamos limitar el
uso de nuestros datos personales para fines comerciales
(liacuteneas telefoacutenicas particulares o moviles asiacute como sus
correos electroacutenicos domicilios y nombres)
Estas pueden ser propios o de organismos como la
PROFECO y la CONDUSEF que ya han creado estas
listas para registro opcional de los ciudadanos
REPEP (Registro Puacuteblico para Evitar Publicidad y
REUNS (Registro Puacuteblico de Usuarios que no desean
informacioacuten publicitaria de Productos y Servicios
Financieros)
Las empresas que realizan actividades de promocioacuten
deberaacuten previamente validar la existencia de los datos de
sus prospectos en estas listas para no incurrir en una
violacioacuten a la privacidad de los mismos
43
La empresa debe designar una persona
o un departamento interno para atender
las solicitudes de los Titulares de los
Datos a traveacutes del Ejercicio de sus
derechos ARCO
El Reglamento yo su encargado definen
su proceso interno medios y
procedimientos para la recepcioacuten
atencioacuten y resolucioacuten de las Solicitudes
de Derechos ARCO
El Ejercicio de los derechos debe ser
gratuito soacutelo en caso de reproduccioacuten o
enviacuteo el titular pagara los costos
correspondientes
44
El Titular Entrega solicitud de Derechos ARCO en
2 tantos que incluyen
bull Identificacioacuten oficial
bull Datos de localizacioacuten para
mantener la comunicacioacuten yo enviar
notificaciones
bull Documentacioacuten que ayude a su aacutegil
localizacioacuten o para demostrar la
correccioacuten o cambio solicitado
Espera 20 diacuteas la resolucioacuten ldquoprocede o
nordquo su solicitud
Espera 15 diacuteas maacutes aplicacioacuten de
resolucioacuten
45
El Departamento yo Encargado
de DP Entregar explicar yo recibir la solicitud de
Derechos ARCO en 2 tantos
bull Sellar la recepcioacuten con fecha y firma de
quien la recibe
bull Revisar y realizar el anaacutelisis de
procedencia de la solicitud (20 diacuteas
haacutebiles)
bull Notificar al titular la resolucioacuten proceda o
no
bull Aplicar resolucioacuten (15 diacuteas haacutebiles)
Nota El Responsible puede si asiacute se requiere y justifica incrementar el
plazo por uacutenica ocasioacuten por los mismos plazos descritos en cada
proceso previa notificacioacuten al titular
46
El titular o su representante legal no se
acrediten debidamente
No se encuentren los datos personales
en su base (s) de datos
Se lesionen derechos de terceros
La rectificacioacuten cancelacioacuten u oposicioacuten
hayan sido solicitadas preaviamente
Exista impedimento legal o resolucioacuten de
las autoridades que restrinja el ejercicio
de estos derechos
El Responsable podraacute negar el ejercicio
de los Derechos ARCO cuando
VIII Proteccioacuten de Derechos
ante el Ifai
47
48
Expresar claramente el
contenido de su
reclamacioacuten
Presentar el
documento que pruebe
la fecha en que
presentoacute la solicitud de
Derechos ARCO
bull Por escrito libre o a traveacutes de los
formatos establecidos por el IFAI
bull Sistema electroacutenico
bull En el domicilio del Instituto u oficina habilitada
bull Por correo certificado con acuse de recibo
El titular o su representante legal presenta su solicitud de proteccioacuten de derechos ante
el IFAI
Estaacute inconforme con la
respuesta
Dentro de los 15 diacuteas siguientes a la fecha en
que se comunique la respuesta
No recibioacute respuesta
Dentro de los 15 diacuteas a partir de que haya vencido el plazo de
respuesta
El TitularPlazos
Podraacute interponerse
IX Sanciones e Infracciones
49
50
El Salario miacutenimo vigente en el DF para 2014 es
Salario Miacutenimo ZonaAacuterea geograacutefica A 6729 pesos diarios
Fuente httpsalariominimocommxsalario-minimo-2014
DSMV DF Diacuteas de Salario Miacutenimo vigente en el Distrito Federal
No dar atencioacuten a las solicitudes ARCO
El apercibimiento para que el
responsable lleve a cabo los actos solicitados por el
titular
Omitir el aviso mantener DP
inexactos negar la existencia de DP con
dolo
Multa de 100 a 160000 VSM DF
De $6230 a $9972800
Incumplir deber de confidencialidad
cambiar la finalidad o realizar transferencias sin dar aviso de ello o vulnerar la seguridad de las bases de datos
Multa de 200 a 320000 VSM DF
De $12466 a $19945600
51
Trataacutendose de datos
personales sensibles
Provocar una vulneracioacuten de
seguridad a las bases de
datos bajo su custodia
3 meses a 3 antildeos
Tratamiento de DP
mediante el engantildeo
aprovechaacutendose del error
del titular o del
responsable
6 meses a 5 antildeos
Penas
anteriores
Delitos llevados
a cabo con
aacutenimo de lucro
Delito Prisioacuten
52
53
Beatriz Vargas
Director Comercial
beatrizvbsconsultingcommx
Tel 6380 5705 Cel 551071 9446
Ricardo Rangel
Director de Proyectos Estraacutetegicos
ricardorbsconsultingcommx
Tel 6380 5705 Cel 554453 4778
wwwBSConsultingcommx
Obtencioacuten de datos
Medios para recabar datos personales (DP)
Los datos pueden obtenerse de 3 formas
bull Personalmente Cuando el titular yo representante legal proporciona los DP alresponsable ldquopresencia fiacutesica de ambosrdquo
bull Directa Cuando el titular proporciona los DP por alguacuten medio que permite su entregadirecta al responsable entre ellos medios electroacutenicos sonoros oacutepticos visuales ocualquier otra tecnologiacutea que pueda utilizarse para ello
bull Indirecta Cuando el Responsable obtienen los DP sin que el titular se los hayaproporcionado de forma personal o directa como podriacutea ser a traveacutes de transferencias ofuentes de acceso puacuteblico (medios expresamente definidos para hacer de conocimiento delpuacuteblico en general los datos que contiene ej paacutegina de Internet boletiacuten diario oficial entreotros)
14
Tratamiento de Datos Personales
15
Es la obtencioacuten
divulgacioacuten uso o
almacenamiento de
datos personales por
cualquier medio
El uso abarca cualquier
accioacuten de acceso
manejo aprovecha-
miento transferencia o
disposicioacuten de datos
personales
16
Datos de identificacioacuten
Datos de contacto
Datos laborales
Datos sobre caracteriacutesticas fiacutesicas
Datos acadeacutemicos
Datos patrimoniales o financieros
17
Datos biomeacutetricos
Datos ideoloacutegicos
Datos sobre opiniones poliacuteticas
Datos sobre afiliacioacuten sindical
Datos de vida sexual
Datos de Salud
Datos de origen eacutetnico o racial
IMPORTANTE Las caracteriacutesticas de los datos personales y datos personales
sensibles de este documento son soacutelo una orientacioacuten ya que el pleno del Ifai
no ha emitido criterios institucionales al respecto ademaacutes de que ciertos datos
personales que en un principio no se consideren sensibles podriacutean llegar a serlo
dependiendo del contexto en que se trate la informacioacuten
IV Designar un encargado
o departamento de Datos
Personales
18
Actores principalesResponsable
Es la persona fiacutesica o moral de caraacutecter privado que DECIDE
sobre el tratamiento de los DP es decir
bull Quien establece las finalidades del tratamiento o el uso que se
les daraacute
bull El tipo de datos que se requieren
bull A quieacuten y para queacute se comparten
bull Coacutemo se obtienen almacenan y suprimen y
bull En queacute casos se divulgaraacuten
EncargadoEs la persona fiacutesica o moral (Outsourcing) que trata los datospersonales a nombre y por cuenta del Responsable
bull El encargado NO DECIDE sobre el tratamiento de los datospersonales lo realiza siguiendo las instrucciones delResponsable
Tercerobull Es la persona fiacutesica o moral nacional o extranjera ajena a la
organizacioacuten distinta del responsable encargado o titular 19
iquestCoacutemo seleccionar al ldquoEncargado de
DPrdquoEs importante considerar
bull Tamantildeo y capacidad de la organizacioacuten
bull Tipo y volumen de datos obtenidos
bull Naturaleza e intensidad del tratamiento
bull Nivel de riesgo y confidencialidad
La persona o Departamento de DP ldquoEncargado de
DPrdquo debe
bull Atender las Solicitudes de Derechos ARCO
bull Fomentar la proteccioacuten de DP al interior del
negocioArt 30 de la LFPDPPP
Es indispensable que el Responsable formalice la
relacioacuten con el Encargado de DP mediante un
instrumento juriacutedico (contrato claacuteusulas contractuales
acuerdos o convenios) en el que se establezcan las
obligaciones de ambos en torno a la proteccioacuten de datos
personales
Oficial de
Proteccioacuten de DP
20
V Identificar
Transferencias
21
TransferenciasTransferencia de DP
bull La transferencia es la comunicacioacuten de datospersonales dentro o fuera del territorio nacionala persona distinta del titular del Responsable odel encargado
bull Formalizarla a traveacutes de instrumentojuriacutedico
bull Debe ser Informada al titular a traveacutes delAviso de Privacidad a quien se transfiereny para que fines
bull Limitarse a las finalidades notificadas en elAviso de Privacidad y consentidas por eltitular
bull Se podraacute realizar hasta que se hayaobtenido el consentimiento del titular salvolas excepciones marcadas en el Art 37 dela Ley
bull Los Receptores asumen las mismasobligaciones del Responsable sobre los datosrecibidos de acuerdo con el Aviso de privacidady Contrato firmado entre las partes
Encargado
Responsable
Tercero
Transferencia interna
ldquoRemisioacuten de DPrdquo
Transferencia a
terceros
Cuando esteacute previsto en una Ley o Tratado en el que Meacutexico sea parte para
la prevencioacuten o el diagnoacutestico meacutedico para el cumplimiento de una relacioacuten
juriacutedica o salvaguarda de un intereacutes puacuteblico o procuracioacuten de justicia
22
23
Si el Responsable se adhiere a la infraestructura los servicios
o aplicaciones el proveedor deberaacute cumplir con las siguientes
condiciones definidas en el Art 52 del Reglamento de la Ley de lo
contrario el Responsable NO podraacute adherirse
I Cumpla al menos con lo siguiente
a) Tener y aplicar poliacuteticas de Proteccioacuten de DP y
medidas de seguridad acorden a la LFPDPPP
b) Transparentar las subcontrataciones
c) Abstenerse de asumir la titularidad o
propiedad de la informacioacuten y guardar
confidencialidad
d) Garantizar la supresioacuten de los DP una vez que
haya concluido el servicio prestado al
Responsable
VI Principios y deberes
24
Cumplir con los
Principios y deberes
25
Licitud
Lealtad
Proporcionalidad
Calidad
Finalidad
Consentimiento
Informacioacuten
Responsabilidad
Licitud
Lealtad
Principios
26
bull Todo tratamiento de datos personales
debe ser con estricto apego y
cumplimiento a lo dispuesto por la
legislacioacuten mexicana y el derecho
internacional
bull El tratamiento de DP debe realizarse en
atencioacuten a lo acordado NO deben de
utilizarse medios engantildeosos o fraudu-
lentos para recabar y tratar DP
Licitud
Lealtad
Principios
27
Proporcionalidad
Calidad
bull Los DP tratados deben ser los miacutenimos
necesarios para el cumplimiento de la
finalidad para la cual se recabaron
bull El responsable deberaacute aplicar el Criterio
de minimizacioacuten
bull Los DP deben ser correctos exactos
completos pertinentes y actualizados de
acuerdo con la finalidad para la cual
fueron recabados
Principio finalidad
28
bull Dan origen y son necesarias
para la relacioacuten juriacutedica
bull Una relacioacuten juriacutedica debe estar
enmarcada por los siguientes
factores
bull Viacutenculo entre los sujetos
bull Dos o mas sujetos
bull Estar regulado por el derecho y
bull Producir consecuencias juriacutedicas
El tratamiento de DP debe ser soacutelo el necesario para cumplir con la
finalidad determinada y legiacutetima que se sentildealoacute en el aviso de privacidad
de manera clara y objetiva
bull Finalidades distintas a las quedieron origen a la relacioacuten juriacutedicao bien aquellas legalmentepermitidas o para las que elresponsable haya obtenido elconsentimientondash Mercadoloacutegicos publicitarias
ndash Promocionales comunicacioacutenprospeccioacuten referencia comercial
ndash Videografacioacuten y toma de fotigrafiacuteas
bull El titular puede oponerse altratamiento de sus datos paraestas finalidades y no seraacute motivopara negar el servicio solicitado
Primarias Secundarias
Principio Consentimientobull Facultad de las personas para decidir sobre el tratamiento de sus DP
el cual taacutecito expreso o expreso y por escrito debe ser libre especiacuteficoinformado e inequiacutevoco
bull Si una ley o reglamento en lo particular exige el consentimiento expreso oexpreso y por escrito para el tratamiento de DP el responsable deberaacutesolicitarlo de esa forma aunque no se trate de datos financierospatrimoniales o sensibles
Nota No es necesario solicitar el consentimiento cuando el tratamiento de los DP sea en cumplimientoa obligaciones derivado de una relacioacuten juriacutedica entre el titular y el Responsable
Tipo de Consentimiento
bull Taacutecito
bull Expreso
bull Expreso y por escrito
Para que tipo de datos se requiere
bull Para cualquier tipo de dato personal con excepcioacuten de los datos patrimoniales financieros y sensibles
bull Para datos financieros y patrimoniales
bull Para datos personales sensibles
29
Principio de Responsabilidad
30
bull Establecer Medidas de Seguridad administrativas fiacutesicas yo
teacutecnicas para la proteccioacuten de los DP mismas que deben ser
documentadas (acciones anaacutelisis de riesgo anaacutelisis de
brecha revisiones o auditoriacuteas capacitacioacuten entre otras)
Algunas medidas baacutesicas pueden ser
1 Elaborar Poliacuteticas de Proteccioacuten de DP al
interior del negocio que incluyan sistemas de
supervisioacuten y vigilancia
2 Brindar capacitacioacuten para la concientizacioacuten de
personal
3 Establecer procedimientos para atender las
dudas o quejas de los titulares
31
iquestQueacute es el Aviso de Privacidad
Es un documento fiacutesico electroacutenico visual sonoro
o en cualquier otro formato generado por el
responsable de manera sencilla con un lenguaje
claro y comprensible de aceurdo al perfil de los
titulares puesto a su disposicioacuten previo al
tratamiento de sus datos personales
Establecer los teacuterminos y condiciones generales del
tratamiento de los datos personales que recaba
El Responsable deberaacute tener el nuacutemero de avisos de
pivacidad que resulte necesario de acuerdo a los
tratamientos que realice a los DP
32
El aviso de privacidad debe estar disponible en alguno de los
siguientes soportes
Fiacutesico (en papel)
Electroacutenico (paacuteginas web correos electroacutenicos etc)
Visual ( pantalla de TV videos etc)
Sonoro (Grabaciones IVR etc)
En otros medios (prensa)
33
No usar frases inexactas ambiguas o vagas como ldquoentre
otrosrdquo ldquocomo por ejemplordquo ldquoDe manera enunciativa maacutes no
limitativardquo
No incluir textos o frases que induzcan al titular de manera
engantildeosa o fraudulenta (ejemplo ldquoLe recomendamos que
nos autorice el uso de su informacioacuten personal sin restriccioacuten
alguna para ser maacutes eficiente nuestro trabajordquo
No remitir al titular a textos o documentos que no esteacuten
disponibes (links disponibles)
No incluir casillas u otros mecanismos similares que esteacuten
marcados previamente que obliguen a los titulares a
desmarcarlos para modificar la condicioacuten previamente
establecida
34
35
Ejemplo AP
36
Modalidades
del Aviso de
Privacidad
Integral
Simplificado
Corto
Cuando los datos se obtengan
personalmente del titular
(entrevista)
Cuando se obtienen de manera
directa (contacto paacuteg web ndash viacutea
telefoacutenica)
Cuando el espacio para dar a
conocer el aviso sea limitado
(correo formatos SMS etc)
Nota De acuerdo al tipo de DP que se recabe se deberaacute solicitar el
consentimiento correspondiente
37
ldquoObligacioacuten de guardar secreto de
los datos persnales que son
tratadosrdquo
El Responsable debe adoptar medidas para
evitar que quienes tengan acceso a eacutestos
divulguen dicha informacioacuten
Se debe cumplir aun una vez que finalice la
relacioacuten contractual o laboral entre el
responsable y quien tenga accesos a los
datos personales para el desarrollo de las
tareas o funciones que se le hubiern
encomendado
38
Establecer Medidas de seguridad administrativas fiacutesicas y teacutecnicas para la
proteger los DP mismas que deben ser documentadas (acciones anaacutelisis de
riesgo anaacutelisis de brecha revisiones o auditoriacuteas capacitacioacuten entre otras)
39
Peacuterdida destruccioacuten robo
extraviacuteo copia uso
acceso tratamiento dantildeo
alteracioacuten o modificacioacuten
NO AUTORIZADO
Si hay vulneracioacuten que impacte los derechos patrimoniales o
morales de los titulares se deberaacuten tomar acciones e informar a
los titulares sin dilacioacuten con el fin de que eacutestos tomen las medidas
pertinentes
VII Derechos ARCO y la
Proteccioacuten de Derechos
40
41
Cada uno de nosotros como titulares de los DP o en su caso nuestro
representante legal podremos ejercer cualquiera de los derechos ARCO ante
las empresas que los tengan en sus bases de datos
42
Mecanismos para que los ciudadanos podamos limitar el
uso de nuestros datos personales para fines comerciales
(liacuteneas telefoacutenicas particulares o moviles asiacute como sus
correos electroacutenicos domicilios y nombres)
Estas pueden ser propios o de organismos como la
PROFECO y la CONDUSEF que ya han creado estas
listas para registro opcional de los ciudadanos
REPEP (Registro Puacuteblico para Evitar Publicidad y
REUNS (Registro Puacuteblico de Usuarios que no desean
informacioacuten publicitaria de Productos y Servicios
Financieros)
Las empresas que realizan actividades de promocioacuten
deberaacuten previamente validar la existencia de los datos de
sus prospectos en estas listas para no incurrir en una
violacioacuten a la privacidad de los mismos
43
La empresa debe designar una persona
o un departamento interno para atender
las solicitudes de los Titulares de los
Datos a traveacutes del Ejercicio de sus
derechos ARCO
El Reglamento yo su encargado definen
su proceso interno medios y
procedimientos para la recepcioacuten
atencioacuten y resolucioacuten de las Solicitudes
de Derechos ARCO
El Ejercicio de los derechos debe ser
gratuito soacutelo en caso de reproduccioacuten o
enviacuteo el titular pagara los costos
correspondientes
44
El Titular Entrega solicitud de Derechos ARCO en
2 tantos que incluyen
bull Identificacioacuten oficial
bull Datos de localizacioacuten para
mantener la comunicacioacuten yo enviar
notificaciones
bull Documentacioacuten que ayude a su aacutegil
localizacioacuten o para demostrar la
correccioacuten o cambio solicitado
Espera 20 diacuteas la resolucioacuten ldquoprocede o
nordquo su solicitud
Espera 15 diacuteas maacutes aplicacioacuten de
resolucioacuten
45
El Departamento yo Encargado
de DP Entregar explicar yo recibir la solicitud de
Derechos ARCO en 2 tantos
bull Sellar la recepcioacuten con fecha y firma de
quien la recibe
bull Revisar y realizar el anaacutelisis de
procedencia de la solicitud (20 diacuteas
haacutebiles)
bull Notificar al titular la resolucioacuten proceda o
no
bull Aplicar resolucioacuten (15 diacuteas haacutebiles)
Nota El Responsible puede si asiacute se requiere y justifica incrementar el
plazo por uacutenica ocasioacuten por los mismos plazos descritos en cada
proceso previa notificacioacuten al titular
46
El titular o su representante legal no se
acrediten debidamente
No se encuentren los datos personales
en su base (s) de datos
Se lesionen derechos de terceros
La rectificacioacuten cancelacioacuten u oposicioacuten
hayan sido solicitadas preaviamente
Exista impedimento legal o resolucioacuten de
las autoridades que restrinja el ejercicio
de estos derechos
El Responsable podraacute negar el ejercicio
de los Derechos ARCO cuando
VIII Proteccioacuten de Derechos
ante el Ifai
47
48
Expresar claramente el
contenido de su
reclamacioacuten
Presentar el
documento que pruebe
la fecha en que
presentoacute la solicitud de
Derechos ARCO
bull Por escrito libre o a traveacutes de los
formatos establecidos por el IFAI
bull Sistema electroacutenico
bull En el domicilio del Instituto u oficina habilitada
bull Por correo certificado con acuse de recibo
El titular o su representante legal presenta su solicitud de proteccioacuten de derechos ante
el IFAI
Estaacute inconforme con la
respuesta
Dentro de los 15 diacuteas siguientes a la fecha en
que se comunique la respuesta
No recibioacute respuesta
Dentro de los 15 diacuteas a partir de que haya vencido el plazo de
respuesta
El TitularPlazos
Podraacute interponerse
IX Sanciones e Infracciones
49
50
El Salario miacutenimo vigente en el DF para 2014 es
Salario Miacutenimo ZonaAacuterea geograacutefica A 6729 pesos diarios
Fuente httpsalariominimocommxsalario-minimo-2014
DSMV DF Diacuteas de Salario Miacutenimo vigente en el Distrito Federal
No dar atencioacuten a las solicitudes ARCO
El apercibimiento para que el
responsable lleve a cabo los actos solicitados por el
titular
Omitir el aviso mantener DP
inexactos negar la existencia de DP con
dolo
Multa de 100 a 160000 VSM DF
De $6230 a $9972800
Incumplir deber de confidencialidad
cambiar la finalidad o realizar transferencias sin dar aviso de ello o vulnerar la seguridad de las bases de datos
Multa de 200 a 320000 VSM DF
De $12466 a $19945600
51
Trataacutendose de datos
personales sensibles
Provocar una vulneracioacuten de
seguridad a las bases de
datos bajo su custodia
3 meses a 3 antildeos
Tratamiento de DP
mediante el engantildeo
aprovechaacutendose del error
del titular o del
responsable
6 meses a 5 antildeos
Penas
anteriores
Delitos llevados
a cabo con
aacutenimo de lucro
Delito Prisioacuten
52
53
Beatriz Vargas
Director Comercial
beatrizvbsconsultingcommx
Tel 6380 5705 Cel 551071 9446
Ricardo Rangel
Director de Proyectos Estraacutetegicos
ricardorbsconsultingcommx
Tel 6380 5705 Cel 554453 4778
wwwBSConsultingcommx
Tratamiento de Datos Personales
15
Es la obtencioacuten
divulgacioacuten uso o
almacenamiento de
datos personales por
cualquier medio
El uso abarca cualquier
accioacuten de acceso
manejo aprovecha-
miento transferencia o
disposicioacuten de datos
personales
16
Datos de identificacioacuten
Datos de contacto
Datos laborales
Datos sobre caracteriacutesticas fiacutesicas
Datos acadeacutemicos
Datos patrimoniales o financieros
17
Datos biomeacutetricos
Datos ideoloacutegicos
Datos sobre opiniones poliacuteticas
Datos sobre afiliacioacuten sindical
Datos de vida sexual
Datos de Salud
Datos de origen eacutetnico o racial
IMPORTANTE Las caracteriacutesticas de los datos personales y datos personales
sensibles de este documento son soacutelo una orientacioacuten ya que el pleno del Ifai
no ha emitido criterios institucionales al respecto ademaacutes de que ciertos datos
personales que en un principio no se consideren sensibles podriacutean llegar a serlo
dependiendo del contexto en que se trate la informacioacuten
IV Designar un encargado
o departamento de Datos
Personales
18
Actores principalesResponsable
Es la persona fiacutesica o moral de caraacutecter privado que DECIDE
sobre el tratamiento de los DP es decir
bull Quien establece las finalidades del tratamiento o el uso que se
les daraacute
bull El tipo de datos que se requieren
bull A quieacuten y para queacute se comparten
bull Coacutemo se obtienen almacenan y suprimen y
bull En queacute casos se divulgaraacuten
EncargadoEs la persona fiacutesica o moral (Outsourcing) que trata los datospersonales a nombre y por cuenta del Responsable
bull El encargado NO DECIDE sobre el tratamiento de los datospersonales lo realiza siguiendo las instrucciones delResponsable
Tercerobull Es la persona fiacutesica o moral nacional o extranjera ajena a la
organizacioacuten distinta del responsable encargado o titular 19
iquestCoacutemo seleccionar al ldquoEncargado de
DPrdquoEs importante considerar
bull Tamantildeo y capacidad de la organizacioacuten
bull Tipo y volumen de datos obtenidos
bull Naturaleza e intensidad del tratamiento
bull Nivel de riesgo y confidencialidad
La persona o Departamento de DP ldquoEncargado de
DPrdquo debe
bull Atender las Solicitudes de Derechos ARCO
bull Fomentar la proteccioacuten de DP al interior del
negocioArt 30 de la LFPDPPP
Es indispensable que el Responsable formalice la
relacioacuten con el Encargado de DP mediante un
instrumento juriacutedico (contrato claacuteusulas contractuales
acuerdos o convenios) en el que se establezcan las
obligaciones de ambos en torno a la proteccioacuten de datos
personales
Oficial de
Proteccioacuten de DP
20
V Identificar
Transferencias
21
TransferenciasTransferencia de DP
bull La transferencia es la comunicacioacuten de datospersonales dentro o fuera del territorio nacionala persona distinta del titular del Responsable odel encargado
bull Formalizarla a traveacutes de instrumentojuriacutedico
bull Debe ser Informada al titular a traveacutes delAviso de Privacidad a quien se transfiereny para que fines
bull Limitarse a las finalidades notificadas en elAviso de Privacidad y consentidas por eltitular
bull Se podraacute realizar hasta que se hayaobtenido el consentimiento del titular salvolas excepciones marcadas en el Art 37 dela Ley
bull Los Receptores asumen las mismasobligaciones del Responsable sobre los datosrecibidos de acuerdo con el Aviso de privacidady Contrato firmado entre las partes
Encargado
Responsable
Tercero
Transferencia interna
ldquoRemisioacuten de DPrdquo
Transferencia a
terceros
Cuando esteacute previsto en una Ley o Tratado en el que Meacutexico sea parte para
la prevencioacuten o el diagnoacutestico meacutedico para el cumplimiento de una relacioacuten
juriacutedica o salvaguarda de un intereacutes puacuteblico o procuracioacuten de justicia
22
23
Si el Responsable se adhiere a la infraestructura los servicios
o aplicaciones el proveedor deberaacute cumplir con las siguientes
condiciones definidas en el Art 52 del Reglamento de la Ley de lo
contrario el Responsable NO podraacute adherirse
I Cumpla al menos con lo siguiente
a) Tener y aplicar poliacuteticas de Proteccioacuten de DP y
medidas de seguridad acorden a la LFPDPPP
b) Transparentar las subcontrataciones
c) Abstenerse de asumir la titularidad o
propiedad de la informacioacuten y guardar
confidencialidad
d) Garantizar la supresioacuten de los DP una vez que
haya concluido el servicio prestado al
Responsable
VI Principios y deberes
24
Cumplir con los
Principios y deberes
25
Licitud
Lealtad
Proporcionalidad
Calidad
Finalidad
Consentimiento
Informacioacuten
Responsabilidad
Licitud
Lealtad
Principios
26
bull Todo tratamiento de datos personales
debe ser con estricto apego y
cumplimiento a lo dispuesto por la
legislacioacuten mexicana y el derecho
internacional
bull El tratamiento de DP debe realizarse en
atencioacuten a lo acordado NO deben de
utilizarse medios engantildeosos o fraudu-
lentos para recabar y tratar DP
Licitud
Lealtad
Principios
27
Proporcionalidad
Calidad
bull Los DP tratados deben ser los miacutenimos
necesarios para el cumplimiento de la
finalidad para la cual se recabaron
bull El responsable deberaacute aplicar el Criterio
de minimizacioacuten
bull Los DP deben ser correctos exactos
completos pertinentes y actualizados de
acuerdo con la finalidad para la cual
fueron recabados
Principio finalidad
28
bull Dan origen y son necesarias
para la relacioacuten juriacutedica
bull Una relacioacuten juriacutedica debe estar
enmarcada por los siguientes
factores
bull Viacutenculo entre los sujetos
bull Dos o mas sujetos
bull Estar regulado por el derecho y
bull Producir consecuencias juriacutedicas
El tratamiento de DP debe ser soacutelo el necesario para cumplir con la
finalidad determinada y legiacutetima que se sentildealoacute en el aviso de privacidad
de manera clara y objetiva
bull Finalidades distintas a las quedieron origen a la relacioacuten juriacutedicao bien aquellas legalmentepermitidas o para las que elresponsable haya obtenido elconsentimientondash Mercadoloacutegicos publicitarias
ndash Promocionales comunicacioacutenprospeccioacuten referencia comercial
ndash Videografacioacuten y toma de fotigrafiacuteas
bull El titular puede oponerse altratamiento de sus datos paraestas finalidades y no seraacute motivopara negar el servicio solicitado
Primarias Secundarias
Principio Consentimientobull Facultad de las personas para decidir sobre el tratamiento de sus DP
el cual taacutecito expreso o expreso y por escrito debe ser libre especiacuteficoinformado e inequiacutevoco
bull Si una ley o reglamento en lo particular exige el consentimiento expreso oexpreso y por escrito para el tratamiento de DP el responsable deberaacutesolicitarlo de esa forma aunque no se trate de datos financierospatrimoniales o sensibles
Nota No es necesario solicitar el consentimiento cuando el tratamiento de los DP sea en cumplimientoa obligaciones derivado de una relacioacuten juriacutedica entre el titular y el Responsable
Tipo de Consentimiento
bull Taacutecito
bull Expreso
bull Expreso y por escrito
Para que tipo de datos se requiere
bull Para cualquier tipo de dato personal con excepcioacuten de los datos patrimoniales financieros y sensibles
bull Para datos financieros y patrimoniales
bull Para datos personales sensibles
29
Principio de Responsabilidad
30
bull Establecer Medidas de Seguridad administrativas fiacutesicas yo
teacutecnicas para la proteccioacuten de los DP mismas que deben ser
documentadas (acciones anaacutelisis de riesgo anaacutelisis de
brecha revisiones o auditoriacuteas capacitacioacuten entre otras)
Algunas medidas baacutesicas pueden ser
1 Elaborar Poliacuteticas de Proteccioacuten de DP al
interior del negocio que incluyan sistemas de
supervisioacuten y vigilancia
2 Brindar capacitacioacuten para la concientizacioacuten de
personal
3 Establecer procedimientos para atender las
dudas o quejas de los titulares
31
iquestQueacute es el Aviso de Privacidad
Es un documento fiacutesico electroacutenico visual sonoro
o en cualquier otro formato generado por el
responsable de manera sencilla con un lenguaje
claro y comprensible de aceurdo al perfil de los
titulares puesto a su disposicioacuten previo al
tratamiento de sus datos personales
Establecer los teacuterminos y condiciones generales del
tratamiento de los datos personales que recaba
El Responsable deberaacute tener el nuacutemero de avisos de
pivacidad que resulte necesario de acuerdo a los
tratamientos que realice a los DP
32
El aviso de privacidad debe estar disponible en alguno de los
siguientes soportes
Fiacutesico (en papel)
Electroacutenico (paacuteginas web correos electroacutenicos etc)
Visual ( pantalla de TV videos etc)
Sonoro (Grabaciones IVR etc)
En otros medios (prensa)
33
No usar frases inexactas ambiguas o vagas como ldquoentre
otrosrdquo ldquocomo por ejemplordquo ldquoDe manera enunciativa maacutes no
limitativardquo
No incluir textos o frases que induzcan al titular de manera
engantildeosa o fraudulenta (ejemplo ldquoLe recomendamos que
nos autorice el uso de su informacioacuten personal sin restriccioacuten
alguna para ser maacutes eficiente nuestro trabajordquo
No remitir al titular a textos o documentos que no esteacuten
disponibes (links disponibles)
No incluir casillas u otros mecanismos similares que esteacuten
marcados previamente que obliguen a los titulares a
desmarcarlos para modificar la condicioacuten previamente
establecida
34
35
Ejemplo AP
36
Modalidades
del Aviso de
Privacidad
Integral
Simplificado
Corto
Cuando los datos se obtengan
personalmente del titular
(entrevista)
Cuando se obtienen de manera
directa (contacto paacuteg web ndash viacutea
telefoacutenica)
Cuando el espacio para dar a
conocer el aviso sea limitado
(correo formatos SMS etc)
Nota De acuerdo al tipo de DP que se recabe se deberaacute solicitar el
consentimiento correspondiente
37
ldquoObligacioacuten de guardar secreto de
los datos persnales que son
tratadosrdquo
El Responsable debe adoptar medidas para
evitar que quienes tengan acceso a eacutestos
divulguen dicha informacioacuten
Se debe cumplir aun una vez que finalice la
relacioacuten contractual o laboral entre el
responsable y quien tenga accesos a los
datos personales para el desarrollo de las
tareas o funciones que se le hubiern
encomendado
38
Establecer Medidas de seguridad administrativas fiacutesicas y teacutecnicas para la
proteger los DP mismas que deben ser documentadas (acciones anaacutelisis de
riesgo anaacutelisis de brecha revisiones o auditoriacuteas capacitacioacuten entre otras)
39
Peacuterdida destruccioacuten robo
extraviacuteo copia uso
acceso tratamiento dantildeo
alteracioacuten o modificacioacuten
NO AUTORIZADO
Si hay vulneracioacuten que impacte los derechos patrimoniales o
morales de los titulares se deberaacuten tomar acciones e informar a
los titulares sin dilacioacuten con el fin de que eacutestos tomen las medidas
pertinentes
VII Derechos ARCO y la
Proteccioacuten de Derechos
40
41
Cada uno de nosotros como titulares de los DP o en su caso nuestro
representante legal podremos ejercer cualquiera de los derechos ARCO ante
las empresas que los tengan en sus bases de datos
42
Mecanismos para que los ciudadanos podamos limitar el
uso de nuestros datos personales para fines comerciales
(liacuteneas telefoacutenicas particulares o moviles asiacute como sus
correos electroacutenicos domicilios y nombres)
Estas pueden ser propios o de organismos como la
PROFECO y la CONDUSEF que ya han creado estas
listas para registro opcional de los ciudadanos
REPEP (Registro Puacuteblico para Evitar Publicidad y
REUNS (Registro Puacuteblico de Usuarios que no desean
informacioacuten publicitaria de Productos y Servicios
Financieros)
Las empresas que realizan actividades de promocioacuten
deberaacuten previamente validar la existencia de los datos de
sus prospectos en estas listas para no incurrir en una
violacioacuten a la privacidad de los mismos
43
La empresa debe designar una persona
o un departamento interno para atender
las solicitudes de los Titulares de los
Datos a traveacutes del Ejercicio de sus
derechos ARCO
El Reglamento yo su encargado definen
su proceso interno medios y
procedimientos para la recepcioacuten
atencioacuten y resolucioacuten de las Solicitudes
de Derechos ARCO
El Ejercicio de los derechos debe ser
gratuito soacutelo en caso de reproduccioacuten o
enviacuteo el titular pagara los costos
correspondientes
44
El Titular Entrega solicitud de Derechos ARCO en
2 tantos que incluyen
bull Identificacioacuten oficial
bull Datos de localizacioacuten para
mantener la comunicacioacuten yo enviar
notificaciones
bull Documentacioacuten que ayude a su aacutegil
localizacioacuten o para demostrar la
correccioacuten o cambio solicitado
Espera 20 diacuteas la resolucioacuten ldquoprocede o
nordquo su solicitud
Espera 15 diacuteas maacutes aplicacioacuten de
resolucioacuten
45
El Departamento yo Encargado
de DP Entregar explicar yo recibir la solicitud de
Derechos ARCO en 2 tantos
bull Sellar la recepcioacuten con fecha y firma de
quien la recibe
bull Revisar y realizar el anaacutelisis de
procedencia de la solicitud (20 diacuteas
haacutebiles)
bull Notificar al titular la resolucioacuten proceda o
no
bull Aplicar resolucioacuten (15 diacuteas haacutebiles)
Nota El Responsible puede si asiacute se requiere y justifica incrementar el
plazo por uacutenica ocasioacuten por los mismos plazos descritos en cada
proceso previa notificacioacuten al titular
46
El titular o su representante legal no se
acrediten debidamente
No se encuentren los datos personales
en su base (s) de datos
Se lesionen derechos de terceros
La rectificacioacuten cancelacioacuten u oposicioacuten
hayan sido solicitadas preaviamente
Exista impedimento legal o resolucioacuten de
las autoridades que restrinja el ejercicio
de estos derechos
El Responsable podraacute negar el ejercicio
de los Derechos ARCO cuando
VIII Proteccioacuten de Derechos
ante el Ifai
47
48
Expresar claramente el
contenido de su
reclamacioacuten
Presentar el
documento que pruebe
la fecha en que
presentoacute la solicitud de
Derechos ARCO
bull Por escrito libre o a traveacutes de los
formatos establecidos por el IFAI
bull Sistema electroacutenico
bull En el domicilio del Instituto u oficina habilitada
bull Por correo certificado con acuse de recibo
El titular o su representante legal presenta su solicitud de proteccioacuten de derechos ante
el IFAI
Estaacute inconforme con la
respuesta
Dentro de los 15 diacuteas siguientes a la fecha en
que se comunique la respuesta
No recibioacute respuesta
Dentro de los 15 diacuteas a partir de que haya vencido el plazo de
respuesta
El TitularPlazos
Podraacute interponerse
IX Sanciones e Infracciones
49
50
El Salario miacutenimo vigente en el DF para 2014 es
Salario Miacutenimo ZonaAacuterea geograacutefica A 6729 pesos diarios
Fuente httpsalariominimocommxsalario-minimo-2014
DSMV DF Diacuteas de Salario Miacutenimo vigente en el Distrito Federal
No dar atencioacuten a las solicitudes ARCO
El apercibimiento para que el
responsable lleve a cabo los actos solicitados por el
titular
Omitir el aviso mantener DP
inexactos negar la existencia de DP con
dolo
Multa de 100 a 160000 VSM DF
De $6230 a $9972800
Incumplir deber de confidencialidad
cambiar la finalidad o realizar transferencias sin dar aviso de ello o vulnerar la seguridad de las bases de datos
Multa de 200 a 320000 VSM DF
De $12466 a $19945600
51
Trataacutendose de datos
personales sensibles
Provocar una vulneracioacuten de
seguridad a las bases de
datos bajo su custodia
3 meses a 3 antildeos
Tratamiento de DP
mediante el engantildeo
aprovechaacutendose del error
del titular o del
responsable
6 meses a 5 antildeos
Penas
anteriores
Delitos llevados
a cabo con
aacutenimo de lucro
Delito Prisioacuten
52
53
Beatriz Vargas
Director Comercial
beatrizvbsconsultingcommx
Tel 6380 5705 Cel 551071 9446
Ricardo Rangel
Director de Proyectos Estraacutetegicos
ricardorbsconsultingcommx
Tel 6380 5705 Cel 554453 4778
wwwBSConsultingcommx
16
Datos de identificacioacuten
Datos de contacto
Datos laborales
Datos sobre caracteriacutesticas fiacutesicas
Datos acadeacutemicos
Datos patrimoniales o financieros
17
Datos biomeacutetricos
Datos ideoloacutegicos
Datos sobre opiniones poliacuteticas
Datos sobre afiliacioacuten sindical
Datos de vida sexual
Datos de Salud
Datos de origen eacutetnico o racial
IMPORTANTE Las caracteriacutesticas de los datos personales y datos personales
sensibles de este documento son soacutelo una orientacioacuten ya que el pleno del Ifai
no ha emitido criterios institucionales al respecto ademaacutes de que ciertos datos
personales que en un principio no se consideren sensibles podriacutean llegar a serlo
dependiendo del contexto en que se trate la informacioacuten
IV Designar un encargado
o departamento de Datos
Personales
18
Actores principalesResponsable
Es la persona fiacutesica o moral de caraacutecter privado que DECIDE
sobre el tratamiento de los DP es decir
bull Quien establece las finalidades del tratamiento o el uso que se
les daraacute
bull El tipo de datos que se requieren
bull A quieacuten y para queacute se comparten
bull Coacutemo se obtienen almacenan y suprimen y
bull En queacute casos se divulgaraacuten
EncargadoEs la persona fiacutesica o moral (Outsourcing) que trata los datospersonales a nombre y por cuenta del Responsable
bull El encargado NO DECIDE sobre el tratamiento de los datospersonales lo realiza siguiendo las instrucciones delResponsable
Tercerobull Es la persona fiacutesica o moral nacional o extranjera ajena a la
organizacioacuten distinta del responsable encargado o titular 19
iquestCoacutemo seleccionar al ldquoEncargado de
DPrdquoEs importante considerar
bull Tamantildeo y capacidad de la organizacioacuten
bull Tipo y volumen de datos obtenidos
bull Naturaleza e intensidad del tratamiento
bull Nivel de riesgo y confidencialidad
La persona o Departamento de DP ldquoEncargado de
DPrdquo debe
bull Atender las Solicitudes de Derechos ARCO
bull Fomentar la proteccioacuten de DP al interior del
negocioArt 30 de la LFPDPPP
Es indispensable que el Responsable formalice la
relacioacuten con el Encargado de DP mediante un
instrumento juriacutedico (contrato claacuteusulas contractuales
acuerdos o convenios) en el que se establezcan las
obligaciones de ambos en torno a la proteccioacuten de datos
personales
Oficial de
Proteccioacuten de DP
20
V Identificar
Transferencias
21
TransferenciasTransferencia de DP
bull La transferencia es la comunicacioacuten de datospersonales dentro o fuera del territorio nacionala persona distinta del titular del Responsable odel encargado
bull Formalizarla a traveacutes de instrumentojuriacutedico
bull Debe ser Informada al titular a traveacutes delAviso de Privacidad a quien se transfiereny para que fines
bull Limitarse a las finalidades notificadas en elAviso de Privacidad y consentidas por eltitular
bull Se podraacute realizar hasta que se hayaobtenido el consentimiento del titular salvolas excepciones marcadas en el Art 37 dela Ley
bull Los Receptores asumen las mismasobligaciones del Responsable sobre los datosrecibidos de acuerdo con el Aviso de privacidady Contrato firmado entre las partes
Encargado
Responsable
Tercero
Transferencia interna
ldquoRemisioacuten de DPrdquo
Transferencia a
terceros
Cuando esteacute previsto en una Ley o Tratado en el que Meacutexico sea parte para
la prevencioacuten o el diagnoacutestico meacutedico para el cumplimiento de una relacioacuten
juriacutedica o salvaguarda de un intereacutes puacuteblico o procuracioacuten de justicia
22
23
Si el Responsable se adhiere a la infraestructura los servicios
o aplicaciones el proveedor deberaacute cumplir con las siguientes
condiciones definidas en el Art 52 del Reglamento de la Ley de lo
contrario el Responsable NO podraacute adherirse
I Cumpla al menos con lo siguiente
a) Tener y aplicar poliacuteticas de Proteccioacuten de DP y
medidas de seguridad acorden a la LFPDPPP
b) Transparentar las subcontrataciones
c) Abstenerse de asumir la titularidad o
propiedad de la informacioacuten y guardar
confidencialidad
d) Garantizar la supresioacuten de los DP una vez que
haya concluido el servicio prestado al
Responsable
VI Principios y deberes
24
Cumplir con los
Principios y deberes
25
Licitud
Lealtad
Proporcionalidad
Calidad
Finalidad
Consentimiento
Informacioacuten
Responsabilidad
Licitud
Lealtad
Principios
26
bull Todo tratamiento de datos personales
debe ser con estricto apego y
cumplimiento a lo dispuesto por la
legislacioacuten mexicana y el derecho
internacional
bull El tratamiento de DP debe realizarse en
atencioacuten a lo acordado NO deben de
utilizarse medios engantildeosos o fraudu-
lentos para recabar y tratar DP
Licitud
Lealtad
Principios
27
Proporcionalidad
Calidad
bull Los DP tratados deben ser los miacutenimos
necesarios para el cumplimiento de la
finalidad para la cual se recabaron
bull El responsable deberaacute aplicar el Criterio
de minimizacioacuten
bull Los DP deben ser correctos exactos
completos pertinentes y actualizados de
acuerdo con la finalidad para la cual
fueron recabados
Principio finalidad
28
bull Dan origen y son necesarias
para la relacioacuten juriacutedica
bull Una relacioacuten juriacutedica debe estar
enmarcada por los siguientes
factores
bull Viacutenculo entre los sujetos
bull Dos o mas sujetos
bull Estar regulado por el derecho y
bull Producir consecuencias juriacutedicas
El tratamiento de DP debe ser soacutelo el necesario para cumplir con la
finalidad determinada y legiacutetima que se sentildealoacute en el aviso de privacidad
de manera clara y objetiva
bull Finalidades distintas a las quedieron origen a la relacioacuten juriacutedicao bien aquellas legalmentepermitidas o para las que elresponsable haya obtenido elconsentimientondash Mercadoloacutegicos publicitarias
ndash Promocionales comunicacioacutenprospeccioacuten referencia comercial
ndash Videografacioacuten y toma de fotigrafiacuteas
bull El titular puede oponerse altratamiento de sus datos paraestas finalidades y no seraacute motivopara negar el servicio solicitado
Primarias Secundarias
Principio Consentimientobull Facultad de las personas para decidir sobre el tratamiento de sus DP
el cual taacutecito expreso o expreso y por escrito debe ser libre especiacuteficoinformado e inequiacutevoco
bull Si una ley o reglamento en lo particular exige el consentimiento expreso oexpreso y por escrito para el tratamiento de DP el responsable deberaacutesolicitarlo de esa forma aunque no se trate de datos financierospatrimoniales o sensibles
Nota No es necesario solicitar el consentimiento cuando el tratamiento de los DP sea en cumplimientoa obligaciones derivado de una relacioacuten juriacutedica entre el titular y el Responsable
Tipo de Consentimiento
bull Taacutecito
bull Expreso
bull Expreso y por escrito
Para que tipo de datos se requiere
bull Para cualquier tipo de dato personal con excepcioacuten de los datos patrimoniales financieros y sensibles
bull Para datos financieros y patrimoniales
bull Para datos personales sensibles
29
Principio de Responsabilidad
30
bull Establecer Medidas de Seguridad administrativas fiacutesicas yo
teacutecnicas para la proteccioacuten de los DP mismas que deben ser
documentadas (acciones anaacutelisis de riesgo anaacutelisis de
brecha revisiones o auditoriacuteas capacitacioacuten entre otras)
Algunas medidas baacutesicas pueden ser
1 Elaborar Poliacuteticas de Proteccioacuten de DP al
interior del negocio que incluyan sistemas de
supervisioacuten y vigilancia
2 Brindar capacitacioacuten para la concientizacioacuten de
personal
3 Establecer procedimientos para atender las
dudas o quejas de los titulares
31
iquestQueacute es el Aviso de Privacidad
Es un documento fiacutesico electroacutenico visual sonoro
o en cualquier otro formato generado por el
responsable de manera sencilla con un lenguaje
claro y comprensible de aceurdo al perfil de los
titulares puesto a su disposicioacuten previo al
tratamiento de sus datos personales
Establecer los teacuterminos y condiciones generales del
tratamiento de los datos personales que recaba
El Responsable deberaacute tener el nuacutemero de avisos de
pivacidad que resulte necesario de acuerdo a los
tratamientos que realice a los DP
32
El aviso de privacidad debe estar disponible en alguno de los
siguientes soportes
Fiacutesico (en papel)
Electroacutenico (paacuteginas web correos electroacutenicos etc)
Visual ( pantalla de TV videos etc)
Sonoro (Grabaciones IVR etc)
En otros medios (prensa)
33
No usar frases inexactas ambiguas o vagas como ldquoentre
otrosrdquo ldquocomo por ejemplordquo ldquoDe manera enunciativa maacutes no
limitativardquo
No incluir textos o frases que induzcan al titular de manera
engantildeosa o fraudulenta (ejemplo ldquoLe recomendamos que
nos autorice el uso de su informacioacuten personal sin restriccioacuten
alguna para ser maacutes eficiente nuestro trabajordquo
No remitir al titular a textos o documentos que no esteacuten
disponibes (links disponibles)
No incluir casillas u otros mecanismos similares que esteacuten
marcados previamente que obliguen a los titulares a
desmarcarlos para modificar la condicioacuten previamente
establecida
34
35
Ejemplo AP
36
Modalidades
del Aviso de
Privacidad
Integral
Simplificado
Corto
Cuando los datos se obtengan
personalmente del titular
(entrevista)
Cuando se obtienen de manera
directa (contacto paacuteg web ndash viacutea
telefoacutenica)
Cuando el espacio para dar a
conocer el aviso sea limitado
(correo formatos SMS etc)
Nota De acuerdo al tipo de DP que se recabe se deberaacute solicitar el
consentimiento correspondiente
37
ldquoObligacioacuten de guardar secreto de
los datos persnales que son
tratadosrdquo
El Responsable debe adoptar medidas para
evitar que quienes tengan acceso a eacutestos
divulguen dicha informacioacuten
Se debe cumplir aun una vez que finalice la
relacioacuten contractual o laboral entre el
responsable y quien tenga accesos a los
datos personales para el desarrollo de las
tareas o funciones que se le hubiern
encomendado
38
Establecer Medidas de seguridad administrativas fiacutesicas y teacutecnicas para la
proteger los DP mismas que deben ser documentadas (acciones anaacutelisis de
riesgo anaacutelisis de brecha revisiones o auditoriacuteas capacitacioacuten entre otras)
39
Peacuterdida destruccioacuten robo
extraviacuteo copia uso
acceso tratamiento dantildeo
alteracioacuten o modificacioacuten
NO AUTORIZADO
Si hay vulneracioacuten que impacte los derechos patrimoniales o
morales de los titulares se deberaacuten tomar acciones e informar a
los titulares sin dilacioacuten con el fin de que eacutestos tomen las medidas
pertinentes
VII Derechos ARCO y la
Proteccioacuten de Derechos
40
41
Cada uno de nosotros como titulares de los DP o en su caso nuestro
representante legal podremos ejercer cualquiera de los derechos ARCO ante
las empresas que los tengan en sus bases de datos
42
Mecanismos para que los ciudadanos podamos limitar el
uso de nuestros datos personales para fines comerciales
(liacuteneas telefoacutenicas particulares o moviles asiacute como sus
correos electroacutenicos domicilios y nombres)
Estas pueden ser propios o de organismos como la
PROFECO y la CONDUSEF que ya han creado estas
listas para registro opcional de los ciudadanos
REPEP (Registro Puacuteblico para Evitar Publicidad y
REUNS (Registro Puacuteblico de Usuarios que no desean
informacioacuten publicitaria de Productos y Servicios
Financieros)
Las empresas que realizan actividades de promocioacuten
deberaacuten previamente validar la existencia de los datos de
sus prospectos en estas listas para no incurrir en una
violacioacuten a la privacidad de los mismos
43
La empresa debe designar una persona
o un departamento interno para atender
las solicitudes de los Titulares de los
Datos a traveacutes del Ejercicio de sus
derechos ARCO
El Reglamento yo su encargado definen
su proceso interno medios y
procedimientos para la recepcioacuten
atencioacuten y resolucioacuten de las Solicitudes
de Derechos ARCO
El Ejercicio de los derechos debe ser
gratuito soacutelo en caso de reproduccioacuten o
enviacuteo el titular pagara los costos
correspondientes
44
El Titular Entrega solicitud de Derechos ARCO en
2 tantos que incluyen
bull Identificacioacuten oficial
bull Datos de localizacioacuten para
mantener la comunicacioacuten yo enviar
notificaciones
bull Documentacioacuten que ayude a su aacutegil
localizacioacuten o para demostrar la
correccioacuten o cambio solicitado
Espera 20 diacuteas la resolucioacuten ldquoprocede o
nordquo su solicitud
Espera 15 diacuteas maacutes aplicacioacuten de
resolucioacuten
45
El Departamento yo Encargado
de DP Entregar explicar yo recibir la solicitud de
Derechos ARCO en 2 tantos
bull Sellar la recepcioacuten con fecha y firma de
quien la recibe
bull Revisar y realizar el anaacutelisis de
procedencia de la solicitud (20 diacuteas
haacutebiles)
bull Notificar al titular la resolucioacuten proceda o
no
bull Aplicar resolucioacuten (15 diacuteas haacutebiles)
Nota El Responsible puede si asiacute se requiere y justifica incrementar el
plazo por uacutenica ocasioacuten por los mismos plazos descritos en cada
proceso previa notificacioacuten al titular
46
El titular o su representante legal no se
acrediten debidamente
No se encuentren los datos personales
en su base (s) de datos
Se lesionen derechos de terceros
La rectificacioacuten cancelacioacuten u oposicioacuten
hayan sido solicitadas preaviamente
Exista impedimento legal o resolucioacuten de
las autoridades que restrinja el ejercicio
de estos derechos
El Responsable podraacute negar el ejercicio
de los Derechos ARCO cuando
VIII Proteccioacuten de Derechos
ante el Ifai
47
48
Expresar claramente el
contenido de su
reclamacioacuten
Presentar el
documento que pruebe
la fecha en que
presentoacute la solicitud de
Derechos ARCO
bull Por escrito libre o a traveacutes de los
formatos establecidos por el IFAI
bull Sistema electroacutenico
bull En el domicilio del Instituto u oficina habilitada
bull Por correo certificado con acuse de recibo
El titular o su representante legal presenta su solicitud de proteccioacuten de derechos ante
el IFAI
Estaacute inconforme con la
respuesta
Dentro de los 15 diacuteas siguientes a la fecha en
que se comunique la respuesta
No recibioacute respuesta
Dentro de los 15 diacuteas a partir de que haya vencido el plazo de
respuesta
El TitularPlazos
Podraacute interponerse
IX Sanciones e Infracciones
49
50
El Salario miacutenimo vigente en el DF para 2014 es
Salario Miacutenimo ZonaAacuterea geograacutefica A 6729 pesos diarios
Fuente httpsalariominimocommxsalario-minimo-2014
DSMV DF Diacuteas de Salario Miacutenimo vigente en el Distrito Federal
No dar atencioacuten a las solicitudes ARCO
El apercibimiento para que el
responsable lleve a cabo los actos solicitados por el
titular
Omitir el aviso mantener DP
inexactos negar la existencia de DP con
dolo
Multa de 100 a 160000 VSM DF
De $6230 a $9972800
Incumplir deber de confidencialidad
cambiar la finalidad o realizar transferencias sin dar aviso de ello o vulnerar la seguridad de las bases de datos
Multa de 200 a 320000 VSM DF
De $12466 a $19945600
51
Trataacutendose de datos
personales sensibles
Provocar una vulneracioacuten de
seguridad a las bases de
datos bajo su custodia
3 meses a 3 antildeos
Tratamiento de DP
mediante el engantildeo
aprovechaacutendose del error
del titular o del
responsable
6 meses a 5 antildeos
Penas
anteriores
Delitos llevados
a cabo con
aacutenimo de lucro
Delito Prisioacuten
52
53
Beatriz Vargas
Director Comercial
beatrizvbsconsultingcommx
Tel 6380 5705 Cel 551071 9446
Ricardo Rangel
Director de Proyectos Estraacutetegicos
ricardorbsconsultingcommx
Tel 6380 5705 Cel 554453 4778
wwwBSConsultingcommx
17
Datos biomeacutetricos
Datos ideoloacutegicos
Datos sobre opiniones poliacuteticas
Datos sobre afiliacioacuten sindical
Datos de vida sexual
Datos de Salud
Datos de origen eacutetnico o racial
IMPORTANTE Las caracteriacutesticas de los datos personales y datos personales
sensibles de este documento son soacutelo una orientacioacuten ya que el pleno del Ifai
no ha emitido criterios institucionales al respecto ademaacutes de que ciertos datos
personales que en un principio no se consideren sensibles podriacutean llegar a serlo
dependiendo del contexto en que se trate la informacioacuten
IV Designar un encargado
o departamento de Datos
Personales
18
Actores principalesResponsable
Es la persona fiacutesica o moral de caraacutecter privado que DECIDE
sobre el tratamiento de los DP es decir
bull Quien establece las finalidades del tratamiento o el uso que se
les daraacute
bull El tipo de datos que se requieren
bull A quieacuten y para queacute se comparten
bull Coacutemo se obtienen almacenan y suprimen y
bull En queacute casos se divulgaraacuten
EncargadoEs la persona fiacutesica o moral (Outsourcing) que trata los datospersonales a nombre y por cuenta del Responsable
bull El encargado NO DECIDE sobre el tratamiento de los datospersonales lo realiza siguiendo las instrucciones delResponsable
Tercerobull Es la persona fiacutesica o moral nacional o extranjera ajena a la
organizacioacuten distinta del responsable encargado o titular 19
iquestCoacutemo seleccionar al ldquoEncargado de
DPrdquoEs importante considerar
bull Tamantildeo y capacidad de la organizacioacuten
bull Tipo y volumen de datos obtenidos
bull Naturaleza e intensidad del tratamiento
bull Nivel de riesgo y confidencialidad
La persona o Departamento de DP ldquoEncargado de
DPrdquo debe
bull Atender las Solicitudes de Derechos ARCO
bull Fomentar la proteccioacuten de DP al interior del
negocioArt 30 de la LFPDPPP
Es indispensable que el Responsable formalice la
relacioacuten con el Encargado de DP mediante un
instrumento juriacutedico (contrato claacuteusulas contractuales
acuerdos o convenios) en el que se establezcan las
obligaciones de ambos en torno a la proteccioacuten de datos
personales
Oficial de
Proteccioacuten de DP
20
V Identificar
Transferencias
21
TransferenciasTransferencia de DP
bull La transferencia es la comunicacioacuten de datospersonales dentro o fuera del territorio nacionala persona distinta del titular del Responsable odel encargado
bull Formalizarla a traveacutes de instrumentojuriacutedico
bull Debe ser Informada al titular a traveacutes delAviso de Privacidad a quien se transfiereny para que fines
bull Limitarse a las finalidades notificadas en elAviso de Privacidad y consentidas por eltitular
bull Se podraacute realizar hasta que se hayaobtenido el consentimiento del titular salvolas excepciones marcadas en el Art 37 dela Ley
bull Los Receptores asumen las mismasobligaciones del Responsable sobre los datosrecibidos de acuerdo con el Aviso de privacidady Contrato firmado entre las partes
Encargado
Responsable
Tercero
Transferencia interna
ldquoRemisioacuten de DPrdquo
Transferencia a
terceros
Cuando esteacute previsto en una Ley o Tratado en el que Meacutexico sea parte para
la prevencioacuten o el diagnoacutestico meacutedico para el cumplimiento de una relacioacuten
juriacutedica o salvaguarda de un intereacutes puacuteblico o procuracioacuten de justicia
22
23
Si el Responsable se adhiere a la infraestructura los servicios
o aplicaciones el proveedor deberaacute cumplir con las siguientes
condiciones definidas en el Art 52 del Reglamento de la Ley de lo
contrario el Responsable NO podraacute adherirse
I Cumpla al menos con lo siguiente
a) Tener y aplicar poliacuteticas de Proteccioacuten de DP y
medidas de seguridad acorden a la LFPDPPP
b) Transparentar las subcontrataciones
c) Abstenerse de asumir la titularidad o
propiedad de la informacioacuten y guardar
confidencialidad
d) Garantizar la supresioacuten de los DP una vez que
haya concluido el servicio prestado al
Responsable
VI Principios y deberes
24
Cumplir con los
Principios y deberes
25
Licitud
Lealtad
Proporcionalidad
Calidad
Finalidad
Consentimiento
Informacioacuten
Responsabilidad
Licitud
Lealtad
Principios
26
bull Todo tratamiento de datos personales
debe ser con estricto apego y
cumplimiento a lo dispuesto por la
legislacioacuten mexicana y el derecho
internacional
bull El tratamiento de DP debe realizarse en
atencioacuten a lo acordado NO deben de
utilizarse medios engantildeosos o fraudu-
lentos para recabar y tratar DP
Licitud
Lealtad
Principios
27
Proporcionalidad
Calidad
bull Los DP tratados deben ser los miacutenimos
necesarios para el cumplimiento de la
finalidad para la cual se recabaron
bull El responsable deberaacute aplicar el Criterio
de minimizacioacuten
bull Los DP deben ser correctos exactos
completos pertinentes y actualizados de
acuerdo con la finalidad para la cual
fueron recabados
Principio finalidad
28
bull Dan origen y son necesarias
para la relacioacuten juriacutedica
bull Una relacioacuten juriacutedica debe estar
enmarcada por los siguientes
factores
bull Viacutenculo entre los sujetos
bull Dos o mas sujetos
bull Estar regulado por el derecho y
bull Producir consecuencias juriacutedicas
El tratamiento de DP debe ser soacutelo el necesario para cumplir con la
finalidad determinada y legiacutetima que se sentildealoacute en el aviso de privacidad
de manera clara y objetiva
bull Finalidades distintas a las quedieron origen a la relacioacuten juriacutedicao bien aquellas legalmentepermitidas o para las que elresponsable haya obtenido elconsentimientondash Mercadoloacutegicos publicitarias
ndash Promocionales comunicacioacutenprospeccioacuten referencia comercial
ndash Videografacioacuten y toma de fotigrafiacuteas
bull El titular puede oponerse altratamiento de sus datos paraestas finalidades y no seraacute motivopara negar el servicio solicitado
Primarias Secundarias
Principio Consentimientobull Facultad de las personas para decidir sobre el tratamiento de sus DP
el cual taacutecito expreso o expreso y por escrito debe ser libre especiacuteficoinformado e inequiacutevoco
bull Si una ley o reglamento en lo particular exige el consentimiento expreso oexpreso y por escrito para el tratamiento de DP el responsable deberaacutesolicitarlo de esa forma aunque no se trate de datos financierospatrimoniales o sensibles
Nota No es necesario solicitar el consentimiento cuando el tratamiento de los DP sea en cumplimientoa obligaciones derivado de una relacioacuten juriacutedica entre el titular y el Responsable
Tipo de Consentimiento
bull Taacutecito
bull Expreso
bull Expreso y por escrito
Para que tipo de datos se requiere
bull Para cualquier tipo de dato personal con excepcioacuten de los datos patrimoniales financieros y sensibles
bull Para datos financieros y patrimoniales
bull Para datos personales sensibles
29
Principio de Responsabilidad
30
bull Establecer Medidas de Seguridad administrativas fiacutesicas yo
teacutecnicas para la proteccioacuten de los DP mismas que deben ser
documentadas (acciones anaacutelisis de riesgo anaacutelisis de
brecha revisiones o auditoriacuteas capacitacioacuten entre otras)
Algunas medidas baacutesicas pueden ser
1 Elaborar Poliacuteticas de Proteccioacuten de DP al
interior del negocio que incluyan sistemas de
supervisioacuten y vigilancia
2 Brindar capacitacioacuten para la concientizacioacuten de
personal
3 Establecer procedimientos para atender las
dudas o quejas de los titulares
31
iquestQueacute es el Aviso de Privacidad
Es un documento fiacutesico electroacutenico visual sonoro
o en cualquier otro formato generado por el
responsable de manera sencilla con un lenguaje
claro y comprensible de aceurdo al perfil de los
titulares puesto a su disposicioacuten previo al
tratamiento de sus datos personales
Establecer los teacuterminos y condiciones generales del
tratamiento de los datos personales que recaba
El Responsable deberaacute tener el nuacutemero de avisos de
pivacidad que resulte necesario de acuerdo a los
tratamientos que realice a los DP
32
El aviso de privacidad debe estar disponible en alguno de los
siguientes soportes
Fiacutesico (en papel)
Electroacutenico (paacuteginas web correos electroacutenicos etc)
Visual ( pantalla de TV videos etc)
Sonoro (Grabaciones IVR etc)
En otros medios (prensa)
33
No usar frases inexactas ambiguas o vagas como ldquoentre
otrosrdquo ldquocomo por ejemplordquo ldquoDe manera enunciativa maacutes no
limitativardquo
No incluir textos o frases que induzcan al titular de manera
engantildeosa o fraudulenta (ejemplo ldquoLe recomendamos que
nos autorice el uso de su informacioacuten personal sin restriccioacuten
alguna para ser maacutes eficiente nuestro trabajordquo
No remitir al titular a textos o documentos que no esteacuten
disponibes (links disponibles)
No incluir casillas u otros mecanismos similares que esteacuten
marcados previamente que obliguen a los titulares a
desmarcarlos para modificar la condicioacuten previamente
establecida
34
35
Ejemplo AP
36
Modalidades
del Aviso de
Privacidad
Integral
Simplificado
Corto
Cuando los datos se obtengan
personalmente del titular
(entrevista)
Cuando se obtienen de manera
directa (contacto paacuteg web ndash viacutea
telefoacutenica)
Cuando el espacio para dar a
conocer el aviso sea limitado
(correo formatos SMS etc)
Nota De acuerdo al tipo de DP que se recabe se deberaacute solicitar el
consentimiento correspondiente
37
ldquoObligacioacuten de guardar secreto de
los datos persnales que son
tratadosrdquo
El Responsable debe adoptar medidas para
evitar que quienes tengan acceso a eacutestos
divulguen dicha informacioacuten
Se debe cumplir aun una vez que finalice la
relacioacuten contractual o laboral entre el
responsable y quien tenga accesos a los
datos personales para el desarrollo de las
tareas o funciones que se le hubiern
encomendado
38
Establecer Medidas de seguridad administrativas fiacutesicas y teacutecnicas para la
proteger los DP mismas que deben ser documentadas (acciones anaacutelisis de
riesgo anaacutelisis de brecha revisiones o auditoriacuteas capacitacioacuten entre otras)
39
Peacuterdida destruccioacuten robo
extraviacuteo copia uso
acceso tratamiento dantildeo
alteracioacuten o modificacioacuten
NO AUTORIZADO
Si hay vulneracioacuten que impacte los derechos patrimoniales o
morales de los titulares se deberaacuten tomar acciones e informar a
los titulares sin dilacioacuten con el fin de que eacutestos tomen las medidas
pertinentes
VII Derechos ARCO y la
Proteccioacuten de Derechos
40
41
Cada uno de nosotros como titulares de los DP o en su caso nuestro
representante legal podremos ejercer cualquiera de los derechos ARCO ante
las empresas que los tengan en sus bases de datos
42
Mecanismos para que los ciudadanos podamos limitar el
uso de nuestros datos personales para fines comerciales
(liacuteneas telefoacutenicas particulares o moviles asiacute como sus
correos electroacutenicos domicilios y nombres)
Estas pueden ser propios o de organismos como la
PROFECO y la CONDUSEF que ya han creado estas
listas para registro opcional de los ciudadanos
REPEP (Registro Puacuteblico para Evitar Publicidad y
REUNS (Registro Puacuteblico de Usuarios que no desean
informacioacuten publicitaria de Productos y Servicios
Financieros)
Las empresas que realizan actividades de promocioacuten
deberaacuten previamente validar la existencia de los datos de
sus prospectos en estas listas para no incurrir en una
violacioacuten a la privacidad de los mismos
43
La empresa debe designar una persona
o un departamento interno para atender
las solicitudes de los Titulares de los
Datos a traveacutes del Ejercicio de sus
derechos ARCO
El Reglamento yo su encargado definen
su proceso interno medios y
procedimientos para la recepcioacuten
atencioacuten y resolucioacuten de las Solicitudes
de Derechos ARCO
El Ejercicio de los derechos debe ser
gratuito soacutelo en caso de reproduccioacuten o
enviacuteo el titular pagara los costos
correspondientes
44
El Titular Entrega solicitud de Derechos ARCO en
2 tantos que incluyen
bull Identificacioacuten oficial
bull Datos de localizacioacuten para
mantener la comunicacioacuten yo enviar
notificaciones
bull Documentacioacuten que ayude a su aacutegil
localizacioacuten o para demostrar la
correccioacuten o cambio solicitado
Espera 20 diacuteas la resolucioacuten ldquoprocede o
nordquo su solicitud
Espera 15 diacuteas maacutes aplicacioacuten de
resolucioacuten
45
El Departamento yo Encargado
de DP Entregar explicar yo recibir la solicitud de
Derechos ARCO en 2 tantos
bull Sellar la recepcioacuten con fecha y firma de
quien la recibe
bull Revisar y realizar el anaacutelisis de
procedencia de la solicitud (20 diacuteas
haacutebiles)
bull Notificar al titular la resolucioacuten proceda o
no
bull Aplicar resolucioacuten (15 diacuteas haacutebiles)
Nota El Responsible puede si asiacute se requiere y justifica incrementar el
plazo por uacutenica ocasioacuten por los mismos plazos descritos en cada
proceso previa notificacioacuten al titular
46
El titular o su representante legal no se
acrediten debidamente
No se encuentren los datos personales
en su base (s) de datos
Se lesionen derechos de terceros
La rectificacioacuten cancelacioacuten u oposicioacuten
hayan sido solicitadas preaviamente
Exista impedimento legal o resolucioacuten de
las autoridades que restrinja el ejercicio
de estos derechos
El Responsable podraacute negar el ejercicio
de los Derechos ARCO cuando
VIII Proteccioacuten de Derechos
ante el Ifai
47
48
Expresar claramente el
contenido de su
reclamacioacuten
Presentar el
documento que pruebe
la fecha en que
presentoacute la solicitud de
Derechos ARCO
bull Por escrito libre o a traveacutes de los
formatos establecidos por el IFAI
bull Sistema electroacutenico
bull En el domicilio del Instituto u oficina habilitada
bull Por correo certificado con acuse de recibo
El titular o su representante legal presenta su solicitud de proteccioacuten de derechos ante
el IFAI
Estaacute inconforme con la
respuesta
Dentro de los 15 diacuteas siguientes a la fecha en
que se comunique la respuesta
No recibioacute respuesta
Dentro de los 15 diacuteas a partir de que haya vencido el plazo de
respuesta
El TitularPlazos
Podraacute interponerse
IX Sanciones e Infracciones
49
50
El Salario miacutenimo vigente en el DF para 2014 es
Salario Miacutenimo ZonaAacuterea geograacutefica A 6729 pesos diarios
Fuente httpsalariominimocommxsalario-minimo-2014
DSMV DF Diacuteas de Salario Miacutenimo vigente en el Distrito Federal
No dar atencioacuten a las solicitudes ARCO
El apercibimiento para que el
responsable lleve a cabo los actos solicitados por el
titular
Omitir el aviso mantener DP
inexactos negar la existencia de DP con
dolo
Multa de 100 a 160000 VSM DF
De $6230 a $9972800
Incumplir deber de confidencialidad
cambiar la finalidad o realizar transferencias sin dar aviso de ello o vulnerar la seguridad de las bases de datos
Multa de 200 a 320000 VSM DF
De $12466 a $19945600
51
Trataacutendose de datos
personales sensibles
Provocar una vulneracioacuten de
seguridad a las bases de
datos bajo su custodia
3 meses a 3 antildeos
Tratamiento de DP
mediante el engantildeo
aprovechaacutendose del error
del titular o del
responsable
6 meses a 5 antildeos
Penas
anteriores
Delitos llevados
a cabo con
aacutenimo de lucro
Delito Prisioacuten
52
53
Beatriz Vargas
Director Comercial
beatrizvbsconsultingcommx
Tel 6380 5705 Cel 551071 9446
Ricardo Rangel
Director de Proyectos Estraacutetegicos
ricardorbsconsultingcommx
Tel 6380 5705 Cel 554453 4778
wwwBSConsultingcommx
IV Designar un encargado
o departamento de Datos
Personales
18
Actores principalesResponsable
Es la persona fiacutesica o moral de caraacutecter privado que DECIDE
sobre el tratamiento de los DP es decir
bull Quien establece las finalidades del tratamiento o el uso que se
les daraacute
bull El tipo de datos que se requieren
bull A quieacuten y para queacute se comparten
bull Coacutemo se obtienen almacenan y suprimen y
bull En queacute casos se divulgaraacuten
EncargadoEs la persona fiacutesica o moral (Outsourcing) que trata los datospersonales a nombre y por cuenta del Responsable
bull El encargado NO DECIDE sobre el tratamiento de los datospersonales lo realiza siguiendo las instrucciones delResponsable
Tercerobull Es la persona fiacutesica o moral nacional o extranjera ajena a la
organizacioacuten distinta del responsable encargado o titular 19
iquestCoacutemo seleccionar al ldquoEncargado de
DPrdquoEs importante considerar
bull Tamantildeo y capacidad de la organizacioacuten
bull Tipo y volumen de datos obtenidos
bull Naturaleza e intensidad del tratamiento
bull Nivel de riesgo y confidencialidad
La persona o Departamento de DP ldquoEncargado de
DPrdquo debe
bull Atender las Solicitudes de Derechos ARCO
bull Fomentar la proteccioacuten de DP al interior del
negocioArt 30 de la LFPDPPP
Es indispensable que el Responsable formalice la
relacioacuten con el Encargado de DP mediante un
instrumento juriacutedico (contrato claacuteusulas contractuales
acuerdos o convenios) en el que se establezcan las
obligaciones de ambos en torno a la proteccioacuten de datos
personales
Oficial de
Proteccioacuten de DP
20
V Identificar
Transferencias
21
TransferenciasTransferencia de DP
bull La transferencia es la comunicacioacuten de datospersonales dentro o fuera del territorio nacionala persona distinta del titular del Responsable odel encargado
bull Formalizarla a traveacutes de instrumentojuriacutedico
bull Debe ser Informada al titular a traveacutes delAviso de Privacidad a quien se transfiereny para que fines
bull Limitarse a las finalidades notificadas en elAviso de Privacidad y consentidas por eltitular
bull Se podraacute realizar hasta que se hayaobtenido el consentimiento del titular salvolas excepciones marcadas en el Art 37 dela Ley
bull Los Receptores asumen las mismasobligaciones del Responsable sobre los datosrecibidos de acuerdo con el Aviso de privacidady Contrato firmado entre las partes
Encargado
Responsable
Tercero
Transferencia interna
ldquoRemisioacuten de DPrdquo
Transferencia a
terceros
Cuando esteacute previsto en una Ley o Tratado en el que Meacutexico sea parte para
la prevencioacuten o el diagnoacutestico meacutedico para el cumplimiento de una relacioacuten
juriacutedica o salvaguarda de un intereacutes puacuteblico o procuracioacuten de justicia
22
23
Si el Responsable se adhiere a la infraestructura los servicios
o aplicaciones el proveedor deberaacute cumplir con las siguientes
condiciones definidas en el Art 52 del Reglamento de la Ley de lo
contrario el Responsable NO podraacute adherirse
I Cumpla al menos con lo siguiente
a) Tener y aplicar poliacuteticas de Proteccioacuten de DP y
medidas de seguridad acorden a la LFPDPPP
b) Transparentar las subcontrataciones
c) Abstenerse de asumir la titularidad o
propiedad de la informacioacuten y guardar
confidencialidad
d) Garantizar la supresioacuten de los DP una vez que
haya concluido el servicio prestado al
Responsable
VI Principios y deberes
24
Cumplir con los
Principios y deberes
25
Licitud
Lealtad
Proporcionalidad
Calidad
Finalidad
Consentimiento
Informacioacuten
Responsabilidad
Licitud
Lealtad
Principios
26
bull Todo tratamiento de datos personales
debe ser con estricto apego y
cumplimiento a lo dispuesto por la
legislacioacuten mexicana y el derecho
internacional
bull El tratamiento de DP debe realizarse en
atencioacuten a lo acordado NO deben de
utilizarse medios engantildeosos o fraudu-
lentos para recabar y tratar DP
Licitud
Lealtad
Principios
27
Proporcionalidad
Calidad
bull Los DP tratados deben ser los miacutenimos
necesarios para el cumplimiento de la
finalidad para la cual se recabaron
bull El responsable deberaacute aplicar el Criterio
de minimizacioacuten
bull Los DP deben ser correctos exactos
completos pertinentes y actualizados de
acuerdo con la finalidad para la cual
fueron recabados
Principio finalidad
28
bull Dan origen y son necesarias
para la relacioacuten juriacutedica
bull Una relacioacuten juriacutedica debe estar
enmarcada por los siguientes
factores
bull Viacutenculo entre los sujetos
bull Dos o mas sujetos
bull Estar regulado por el derecho y
bull Producir consecuencias juriacutedicas
El tratamiento de DP debe ser soacutelo el necesario para cumplir con la
finalidad determinada y legiacutetima que se sentildealoacute en el aviso de privacidad
de manera clara y objetiva
bull Finalidades distintas a las quedieron origen a la relacioacuten juriacutedicao bien aquellas legalmentepermitidas o para las que elresponsable haya obtenido elconsentimientondash Mercadoloacutegicos publicitarias
ndash Promocionales comunicacioacutenprospeccioacuten referencia comercial
ndash Videografacioacuten y toma de fotigrafiacuteas
bull El titular puede oponerse altratamiento de sus datos paraestas finalidades y no seraacute motivopara negar el servicio solicitado
Primarias Secundarias
Principio Consentimientobull Facultad de las personas para decidir sobre el tratamiento de sus DP
el cual taacutecito expreso o expreso y por escrito debe ser libre especiacuteficoinformado e inequiacutevoco
bull Si una ley o reglamento en lo particular exige el consentimiento expreso oexpreso y por escrito para el tratamiento de DP el responsable deberaacutesolicitarlo de esa forma aunque no se trate de datos financierospatrimoniales o sensibles
Nota No es necesario solicitar el consentimiento cuando el tratamiento de los DP sea en cumplimientoa obligaciones derivado de una relacioacuten juriacutedica entre el titular y el Responsable
Tipo de Consentimiento
bull Taacutecito
bull Expreso
bull Expreso y por escrito
Para que tipo de datos se requiere
bull Para cualquier tipo de dato personal con excepcioacuten de los datos patrimoniales financieros y sensibles
bull Para datos financieros y patrimoniales
bull Para datos personales sensibles
29
Principio de Responsabilidad
30
bull Establecer Medidas de Seguridad administrativas fiacutesicas yo
teacutecnicas para la proteccioacuten de los DP mismas que deben ser
documentadas (acciones anaacutelisis de riesgo anaacutelisis de
brecha revisiones o auditoriacuteas capacitacioacuten entre otras)
Algunas medidas baacutesicas pueden ser
1 Elaborar Poliacuteticas de Proteccioacuten de DP al
interior del negocio que incluyan sistemas de
supervisioacuten y vigilancia
2 Brindar capacitacioacuten para la concientizacioacuten de
personal
3 Establecer procedimientos para atender las
dudas o quejas de los titulares
31
iquestQueacute es el Aviso de Privacidad
Es un documento fiacutesico electroacutenico visual sonoro
o en cualquier otro formato generado por el
responsable de manera sencilla con un lenguaje
claro y comprensible de aceurdo al perfil de los
titulares puesto a su disposicioacuten previo al
tratamiento de sus datos personales
Establecer los teacuterminos y condiciones generales del
tratamiento de los datos personales que recaba
El Responsable deberaacute tener el nuacutemero de avisos de
pivacidad que resulte necesario de acuerdo a los
tratamientos que realice a los DP
32
El aviso de privacidad debe estar disponible en alguno de los
siguientes soportes
Fiacutesico (en papel)
Electroacutenico (paacuteginas web correos electroacutenicos etc)
Visual ( pantalla de TV videos etc)
Sonoro (Grabaciones IVR etc)
En otros medios (prensa)
33
No usar frases inexactas ambiguas o vagas como ldquoentre
otrosrdquo ldquocomo por ejemplordquo ldquoDe manera enunciativa maacutes no
limitativardquo
No incluir textos o frases que induzcan al titular de manera
engantildeosa o fraudulenta (ejemplo ldquoLe recomendamos que
nos autorice el uso de su informacioacuten personal sin restriccioacuten
alguna para ser maacutes eficiente nuestro trabajordquo
No remitir al titular a textos o documentos que no esteacuten
disponibes (links disponibles)
No incluir casillas u otros mecanismos similares que esteacuten
marcados previamente que obliguen a los titulares a
desmarcarlos para modificar la condicioacuten previamente
establecida
34
35
Ejemplo AP
36
Modalidades
del Aviso de
Privacidad
Integral
Simplificado
Corto
Cuando los datos se obtengan
personalmente del titular
(entrevista)
Cuando se obtienen de manera
directa (contacto paacuteg web ndash viacutea
telefoacutenica)
Cuando el espacio para dar a
conocer el aviso sea limitado
(correo formatos SMS etc)
Nota De acuerdo al tipo de DP que se recabe se deberaacute solicitar el
consentimiento correspondiente
37
ldquoObligacioacuten de guardar secreto de
los datos persnales que son
tratadosrdquo
El Responsable debe adoptar medidas para
evitar que quienes tengan acceso a eacutestos
divulguen dicha informacioacuten
Se debe cumplir aun una vez que finalice la
relacioacuten contractual o laboral entre el
responsable y quien tenga accesos a los
datos personales para el desarrollo de las
tareas o funciones que se le hubiern
encomendado
38
Establecer Medidas de seguridad administrativas fiacutesicas y teacutecnicas para la
proteger los DP mismas que deben ser documentadas (acciones anaacutelisis de
riesgo anaacutelisis de brecha revisiones o auditoriacuteas capacitacioacuten entre otras)
39
Peacuterdida destruccioacuten robo
extraviacuteo copia uso
acceso tratamiento dantildeo
alteracioacuten o modificacioacuten
NO AUTORIZADO
Si hay vulneracioacuten que impacte los derechos patrimoniales o
morales de los titulares se deberaacuten tomar acciones e informar a
los titulares sin dilacioacuten con el fin de que eacutestos tomen las medidas
pertinentes
VII Derechos ARCO y la
Proteccioacuten de Derechos
40
41
Cada uno de nosotros como titulares de los DP o en su caso nuestro
representante legal podremos ejercer cualquiera de los derechos ARCO ante
las empresas que los tengan en sus bases de datos
42
Mecanismos para que los ciudadanos podamos limitar el
uso de nuestros datos personales para fines comerciales
(liacuteneas telefoacutenicas particulares o moviles asiacute como sus
correos electroacutenicos domicilios y nombres)
Estas pueden ser propios o de organismos como la
PROFECO y la CONDUSEF que ya han creado estas
listas para registro opcional de los ciudadanos
REPEP (Registro Puacuteblico para Evitar Publicidad y
REUNS (Registro Puacuteblico de Usuarios que no desean
informacioacuten publicitaria de Productos y Servicios
Financieros)
Las empresas que realizan actividades de promocioacuten
deberaacuten previamente validar la existencia de los datos de
sus prospectos en estas listas para no incurrir en una
violacioacuten a la privacidad de los mismos
43
La empresa debe designar una persona
o un departamento interno para atender
las solicitudes de los Titulares de los
Datos a traveacutes del Ejercicio de sus
derechos ARCO
El Reglamento yo su encargado definen
su proceso interno medios y
procedimientos para la recepcioacuten
atencioacuten y resolucioacuten de las Solicitudes
de Derechos ARCO
El Ejercicio de los derechos debe ser
gratuito soacutelo en caso de reproduccioacuten o
enviacuteo el titular pagara los costos
correspondientes
44
El Titular Entrega solicitud de Derechos ARCO en
2 tantos que incluyen
bull Identificacioacuten oficial
bull Datos de localizacioacuten para
mantener la comunicacioacuten yo enviar
notificaciones
bull Documentacioacuten que ayude a su aacutegil
localizacioacuten o para demostrar la
correccioacuten o cambio solicitado
Espera 20 diacuteas la resolucioacuten ldquoprocede o
nordquo su solicitud
Espera 15 diacuteas maacutes aplicacioacuten de
resolucioacuten
45
El Departamento yo Encargado
de DP Entregar explicar yo recibir la solicitud de
Derechos ARCO en 2 tantos
bull Sellar la recepcioacuten con fecha y firma de
quien la recibe
bull Revisar y realizar el anaacutelisis de
procedencia de la solicitud (20 diacuteas
haacutebiles)
bull Notificar al titular la resolucioacuten proceda o
no
bull Aplicar resolucioacuten (15 diacuteas haacutebiles)
Nota El Responsible puede si asiacute se requiere y justifica incrementar el
plazo por uacutenica ocasioacuten por los mismos plazos descritos en cada
proceso previa notificacioacuten al titular
46
El titular o su representante legal no se
acrediten debidamente
No se encuentren los datos personales
en su base (s) de datos
Se lesionen derechos de terceros
La rectificacioacuten cancelacioacuten u oposicioacuten
hayan sido solicitadas preaviamente
Exista impedimento legal o resolucioacuten de
las autoridades que restrinja el ejercicio
de estos derechos
El Responsable podraacute negar el ejercicio
de los Derechos ARCO cuando
VIII Proteccioacuten de Derechos
ante el Ifai
47
48
Expresar claramente el
contenido de su
reclamacioacuten
Presentar el
documento que pruebe
la fecha en que
presentoacute la solicitud de
Derechos ARCO
bull Por escrito libre o a traveacutes de los
formatos establecidos por el IFAI
bull Sistema electroacutenico
bull En el domicilio del Instituto u oficina habilitada
bull Por correo certificado con acuse de recibo
El titular o su representante legal presenta su solicitud de proteccioacuten de derechos ante
el IFAI
Estaacute inconforme con la
respuesta
Dentro de los 15 diacuteas siguientes a la fecha en
que se comunique la respuesta
No recibioacute respuesta
Dentro de los 15 diacuteas a partir de que haya vencido el plazo de
respuesta
El TitularPlazos
Podraacute interponerse
IX Sanciones e Infracciones
49
50
El Salario miacutenimo vigente en el DF para 2014 es
Salario Miacutenimo ZonaAacuterea geograacutefica A 6729 pesos diarios
Fuente httpsalariominimocommxsalario-minimo-2014
DSMV DF Diacuteas de Salario Miacutenimo vigente en el Distrito Federal
No dar atencioacuten a las solicitudes ARCO
El apercibimiento para que el
responsable lleve a cabo los actos solicitados por el
titular
Omitir el aviso mantener DP
inexactos negar la existencia de DP con
dolo
Multa de 100 a 160000 VSM DF
De $6230 a $9972800
Incumplir deber de confidencialidad
cambiar la finalidad o realizar transferencias sin dar aviso de ello o vulnerar la seguridad de las bases de datos
Multa de 200 a 320000 VSM DF
De $12466 a $19945600
51
Trataacutendose de datos
personales sensibles
Provocar una vulneracioacuten de
seguridad a las bases de
datos bajo su custodia
3 meses a 3 antildeos
Tratamiento de DP
mediante el engantildeo
aprovechaacutendose del error
del titular o del
responsable
6 meses a 5 antildeos
Penas
anteriores
Delitos llevados
a cabo con
aacutenimo de lucro
Delito Prisioacuten
52
53
Beatriz Vargas
Director Comercial
beatrizvbsconsultingcommx
Tel 6380 5705 Cel 551071 9446
Ricardo Rangel
Director de Proyectos Estraacutetegicos
ricardorbsconsultingcommx
Tel 6380 5705 Cel 554453 4778
wwwBSConsultingcommx
Actores principalesResponsable
Es la persona fiacutesica o moral de caraacutecter privado que DECIDE
sobre el tratamiento de los DP es decir
bull Quien establece las finalidades del tratamiento o el uso que se
les daraacute
bull El tipo de datos que se requieren
bull A quieacuten y para queacute se comparten
bull Coacutemo se obtienen almacenan y suprimen y
bull En queacute casos se divulgaraacuten
EncargadoEs la persona fiacutesica o moral (Outsourcing) que trata los datospersonales a nombre y por cuenta del Responsable
bull El encargado NO DECIDE sobre el tratamiento de los datospersonales lo realiza siguiendo las instrucciones delResponsable
Tercerobull Es la persona fiacutesica o moral nacional o extranjera ajena a la
organizacioacuten distinta del responsable encargado o titular 19
iquestCoacutemo seleccionar al ldquoEncargado de
DPrdquoEs importante considerar
bull Tamantildeo y capacidad de la organizacioacuten
bull Tipo y volumen de datos obtenidos
bull Naturaleza e intensidad del tratamiento
bull Nivel de riesgo y confidencialidad
La persona o Departamento de DP ldquoEncargado de
DPrdquo debe
bull Atender las Solicitudes de Derechos ARCO
bull Fomentar la proteccioacuten de DP al interior del
negocioArt 30 de la LFPDPPP
Es indispensable que el Responsable formalice la
relacioacuten con el Encargado de DP mediante un
instrumento juriacutedico (contrato claacuteusulas contractuales
acuerdos o convenios) en el que se establezcan las
obligaciones de ambos en torno a la proteccioacuten de datos
personales
Oficial de
Proteccioacuten de DP
20
V Identificar
Transferencias
21
TransferenciasTransferencia de DP
bull La transferencia es la comunicacioacuten de datospersonales dentro o fuera del territorio nacionala persona distinta del titular del Responsable odel encargado
bull Formalizarla a traveacutes de instrumentojuriacutedico
bull Debe ser Informada al titular a traveacutes delAviso de Privacidad a quien se transfiereny para que fines
bull Limitarse a las finalidades notificadas en elAviso de Privacidad y consentidas por eltitular
bull Se podraacute realizar hasta que se hayaobtenido el consentimiento del titular salvolas excepciones marcadas en el Art 37 dela Ley
bull Los Receptores asumen las mismasobligaciones del Responsable sobre los datosrecibidos de acuerdo con el Aviso de privacidady Contrato firmado entre las partes
Encargado
Responsable
Tercero
Transferencia interna
ldquoRemisioacuten de DPrdquo
Transferencia a
terceros
Cuando esteacute previsto en una Ley o Tratado en el que Meacutexico sea parte para
la prevencioacuten o el diagnoacutestico meacutedico para el cumplimiento de una relacioacuten
juriacutedica o salvaguarda de un intereacutes puacuteblico o procuracioacuten de justicia
22
23
Si el Responsable se adhiere a la infraestructura los servicios
o aplicaciones el proveedor deberaacute cumplir con las siguientes
condiciones definidas en el Art 52 del Reglamento de la Ley de lo
contrario el Responsable NO podraacute adherirse
I Cumpla al menos con lo siguiente
a) Tener y aplicar poliacuteticas de Proteccioacuten de DP y
medidas de seguridad acorden a la LFPDPPP
b) Transparentar las subcontrataciones
c) Abstenerse de asumir la titularidad o
propiedad de la informacioacuten y guardar
confidencialidad
d) Garantizar la supresioacuten de los DP una vez que
haya concluido el servicio prestado al
Responsable
VI Principios y deberes
24
Cumplir con los
Principios y deberes
25
Licitud
Lealtad
Proporcionalidad
Calidad
Finalidad
Consentimiento
Informacioacuten
Responsabilidad
Licitud
Lealtad
Principios
26
bull Todo tratamiento de datos personales
debe ser con estricto apego y
cumplimiento a lo dispuesto por la
legislacioacuten mexicana y el derecho
internacional
bull El tratamiento de DP debe realizarse en
atencioacuten a lo acordado NO deben de
utilizarse medios engantildeosos o fraudu-
lentos para recabar y tratar DP
Licitud
Lealtad
Principios
27
Proporcionalidad
Calidad
bull Los DP tratados deben ser los miacutenimos
necesarios para el cumplimiento de la
finalidad para la cual se recabaron
bull El responsable deberaacute aplicar el Criterio
de minimizacioacuten
bull Los DP deben ser correctos exactos
completos pertinentes y actualizados de
acuerdo con la finalidad para la cual
fueron recabados
Principio finalidad
28
bull Dan origen y son necesarias
para la relacioacuten juriacutedica
bull Una relacioacuten juriacutedica debe estar
enmarcada por los siguientes
factores
bull Viacutenculo entre los sujetos
bull Dos o mas sujetos
bull Estar regulado por el derecho y
bull Producir consecuencias juriacutedicas
El tratamiento de DP debe ser soacutelo el necesario para cumplir con la
finalidad determinada y legiacutetima que se sentildealoacute en el aviso de privacidad
de manera clara y objetiva
bull Finalidades distintas a las quedieron origen a la relacioacuten juriacutedicao bien aquellas legalmentepermitidas o para las que elresponsable haya obtenido elconsentimientondash Mercadoloacutegicos publicitarias
ndash Promocionales comunicacioacutenprospeccioacuten referencia comercial
ndash Videografacioacuten y toma de fotigrafiacuteas
bull El titular puede oponerse altratamiento de sus datos paraestas finalidades y no seraacute motivopara negar el servicio solicitado
Primarias Secundarias
Principio Consentimientobull Facultad de las personas para decidir sobre el tratamiento de sus DP
el cual taacutecito expreso o expreso y por escrito debe ser libre especiacuteficoinformado e inequiacutevoco
bull Si una ley o reglamento en lo particular exige el consentimiento expreso oexpreso y por escrito para el tratamiento de DP el responsable deberaacutesolicitarlo de esa forma aunque no se trate de datos financierospatrimoniales o sensibles
Nota No es necesario solicitar el consentimiento cuando el tratamiento de los DP sea en cumplimientoa obligaciones derivado de una relacioacuten juriacutedica entre el titular y el Responsable
Tipo de Consentimiento
bull Taacutecito
bull Expreso
bull Expreso y por escrito
Para que tipo de datos se requiere
bull Para cualquier tipo de dato personal con excepcioacuten de los datos patrimoniales financieros y sensibles
bull Para datos financieros y patrimoniales
bull Para datos personales sensibles
29
Principio de Responsabilidad
30
bull Establecer Medidas de Seguridad administrativas fiacutesicas yo
teacutecnicas para la proteccioacuten de los DP mismas que deben ser
documentadas (acciones anaacutelisis de riesgo anaacutelisis de
brecha revisiones o auditoriacuteas capacitacioacuten entre otras)
Algunas medidas baacutesicas pueden ser
1 Elaborar Poliacuteticas de Proteccioacuten de DP al
interior del negocio que incluyan sistemas de
supervisioacuten y vigilancia
2 Brindar capacitacioacuten para la concientizacioacuten de
personal
3 Establecer procedimientos para atender las
dudas o quejas de los titulares
31
iquestQueacute es el Aviso de Privacidad
Es un documento fiacutesico electroacutenico visual sonoro
o en cualquier otro formato generado por el
responsable de manera sencilla con un lenguaje
claro y comprensible de aceurdo al perfil de los
titulares puesto a su disposicioacuten previo al
tratamiento de sus datos personales
Establecer los teacuterminos y condiciones generales del
tratamiento de los datos personales que recaba
El Responsable deberaacute tener el nuacutemero de avisos de
pivacidad que resulte necesario de acuerdo a los
tratamientos que realice a los DP
32
El aviso de privacidad debe estar disponible en alguno de los
siguientes soportes
Fiacutesico (en papel)
Electroacutenico (paacuteginas web correos electroacutenicos etc)
Visual ( pantalla de TV videos etc)
Sonoro (Grabaciones IVR etc)
En otros medios (prensa)
33
No usar frases inexactas ambiguas o vagas como ldquoentre
otrosrdquo ldquocomo por ejemplordquo ldquoDe manera enunciativa maacutes no
limitativardquo
No incluir textos o frases que induzcan al titular de manera
engantildeosa o fraudulenta (ejemplo ldquoLe recomendamos que
nos autorice el uso de su informacioacuten personal sin restriccioacuten
alguna para ser maacutes eficiente nuestro trabajordquo
No remitir al titular a textos o documentos que no esteacuten
disponibes (links disponibles)
No incluir casillas u otros mecanismos similares que esteacuten
marcados previamente que obliguen a los titulares a
desmarcarlos para modificar la condicioacuten previamente
establecida
34
35
Ejemplo AP
36
Modalidades
del Aviso de
Privacidad
Integral
Simplificado
Corto
Cuando los datos se obtengan
personalmente del titular
(entrevista)
Cuando se obtienen de manera
directa (contacto paacuteg web ndash viacutea
telefoacutenica)
Cuando el espacio para dar a
conocer el aviso sea limitado
(correo formatos SMS etc)
Nota De acuerdo al tipo de DP que se recabe se deberaacute solicitar el
consentimiento correspondiente
37
ldquoObligacioacuten de guardar secreto de
los datos persnales que son
tratadosrdquo
El Responsable debe adoptar medidas para
evitar que quienes tengan acceso a eacutestos
divulguen dicha informacioacuten
Se debe cumplir aun una vez que finalice la
relacioacuten contractual o laboral entre el
responsable y quien tenga accesos a los
datos personales para el desarrollo de las
tareas o funciones que se le hubiern
encomendado
38
Establecer Medidas de seguridad administrativas fiacutesicas y teacutecnicas para la
proteger los DP mismas que deben ser documentadas (acciones anaacutelisis de
riesgo anaacutelisis de brecha revisiones o auditoriacuteas capacitacioacuten entre otras)
39
Peacuterdida destruccioacuten robo
extraviacuteo copia uso
acceso tratamiento dantildeo
alteracioacuten o modificacioacuten
NO AUTORIZADO
Si hay vulneracioacuten que impacte los derechos patrimoniales o
morales de los titulares se deberaacuten tomar acciones e informar a
los titulares sin dilacioacuten con el fin de que eacutestos tomen las medidas
pertinentes
VII Derechos ARCO y la
Proteccioacuten de Derechos
40
41
Cada uno de nosotros como titulares de los DP o en su caso nuestro
representante legal podremos ejercer cualquiera de los derechos ARCO ante
las empresas que los tengan en sus bases de datos
42
Mecanismos para que los ciudadanos podamos limitar el
uso de nuestros datos personales para fines comerciales
(liacuteneas telefoacutenicas particulares o moviles asiacute como sus
correos electroacutenicos domicilios y nombres)
Estas pueden ser propios o de organismos como la
PROFECO y la CONDUSEF que ya han creado estas
listas para registro opcional de los ciudadanos
REPEP (Registro Puacuteblico para Evitar Publicidad y
REUNS (Registro Puacuteblico de Usuarios que no desean
informacioacuten publicitaria de Productos y Servicios
Financieros)
Las empresas que realizan actividades de promocioacuten
deberaacuten previamente validar la existencia de los datos de
sus prospectos en estas listas para no incurrir en una
violacioacuten a la privacidad de los mismos
43
La empresa debe designar una persona
o un departamento interno para atender
las solicitudes de los Titulares de los
Datos a traveacutes del Ejercicio de sus
derechos ARCO
El Reglamento yo su encargado definen
su proceso interno medios y
procedimientos para la recepcioacuten
atencioacuten y resolucioacuten de las Solicitudes
de Derechos ARCO
El Ejercicio de los derechos debe ser
gratuito soacutelo en caso de reproduccioacuten o
enviacuteo el titular pagara los costos
correspondientes
44
El Titular Entrega solicitud de Derechos ARCO en
2 tantos que incluyen
bull Identificacioacuten oficial
bull Datos de localizacioacuten para
mantener la comunicacioacuten yo enviar
notificaciones
bull Documentacioacuten que ayude a su aacutegil
localizacioacuten o para demostrar la
correccioacuten o cambio solicitado
Espera 20 diacuteas la resolucioacuten ldquoprocede o
nordquo su solicitud
Espera 15 diacuteas maacutes aplicacioacuten de
resolucioacuten
45
El Departamento yo Encargado
de DP Entregar explicar yo recibir la solicitud de
Derechos ARCO en 2 tantos
bull Sellar la recepcioacuten con fecha y firma de
quien la recibe
bull Revisar y realizar el anaacutelisis de
procedencia de la solicitud (20 diacuteas
haacutebiles)
bull Notificar al titular la resolucioacuten proceda o
no
bull Aplicar resolucioacuten (15 diacuteas haacutebiles)
Nota El Responsible puede si asiacute se requiere y justifica incrementar el
plazo por uacutenica ocasioacuten por los mismos plazos descritos en cada
proceso previa notificacioacuten al titular
46
El titular o su representante legal no se
acrediten debidamente
No se encuentren los datos personales
en su base (s) de datos
Se lesionen derechos de terceros
La rectificacioacuten cancelacioacuten u oposicioacuten
hayan sido solicitadas preaviamente
Exista impedimento legal o resolucioacuten de
las autoridades que restrinja el ejercicio
de estos derechos
El Responsable podraacute negar el ejercicio
de los Derechos ARCO cuando
VIII Proteccioacuten de Derechos
ante el Ifai
47
48
Expresar claramente el
contenido de su
reclamacioacuten
Presentar el
documento que pruebe
la fecha en que
presentoacute la solicitud de
Derechos ARCO
bull Por escrito libre o a traveacutes de los
formatos establecidos por el IFAI
bull Sistema electroacutenico
bull En el domicilio del Instituto u oficina habilitada
bull Por correo certificado con acuse de recibo
El titular o su representante legal presenta su solicitud de proteccioacuten de derechos ante
el IFAI
Estaacute inconforme con la
respuesta
Dentro de los 15 diacuteas siguientes a la fecha en
que se comunique la respuesta
No recibioacute respuesta
Dentro de los 15 diacuteas a partir de que haya vencido el plazo de
respuesta
El TitularPlazos
Podraacute interponerse
IX Sanciones e Infracciones
49
50
El Salario miacutenimo vigente en el DF para 2014 es
Salario Miacutenimo ZonaAacuterea geograacutefica A 6729 pesos diarios
Fuente httpsalariominimocommxsalario-minimo-2014
DSMV DF Diacuteas de Salario Miacutenimo vigente en el Distrito Federal
No dar atencioacuten a las solicitudes ARCO
El apercibimiento para que el
responsable lleve a cabo los actos solicitados por el
titular
Omitir el aviso mantener DP
inexactos negar la existencia de DP con
dolo
Multa de 100 a 160000 VSM DF
De $6230 a $9972800
Incumplir deber de confidencialidad
cambiar la finalidad o realizar transferencias sin dar aviso de ello o vulnerar la seguridad de las bases de datos
Multa de 200 a 320000 VSM DF
De $12466 a $19945600
51
Trataacutendose de datos
personales sensibles
Provocar una vulneracioacuten de
seguridad a las bases de
datos bajo su custodia
3 meses a 3 antildeos
Tratamiento de DP
mediante el engantildeo
aprovechaacutendose del error
del titular o del
responsable
6 meses a 5 antildeos
Penas
anteriores
Delitos llevados
a cabo con
aacutenimo de lucro
Delito Prisioacuten
52
53
Beatriz Vargas
Director Comercial
beatrizvbsconsultingcommx
Tel 6380 5705 Cel 551071 9446
Ricardo Rangel
Director de Proyectos Estraacutetegicos
ricardorbsconsultingcommx
Tel 6380 5705 Cel 554453 4778
wwwBSConsultingcommx
iquestCoacutemo seleccionar al ldquoEncargado de
DPrdquoEs importante considerar
bull Tamantildeo y capacidad de la organizacioacuten
bull Tipo y volumen de datos obtenidos
bull Naturaleza e intensidad del tratamiento
bull Nivel de riesgo y confidencialidad
La persona o Departamento de DP ldquoEncargado de
DPrdquo debe
bull Atender las Solicitudes de Derechos ARCO
bull Fomentar la proteccioacuten de DP al interior del
negocioArt 30 de la LFPDPPP
Es indispensable que el Responsable formalice la
relacioacuten con el Encargado de DP mediante un
instrumento juriacutedico (contrato claacuteusulas contractuales
acuerdos o convenios) en el que se establezcan las
obligaciones de ambos en torno a la proteccioacuten de datos
personales
Oficial de
Proteccioacuten de DP
20
V Identificar
Transferencias
21
TransferenciasTransferencia de DP
bull La transferencia es la comunicacioacuten de datospersonales dentro o fuera del territorio nacionala persona distinta del titular del Responsable odel encargado
bull Formalizarla a traveacutes de instrumentojuriacutedico
bull Debe ser Informada al titular a traveacutes delAviso de Privacidad a quien se transfiereny para que fines
bull Limitarse a las finalidades notificadas en elAviso de Privacidad y consentidas por eltitular
bull Se podraacute realizar hasta que se hayaobtenido el consentimiento del titular salvolas excepciones marcadas en el Art 37 dela Ley
bull Los Receptores asumen las mismasobligaciones del Responsable sobre los datosrecibidos de acuerdo con el Aviso de privacidady Contrato firmado entre las partes
Encargado
Responsable
Tercero
Transferencia interna
ldquoRemisioacuten de DPrdquo
Transferencia a
terceros
Cuando esteacute previsto en una Ley o Tratado en el que Meacutexico sea parte para
la prevencioacuten o el diagnoacutestico meacutedico para el cumplimiento de una relacioacuten
juriacutedica o salvaguarda de un intereacutes puacuteblico o procuracioacuten de justicia
22
23
Si el Responsable se adhiere a la infraestructura los servicios
o aplicaciones el proveedor deberaacute cumplir con las siguientes
condiciones definidas en el Art 52 del Reglamento de la Ley de lo
contrario el Responsable NO podraacute adherirse
I Cumpla al menos con lo siguiente
a) Tener y aplicar poliacuteticas de Proteccioacuten de DP y
medidas de seguridad acorden a la LFPDPPP
b) Transparentar las subcontrataciones
c) Abstenerse de asumir la titularidad o
propiedad de la informacioacuten y guardar
confidencialidad
d) Garantizar la supresioacuten de los DP una vez que
haya concluido el servicio prestado al
Responsable
VI Principios y deberes
24
Cumplir con los
Principios y deberes
25
Licitud
Lealtad
Proporcionalidad
Calidad
Finalidad
Consentimiento
Informacioacuten
Responsabilidad
Licitud
Lealtad
Principios
26
bull Todo tratamiento de datos personales
debe ser con estricto apego y
cumplimiento a lo dispuesto por la
legislacioacuten mexicana y el derecho
internacional
bull El tratamiento de DP debe realizarse en
atencioacuten a lo acordado NO deben de
utilizarse medios engantildeosos o fraudu-
lentos para recabar y tratar DP
Licitud
Lealtad
Principios
27
Proporcionalidad
Calidad
bull Los DP tratados deben ser los miacutenimos
necesarios para el cumplimiento de la
finalidad para la cual se recabaron
bull El responsable deberaacute aplicar el Criterio
de minimizacioacuten
bull Los DP deben ser correctos exactos
completos pertinentes y actualizados de
acuerdo con la finalidad para la cual
fueron recabados
Principio finalidad
28
bull Dan origen y son necesarias
para la relacioacuten juriacutedica
bull Una relacioacuten juriacutedica debe estar
enmarcada por los siguientes
factores
bull Viacutenculo entre los sujetos
bull Dos o mas sujetos
bull Estar regulado por el derecho y
bull Producir consecuencias juriacutedicas
El tratamiento de DP debe ser soacutelo el necesario para cumplir con la
finalidad determinada y legiacutetima que se sentildealoacute en el aviso de privacidad
de manera clara y objetiva
bull Finalidades distintas a las quedieron origen a la relacioacuten juriacutedicao bien aquellas legalmentepermitidas o para las que elresponsable haya obtenido elconsentimientondash Mercadoloacutegicos publicitarias
ndash Promocionales comunicacioacutenprospeccioacuten referencia comercial
ndash Videografacioacuten y toma de fotigrafiacuteas
bull El titular puede oponerse altratamiento de sus datos paraestas finalidades y no seraacute motivopara negar el servicio solicitado
Primarias Secundarias
Principio Consentimientobull Facultad de las personas para decidir sobre el tratamiento de sus DP
el cual taacutecito expreso o expreso y por escrito debe ser libre especiacuteficoinformado e inequiacutevoco
bull Si una ley o reglamento en lo particular exige el consentimiento expreso oexpreso y por escrito para el tratamiento de DP el responsable deberaacutesolicitarlo de esa forma aunque no se trate de datos financierospatrimoniales o sensibles
Nota No es necesario solicitar el consentimiento cuando el tratamiento de los DP sea en cumplimientoa obligaciones derivado de una relacioacuten juriacutedica entre el titular y el Responsable
Tipo de Consentimiento
bull Taacutecito
bull Expreso
bull Expreso y por escrito
Para que tipo de datos se requiere
bull Para cualquier tipo de dato personal con excepcioacuten de los datos patrimoniales financieros y sensibles
bull Para datos financieros y patrimoniales
bull Para datos personales sensibles
29
Principio de Responsabilidad
30
bull Establecer Medidas de Seguridad administrativas fiacutesicas yo
teacutecnicas para la proteccioacuten de los DP mismas que deben ser
documentadas (acciones anaacutelisis de riesgo anaacutelisis de
brecha revisiones o auditoriacuteas capacitacioacuten entre otras)
Algunas medidas baacutesicas pueden ser
1 Elaborar Poliacuteticas de Proteccioacuten de DP al
interior del negocio que incluyan sistemas de
supervisioacuten y vigilancia
2 Brindar capacitacioacuten para la concientizacioacuten de
personal
3 Establecer procedimientos para atender las
dudas o quejas de los titulares
31
iquestQueacute es el Aviso de Privacidad
Es un documento fiacutesico electroacutenico visual sonoro
o en cualquier otro formato generado por el
responsable de manera sencilla con un lenguaje
claro y comprensible de aceurdo al perfil de los
titulares puesto a su disposicioacuten previo al
tratamiento de sus datos personales
Establecer los teacuterminos y condiciones generales del
tratamiento de los datos personales que recaba
El Responsable deberaacute tener el nuacutemero de avisos de
pivacidad que resulte necesario de acuerdo a los
tratamientos que realice a los DP
32
El aviso de privacidad debe estar disponible en alguno de los
siguientes soportes
Fiacutesico (en papel)
Electroacutenico (paacuteginas web correos electroacutenicos etc)
Visual ( pantalla de TV videos etc)
Sonoro (Grabaciones IVR etc)
En otros medios (prensa)
33
No usar frases inexactas ambiguas o vagas como ldquoentre
otrosrdquo ldquocomo por ejemplordquo ldquoDe manera enunciativa maacutes no
limitativardquo
No incluir textos o frases que induzcan al titular de manera
engantildeosa o fraudulenta (ejemplo ldquoLe recomendamos que
nos autorice el uso de su informacioacuten personal sin restriccioacuten
alguna para ser maacutes eficiente nuestro trabajordquo
No remitir al titular a textos o documentos que no esteacuten
disponibes (links disponibles)
No incluir casillas u otros mecanismos similares que esteacuten
marcados previamente que obliguen a los titulares a
desmarcarlos para modificar la condicioacuten previamente
establecida
34
35
Ejemplo AP
36
Modalidades
del Aviso de
Privacidad
Integral
Simplificado
Corto
Cuando los datos se obtengan
personalmente del titular
(entrevista)
Cuando se obtienen de manera
directa (contacto paacuteg web ndash viacutea
telefoacutenica)
Cuando el espacio para dar a
conocer el aviso sea limitado
(correo formatos SMS etc)
Nota De acuerdo al tipo de DP que se recabe se deberaacute solicitar el
consentimiento correspondiente
37
ldquoObligacioacuten de guardar secreto de
los datos persnales que son
tratadosrdquo
El Responsable debe adoptar medidas para
evitar que quienes tengan acceso a eacutestos
divulguen dicha informacioacuten
Se debe cumplir aun una vez que finalice la
relacioacuten contractual o laboral entre el
responsable y quien tenga accesos a los
datos personales para el desarrollo de las
tareas o funciones que se le hubiern
encomendado
38
Establecer Medidas de seguridad administrativas fiacutesicas y teacutecnicas para la
proteger los DP mismas que deben ser documentadas (acciones anaacutelisis de
riesgo anaacutelisis de brecha revisiones o auditoriacuteas capacitacioacuten entre otras)
39
Peacuterdida destruccioacuten robo
extraviacuteo copia uso
acceso tratamiento dantildeo
alteracioacuten o modificacioacuten
NO AUTORIZADO
Si hay vulneracioacuten que impacte los derechos patrimoniales o
morales de los titulares se deberaacuten tomar acciones e informar a
los titulares sin dilacioacuten con el fin de que eacutestos tomen las medidas
pertinentes
VII Derechos ARCO y la
Proteccioacuten de Derechos
40
41
Cada uno de nosotros como titulares de los DP o en su caso nuestro
representante legal podremos ejercer cualquiera de los derechos ARCO ante
las empresas que los tengan en sus bases de datos
42
Mecanismos para que los ciudadanos podamos limitar el
uso de nuestros datos personales para fines comerciales
(liacuteneas telefoacutenicas particulares o moviles asiacute como sus
correos electroacutenicos domicilios y nombres)
Estas pueden ser propios o de organismos como la
PROFECO y la CONDUSEF que ya han creado estas
listas para registro opcional de los ciudadanos
REPEP (Registro Puacuteblico para Evitar Publicidad y
REUNS (Registro Puacuteblico de Usuarios que no desean
informacioacuten publicitaria de Productos y Servicios
Financieros)
Las empresas que realizan actividades de promocioacuten
deberaacuten previamente validar la existencia de los datos de
sus prospectos en estas listas para no incurrir en una
violacioacuten a la privacidad de los mismos
43
La empresa debe designar una persona
o un departamento interno para atender
las solicitudes de los Titulares de los
Datos a traveacutes del Ejercicio de sus
derechos ARCO
El Reglamento yo su encargado definen
su proceso interno medios y
procedimientos para la recepcioacuten
atencioacuten y resolucioacuten de las Solicitudes
de Derechos ARCO
El Ejercicio de los derechos debe ser
gratuito soacutelo en caso de reproduccioacuten o
enviacuteo el titular pagara los costos
correspondientes
44
El Titular Entrega solicitud de Derechos ARCO en
2 tantos que incluyen
bull Identificacioacuten oficial
bull Datos de localizacioacuten para
mantener la comunicacioacuten yo enviar
notificaciones
bull Documentacioacuten que ayude a su aacutegil
localizacioacuten o para demostrar la
correccioacuten o cambio solicitado
Espera 20 diacuteas la resolucioacuten ldquoprocede o
nordquo su solicitud
Espera 15 diacuteas maacutes aplicacioacuten de
resolucioacuten
45
El Departamento yo Encargado
de DP Entregar explicar yo recibir la solicitud de
Derechos ARCO en 2 tantos
bull Sellar la recepcioacuten con fecha y firma de
quien la recibe
bull Revisar y realizar el anaacutelisis de
procedencia de la solicitud (20 diacuteas
haacutebiles)
bull Notificar al titular la resolucioacuten proceda o
no
bull Aplicar resolucioacuten (15 diacuteas haacutebiles)
Nota El Responsible puede si asiacute se requiere y justifica incrementar el
plazo por uacutenica ocasioacuten por los mismos plazos descritos en cada
proceso previa notificacioacuten al titular
46
El titular o su representante legal no se
acrediten debidamente
No se encuentren los datos personales
en su base (s) de datos
Se lesionen derechos de terceros
La rectificacioacuten cancelacioacuten u oposicioacuten
hayan sido solicitadas preaviamente
Exista impedimento legal o resolucioacuten de
las autoridades que restrinja el ejercicio
de estos derechos
El Responsable podraacute negar el ejercicio
de los Derechos ARCO cuando
VIII Proteccioacuten de Derechos
ante el Ifai
47
48
Expresar claramente el
contenido de su
reclamacioacuten
Presentar el
documento que pruebe
la fecha en que
presentoacute la solicitud de
Derechos ARCO
bull Por escrito libre o a traveacutes de los
formatos establecidos por el IFAI
bull Sistema electroacutenico
bull En el domicilio del Instituto u oficina habilitada
bull Por correo certificado con acuse de recibo
El titular o su representante legal presenta su solicitud de proteccioacuten de derechos ante
el IFAI
Estaacute inconforme con la
respuesta
Dentro de los 15 diacuteas siguientes a la fecha en
que se comunique la respuesta
No recibioacute respuesta
Dentro de los 15 diacuteas a partir de que haya vencido el plazo de
respuesta
El TitularPlazos
Podraacute interponerse
IX Sanciones e Infracciones
49
50
El Salario miacutenimo vigente en el DF para 2014 es
Salario Miacutenimo ZonaAacuterea geograacutefica A 6729 pesos diarios
Fuente httpsalariominimocommxsalario-minimo-2014
DSMV DF Diacuteas de Salario Miacutenimo vigente en el Distrito Federal
No dar atencioacuten a las solicitudes ARCO
El apercibimiento para que el
responsable lleve a cabo los actos solicitados por el
titular
Omitir el aviso mantener DP
inexactos negar la existencia de DP con
dolo
Multa de 100 a 160000 VSM DF
De $6230 a $9972800
Incumplir deber de confidencialidad
cambiar la finalidad o realizar transferencias sin dar aviso de ello o vulnerar la seguridad de las bases de datos
Multa de 200 a 320000 VSM DF
De $12466 a $19945600
51
Trataacutendose de datos
personales sensibles
Provocar una vulneracioacuten de
seguridad a las bases de
datos bajo su custodia
3 meses a 3 antildeos
Tratamiento de DP
mediante el engantildeo
aprovechaacutendose del error
del titular o del
responsable
6 meses a 5 antildeos
Penas
anteriores
Delitos llevados
a cabo con
aacutenimo de lucro
Delito Prisioacuten
52
53
Beatriz Vargas
Director Comercial
beatrizvbsconsultingcommx
Tel 6380 5705 Cel 551071 9446
Ricardo Rangel
Director de Proyectos Estraacutetegicos
ricardorbsconsultingcommx
Tel 6380 5705 Cel 554453 4778
wwwBSConsultingcommx
V Identificar
Transferencias
21
TransferenciasTransferencia de DP
bull La transferencia es la comunicacioacuten de datospersonales dentro o fuera del territorio nacionala persona distinta del titular del Responsable odel encargado
bull Formalizarla a traveacutes de instrumentojuriacutedico
bull Debe ser Informada al titular a traveacutes delAviso de Privacidad a quien se transfiereny para que fines
bull Limitarse a las finalidades notificadas en elAviso de Privacidad y consentidas por eltitular
bull Se podraacute realizar hasta que se hayaobtenido el consentimiento del titular salvolas excepciones marcadas en el Art 37 dela Ley
bull Los Receptores asumen las mismasobligaciones del Responsable sobre los datosrecibidos de acuerdo con el Aviso de privacidady Contrato firmado entre las partes
Encargado
Responsable
Tercero
Transferencia interna
ldquoRemisioacuten de DPrdquo
Transferencia a
terceros
Cuando esteacute previsto en una Ley o Tratado en el que Meacutexico sea parte para
la prevencioacuten o el diagnoacutestico meacutedico para el cumplimiento de una relacioacuten
juriacutedica o salvaguarda de un intereacutes puacuteblico o procuracioacuten de justicia
22
23
Si el Responsable se adhiere a la infraestructura los servicios
o aplicaciones el proveedor deberaacute cumplir con las siguientes
condiciones definidas en el Art 52 del Reglamento de la Ley de lo
contrario el Responsable NO podraacute adherirse
I Cumpla al menos con lo siguiente
a) Tener y aplicar poliacuteticas de Proteccioacuten de DP y
medidas de seguridad acorden a la LFPDPPP
b) Transparentar las subcontrataciones
c) Abstenerse de asumir la titularidad o
propiedad de la informacioacuten y guardar
confidencialidad
d) Garantizar la supresioacuten de los DP una vez que
haya concluido el servicio prestado al
Responsable
VI Principios y deberes
24
Cumplir con los
Principios y deberes
25
Licitud
Lealtad
Proporcionalidad
Calidad
Finalidad
Consentimiento
Informacioacuten
Responsabilidad
Licitud
Lealtad
Principios
26
bull Todo tratamiento de datos personales
debe ser con estricto apego y
cumplimiento a lo dispuesto por la
legislacioacuten mexicana y el derecho
internacional
bull El tratamiento de DP debe realizarse en
atencioacuten a lo acordado NO deben de
utilizarse medios engantildeosos o fraudu-
lentos para recabar y tratar DP
Licitud
Lealtad
Principios
27
Proporcionalidad
Calidad
bull Los DP tratados deben ser los miacutenimos
necesarios para el cumplimiento de la
finalidad para la cual se recabaron
bull El responsable deberaacute aplicar el Criterio
de minimizacioacuten
bull Los DP deben ser correctos exactos
completos pertinentes y actualizados de
acuerdo con la finalidad para la cual
fueron recabados
Principio finalidad
28
bull Dan origen y son necesarias
para la relacioacuten juriacutedica
bull Una relacioacuten juriacutedica debe estar
enmarcada por los siguientes
factores
bull Viacutenculo entre los sujetos
bull Dos o mas sujetos
bull Estar regulado por el derecho y
bull Producir consecuencias juriacutedicas
El tratamiento de DP debe ser soacutelo el necesario para cumplir con la
finalidad determinada y legiacutetima que se sentildealoacute en el aviso de privacidad
de manera clara y objetiva
bull Finalidades distintas a las quedieron origen a la relacioacuten juriacutedicao bien aquellas legalmentepermitidas o para las que elresponsable haya obtenido elconsentimientondash Mercadoloacutegicos publicitarias
ndash Promocionales comunicacioacutenprospeccioacuten referencia comercial
ndash Videografacioacuten y toma de fotigrafiacuteas
bull El titular puede oponerse altratamiento de sus datos paraestas finalidades y no seraacute motivopara negar el servicio solicitado
Primarias Secundarias
Principio Consentimientobull Facultad de las personas para decidir sobre el tratamiento de sus DP
el cual taacutecito expreso o expreso y por escrito debe ser libre especiacuteficoinformado e inequiacutevoco
bull Si una ley o reglamento en lo particular exige el consentimiento expreso oexpreso y por escrito para el tratamiento de DP el responsable deberaacutesolicitarlo de esa forma aunque no se trate de datos financierospatrimoniales o sensibles
Nota No es necesario solicitar el consentimiento cuando el tratamiento de los DP sea en cumplimientoa obligaciones derivado de una relacioacuten juriacutedica entre el titular y el Responsable
Tipo de Consentimiento
bull Taacutecito
bull Expreso
bull Expreso y por escrito
Para que tipo de datos se requiere
bull Para cualquier tipo de dato personal con excepcioacuten de los datos patrimoniales financieros y sensibles
bull Para datos financieros y patrimoniales
bull Para datos personales sensibles
29
Principio de Responsabilidad
30
bull Establecer Medidas de Seguridad administrativas fiacutesicas yo
teacutecnicas para la proteccioacuten de los DP mismas que deben ser
documentadas (acciones anaacutelisis de riesgo anaacutelisis de
brecha revisiones o auditoriacuteas capacitacioacuten entre otras)
Algunas medidas baacutesicas pueden ser
1 Elaborar Poliacuteticas de Proteccioacuten de DP al
interior del negocio que incluyan sistemas de
supervisioacuten y vigilancia
2 Brindar capacitacioacuten para la concientizacioacuten de
personal
3 Establecer procedimientos para atender las
dudas o quejas de los titulares
31
iquestQueacute es el Aviso de Privacidad
Es un documento fiacutesico electroacutenico visual sonoro
o en cualquier otro formato generado por el
responsable de manera sencilla con un lenguaje
claro y comprensible de aceurdo al perfil de los
titulares puesto a su disposicioacuten previo al
tratamiento de sus datos personales
Establecer los teacuterminos y condiciones generales del
tratamiento de los datos personales que recaba
El Responsable deberaacute tener el nuacutemero de avisos de
pivacidad que resulte necesario de acuerdo a los
tratamientos que realice a los DP
32
El aviso de privacidad debe estar disponible en alguno de los
siguientes soportes
Fiacutesico (en papel)
Electroacutenico (paacuteginas web correos electroacutenicos etc)
Visual ( pantalla de TV videos etc)
Sonoro (Grabaciones IVR etc)
En otros medios (prensa)
33
No usar frases inexactas ambiguas o vagas como ldquoentre
otrosrdquo ldquocomo por ejemplordquo ldquoDe manera enunciativa maacutes no
limitativardquo
No incluir textos o frases que induzcan al titular de manera
engantildeosa o fraudulenta (ejemplo ldquoLe recomendamos que
nos autorice el uso de su informacioacuten personal sin restriccioacuten
alguna para ser maacutes eficiente nuestro trabajordquo
No remitir al titular a textos o documentos que no esteacuten
disponibes (links disponibles)
No incluir casillas u otros mecanismos similares que esteacuten
marcados previamente que obliguen a los titulares a
desmarcarlos para modificar la condicioacuten previamente
establecida
34
35
Ejemplo AP
36
Modalidades
del Aviso de
Privacidad
Integral
Simplificado
Corto
Cuando los datos se obtengan
personalmente del titular
(entrevista)
Cuando se obtienen de manera
directa (contacto paacuteg web ndash viacutea
telefoacutenica)
Cuando el espacio para dar a
conocer el aviso sea limitado
(correo formatos SMS etc)
Nota De acuerdo al tipo de DP que se recabe se deberaacute solicitar el
consentimiento correspondiente
37
ldquoObligacioacuten de guardar secreto de
los datos persnales que son
tratadosrdquo
El Responsable debe adoptar medidas para
evitar que quienes tengan acceso a eacutestos
divulguen dicha informacioacuten
Se debe cumplir aun una vez que finalice la
relacioacuten contractual o laboral entre el
responsable y quien tenga accesos a los
datos personales para el desarrollo de las
tareas o funciones que se le hubiern
encomendado
38
Establecer Medidas de seguridad administrativas fiacutesicas y teacutecnicas para la
proteger los DP mismas que deben ser documentadas (acciones anaacutelisis de
riesgo anaacutelisis de brecha revisiones o auditoriacuteas capacitacioacuten entre otras)
39
Peacuterdida destruccioacuten robo
extraviacuteo copia uso
acceso tratamiento dantildeo
alteracioacuten o modificacioacuten
NO AUTORIZADO
Si hay vulneracioacuten que impacte los derechos patrimoniales o
morales de los titulares se deberaacuten tomar acciones e informar a
los titulares sin dilacioacuten con el fin de que eacutestos tomen las medidas
pertinentes
VII Derechos ARCO y la
Proteccioacuten de Derechos
40
41
Cada uno de nosotros como titulares de los DP o en su caso nuestro
representante legal podremos ejercer cualquiera de los derechos ARCO ante
las empresas que los tengan en sus bases de datos
42
Mecanismos para que los ciudadanos podamos limitar el
uso de nuestros datos personales para fines comerciales
(liacuteneas telefoacutenicas particulares o moviles asiacute como sus
correos electroacutenicos domicilios y nombres)
Estas pueden ser propios o de organismos como la
PROFECO y la CONDUSEF que ya han creado estas
listas para registro opcional de los ciudadanos
REPEP (Registro Puacuteblico para Evitar Publicidad y
REUNS (Registro Puacuteblico de Usuarios que no desean
informacioacuten publicitaria de Productos y Servicios
Financieros)
Las empresas que realizan actividades de promocioacuten
deberaacuten previamente validar la existencia de los datos de
sus prospectos en estas listas para no incurrir en una
violacioacuten a la privacidad de los mismos
43
La empresa debe designar una persona
o un departamento interno para atender
las solicitudes de los Titulares de los
Datos a traveacutes del Ejercicio de sus
derechos ARCO
El Reglamento yo su encargado definen
su proceso interno medios y
procedimientos para la recepcioacuten
atencioacuten y resolucioacuten de las Solicitudes
de Derechos ARCO
El Ejercicio de los derechos debe ser
gratuito soacutelo en caso de reproduccioacuten o
enviacuteo el titular pagara los costos
correspondientes
44
El Titular Entrega solicitud de Derechos ARCO en
2 tantos que incluyen
bull Identificacioacuten oficial
bull Datos de localizacioacuten para
mantener la comunicacioacuten yo enviar
notificaciones
bull Documentacioacuten que ayude a su aacutegil
localizacioacuten o para demostrar la
correccioacuten o cambio solicitado
Espera 20 diacuteas la resolucioacuten ldquoprocede o
nordquo su solicitud
Espera 15 diacuteas maacutes aplicacioacuten de
resolucioacuten
45
El Departamento yo Encargado
de DP Entregar explicar yo recibir la solicitud de
Derechos ARCO en 2 tantos
bull Sellar la recepcioacuten con fecha y firma de
quien la recibe
bull Revisar y realizar el anaacutelisis de
procedencia de la solicitud (20 diacuteas
haacutebiles)
bull Notificar al titular la resolucioacuten proceda o
no
bull Aplicar resolucioacuten (15 diacuteas haacutebiles)
Nota El Responsible puede si asiacute se requiere y justifica incrementar el
plazo por uacutenica ocasioacuten por los mismos plazos descritos en cada
proceso previa notificacioacuten al titular
46
El titular o su representante legal no se
acrediten debidamente
No se encuentren los datos personales
en su base (s) de datos
Se lesionen derechos de terceros
La rectificacioacuten cancelacioacuten u oposicioacuten
hayan sido solicitadas preaviamente
Exista impedimento legal o resolucioacuten de
las autoridades que restrinja el ejercicio
de estos derechos
El Responsable podraacute negar el ejercicio
de los Derechos ARCO cuando
VIII Proteccioacuten de Derechos
ante el Ifai
47
48
Expresar claramente el
contenido de su
reclamacioacuten
Presentar el
documento que pruebe
la fecha en que
presentoacute la solicitud de
Derechos ARCO
bull Por escrito libre o a traveacutes de los
formatos establecidos por el IFAI
bull Sistema electroacutenico
bull En el domicilio del Instituto u oficina habilitada
bull Por correo certificado con acuse de recibo
El titular o su representante legal presenta su solicitud de proteccioacuten de derechos ante
el IFAI
Estaacute inconforme con la
respuesta
Dentro de los 15 diacuteas siguientes a la fecha en
que se comunique la respuesta
No recibioacute respuesta
Dentro de los 15 diacuteas a partir de que haya vencido el plazo de
respuesta
El TitularPlazos
Podraacute interponerse
IX Sanciones e Infracciones
49
50
El Salario miacutenimo vigente en el DF para 2014 es
Salario Miacutenimo ZonaAacuterea geograacutefica A 6729 pesos diarios
Fuente httpsalariominimocommxsalario-minimo-2014
DSMV DF Diacuteas de Salario Miacutenimo vigente en el Distrito Federal
No dar atencioacuten a las solicitudes ARCO
El apercibimiento para que el
responsable lleve a cabo los actos solicitados por el
titular
Omitir el aviso mantener DP
inexactos negar la existencia de DP con
dolo
Multa de 100 a 160000 VSM DF
De $6230 a $9972800
Incumplir deber de confidencialidad
cambiar la finalidad o realizar transferencias sin dar aviso de ello o vulnerar la seguridad de las bases de datos
Multa de 200 a 320000 VSM DF
De $12466 a $19945600
51
Trataacutendose de datos
personales sensibles
Provocar una vulneracioacuten de
seguridad a las bases de
datos bajo su custodia
3 meses a 3 antildeos
Tratamiento de DP
mediante el engantildeo
aprovechaacutendose del error
del titular o del
responsable
6 meses a 5 antildeos
Penas
anteriores
Delitos llevados
a cabo con
aacutenimo de lucro
Delito Prisioacuten
52
53
Beatriz Vargas
Director Comercial
beatrizvbsconsultingcommx
Tel 6380 5705 Cel 551071 9446
Ricardo Rangel
Director de Proyectos Estraacutetegicos
ricardorbsconsultingcommx
Tel 6380 5705 Cel 554453 4778
wwwBSConsultingcommx
TransferenciasTransferencia de DP
bull La transferencia es la comunicacioacuten de datospersonales dentro o fuera del territorio nacionala persona distinta del titular del Responsable odel encargado
bull Formalizarla a traveacutes de instrumentojuriacutedico
bull Debe ser Informada al titular a traveacutes delAviso de Privacidad a quien se transfiereny para que fines
bull Limitarse a las finalidades notificadas en elAviso de Privacidad y consentidas por eltitular
bull Se podraacute realizar hasta que se hayaobtenido el consentimiento del titular salvolas excepciones marcadas en el Art 37 dela Ley
bull Los Receptores asumen las mismasobligaciones del Responsable sobre los datosrecibidos de acuerdo con el Aviso de privacidady Contrato firmado entre las partes
Encargado
Responsable
Tercero
Transferencia interna
ldquoRemisioacuten de DPrdquo
Transferencia a
terceros
Cuando esteacute previsto en una Ley o Tratado en el que Meacutexico sea parte para
la prevencioacuten o el diagnoacutestico meacutedico para el cumplimiento de una relacioacuten
juriacutedica o salvaguarda de un intereacutes puacuteblico o procuracioacuten de justicia
22
23
Si el Responsable se adhiere a la infraestructura los servicios
o aplicaciones el proveedor deberaacute cumplir con las siguientes
condiciones definidas en el Art 52 del Reglamento de la Ley de lo
contrario el Responsable NO podraacute adherirse
I Cumpla al menos con lo siguiente
a) Tener y aplicar poliacuteticas de Proteccioacuten de DP y
medidas de seguridad acorden a la LFPDPPP
b) Transparentar las subcontrataciones
c) Abstenerse de asumir la titularidad o
propiedad de la informacioacuten y guardar
confidencialidad
d) Garantizar la supresioacuten de los DP una vez que
haya concluido el servicio prestado al
Responsable
VI Principios y deberes
24
Cumplir con los
Principios y deberes
25
Licitud
Lealtad
Proporcionalidad
Calidad
Finalidad
Consentimiento
Informacioacuten
Responsabilidad
Licitud
Lealtad
Principios
26
bull Todo tratamiento de datos personales
debe ser con estricto apego y
cumplimiento a lo dispuesto por la
legislacioacuten mexicana y el derecho
internacional
bull El tratamiento de DP debe realizarse en
atencioacuten a lo acordado NO deben de
utilizarse medios engantildeosos o fraudu-
lentos para recabar y tratar DP
Licitud
Lealtad
Principios
27
Proporcionalidad
Calidad
bull Los DP tratados deben ser los miacutenimos
necesarios para el cumplimiento de la
finalidad para la cual se recabaron
bull El responsable deberaacute aplicar el Criterio
de minimizacioacuten
bull Los DP deben ser correctos exactos
completos pertinentes y actualizados de
acuerdo con la finalidad para la cual
fueron recabados
Principio finalidad
28
bull Dan origen y son necesarias
para la relacioacuten juriacutedica
bull Una relacioacuten juriacutedica debe estar
enmarcada por los siguientes
factores
bull Viacutenculo entre los sujetos
bull Dos o mas sujetos
bull Estar regulado por el derecho y
bull Producir consecuencias juriacutedicas
El tratamiento de DP debe ser soacutelo el necesario para cumplir con la
finalidad determinada y legiacutetima que se sentildealoacute en el aviso de privacidad
de manera clara y objetiva
bull Finalidades distintas a las quedieron origen a la relacioacuten juriacutedicao bien aquellas legalmentepermitidas o para las que elresponsable haya obtenido elconsentimientondash Mercadoloacutegicos publicitarias
ndash Promocionales comunicacioacutenprospeccioacuten referencia comercial
ndash Videografacioacuten y toma de fotigrafiacuteas
bull El titular puede oponerse altratamiento de sus datos paraestas finalidades y no seraacute motivopara negar el servicio solicitado
Primarias Secundarias
Principio Consentimientobull Facultad de las personas para decidir sobre el tratamiento de sus DP
el cual taacutecito expreso o expreso y por escrito debe ser libre especiacuteficoinformado e inequiacutevoco
bull Si una ley o reglamento en lo particular exige el consentimiento expreso oexpreso y por escrito para el tratamiento de DP el responsable deberaacutesolicitarlo de esa forma aunque no se trate de datos financierospatrimoniales o sensibles
Nota No es necesario solicitar el consentimiento cuando el tratamiento de los DP sea en cumplimientoa obligaciones derivado de una relacioacuten juriacutedica entre el titular y el Responsable
Tipo de Consentimiento
bull Taacutecito
bull Expreso
bull Expreso y por escrito
Para que tipo de datos se requiere
bull Para cualquier tipo de dato personal con excepcioacuten de los datos patrimoniales financieros y sensibles
bull Para datos financieros y patrimoniales
bull Para datos personales sensibles
29
Principio de Responsabilidad
30
bull Establecer Medidas de Seguridad administrativas fiacutesicas yo
teacutecnicas para la proteccioacuten de los DP mismas que deben ser
documentadas (acciones anaacutelisis de riesgo anaacutelisis de
brecha revisiones o auditoriacuteas capacitacioacuten entre otras)
Algunas medidas baacutesicas pueden ser
1 Elaborar Poliacuteticas de Proteccioacuten de DP al
interior del negocio que incluyan sistemas de
supervisioacuten y vigilancia
2 Brindar capacitacioacuten para la concientizacioacuten de
personal
3 Establecer procedimientos para atender las
dudas o quejas de los titulares
31
iquestQueacute es el Aviso de Privacidad
Es un documento fiacutesico electroacutenico visual sonoro
o en cualquier otro formato generado por el
responsable de manera sencilla con un lenguaje
claro y comprensible de aceurdo al perfil de los
titulares puesto a su disposicioacuten previo al
tratamiento de sus datos personales
Establecer los teacuterminos y condiciones generales del
tratamiento de los datos personales que recaba
El Responsable deberaacute tener el nuacutemero de avisos de
pivacidad que resulte necesario de acuerdo a los
tratamientos que realice a los DP
32
El aviso de privacidad debe estar disponible en alguno de los
siguientes soportes
Fiacutesico (en papel)
Electroacutenico (paacuteginas web correos electroacutenicos etc)
Visual ( pantalla de TV videos etc)
Sonoro (Grabaciones IVR etc)
En otros medios (prensa)
33
No usar frases inexactas ambiguas o vagas como ldquoentre
otrosrdquo ldquocomo por ejemplordquo ldquoDe manera enunciativa maacutes no
limitativardquo
No incluir textos o frases que induzcan al titular de manera
engantildeosa o fraudulenta (ejemplo ldquoLe recomendamos que
nos autorice el uso de su informacioacuten personal sin restriccioacuten
alguna para ser maacutes eficiente nuestro trabajordquo
No remitir al titular a textos o documentos que no esteacuten
disponibes (links disponibles)
No incluir casillas u otros mecanismos similares que esteacuten
marcados previamente que obliguen a los titulares a
desmarcarlos para modificar la condicioacuten previamente
establecida
34
35
Ejemplo AP
36
Modalidades
del Aviso de
Privacidad
Integral
Simplificado
Corto
Cuando los datos se obtengan
personalmente del titular
(entrevista)
Cuando se obtienen de manera
directa (contacto paacuteg web ndash viacutea
telefoacutenica)
Cuando el espacio para dar a
conocer el aviso sea limitado
(correo formatos SMS etc)
Nota De acuerdo al tipo de DP que se recabe se deberaacute solicitar el
consentimiento correspondiente
37
ldquoObligacioacuten de guardar secreto de
los datos persnales que son
tratadosrdquo
El Responsable debe adoptar medidas para
evitar que quienes tengan acceso a eacutestos
divulguen dicha informacioacuten
Se debe cumplir aun una vez que finalice la
relacioacuten contractual o laboral entre el
responsable y quien tenga accesos a los
datos personales para el desarrollo de las
tareas o funciones que se le hubiern
encomendado
38
Establecer Medidas de seguridad administrativas fiacutesicas y teacutecnicas para la
proteger los DP mismas que deben ser documentadas (acciones anaacutelisis de
riesgo anaacutelisis de brecha revisiones o auditoriacuteas capacitacioacuten entre otras)
39
Peacuterdida destruccioacuten robo
extraviacuteo copia uso
acceso tratamiento dantildeo
alteracioacuten o modificacioacuten
NO AUTORIZADO
Si hay vulneracioacuten que impacte los derechos patrimoniales o
morales de los titulares se deberaacuten tomar acciones e informar a
los titulares sin dilacioacuten con el fin de que eacutestos tomen las medidas
pertinentes
VII Derechos ARCO y la
Proteccioacuten de Derechos
40
41
Cada uno de nosotros como titulares de los DP o en su caso nuestro
representante legal podremos ejercer cualquiera de los derechos ARCO ante
las empresas que los tengan en sus bases de datos
42
Mecanismos para que los ciudadanos podamos limitar el
uso de nuestros datos personales para fines comerciales
(liacuteneas telefoacutenicas particulares o moviles asiacute como sus
correos electroacutenicos domicilios y nombres)
Estas pueden ser propios o de organismos como la
PROFECO y la CONDUSEF que ya han creado estas
listas para registro opcional de los ciudadanos
REPEP (Registro Puacuteblico para Evitar Publicidad y
REUNS (Registro Puacuteblico de Usuarios que no desean
informacioacuten publicitaria de Productos y Servicios
Financieros)
Las empresas que realizan actividades de promocioacuten
deberaacuten previamente validar la existencia de los datos de
sus prospectos en estas listas para no incurrir en una
violacioacuten a la privacidad de los mismos
43
La empresa debe designar una persona
o un departamento interno para atender
las solicitudes de los Titulares de los
Datos a traveacutes del Ejercicio de sus
derechos ARCO
El Reglamento yo su encargado definen
su proceso interno medios y
procedimientos para la recepcioacuten
atencioacuten y resolucioacuten de las Solicitudes
de Derechos ARCO
El Ejercicio de los derechos debe ser
gratuito soacutelo en caso de reproduccioacuten o
enviacuteo el titular pagara los costos
correspondientes
44
El Titular Entrega solicitud de Derechos ARCO en
2 tantos que incluyen
bull Identificacioacuten oficial
bull Datos de localizacioacuten para
mantener la comunicacioacuten yo enviar
notificaciones
bull Documentacioacuten que ayude a su aacutegil
localizacioacuten o para demostrar la
correccioacuten o cambio solicitado
Espera 20 diacuteas la resolucioacuten ldquoprocede o
nordquo su solicitud
Espera 15 diacuteas maacutes aplicacioacuten de
resolucioacuten
45
El Departamento yo Encargado
de DP Entregar explicar yo recibir la solicitud de
Derechos ARCO en 2 tantos
bull Sellar la recepcioacuten con fecha y firma de
quien la recibe
bull Revisar y realizar el anaacutelisis de
procedencia de la solicitud (20 diacuteas
haacutebiles)
bull Notificar al titular la resolucioacuten proceda o
no
bull Aplicar resolucioacuten (15 diacuteas haacutebiles)
Nota El Responsible puede si asiacute se requiere y justifica incrementar el
plazo por uacutenica ocasioacuten por los mismos plazos descritos en cada
proceso previa notificacioacuten al titular
46
El titular o su representante legal no se
acrediten debidamente
No se encuentren los datos personales
en su base (s) de datos
Se lesionen derechos de terceros
La rectificacioacuten cancelacioacuten u oposicioacuten
hayan sido solicitadas preaviamente
Exista impedimento legal o resolucioacuten de
las autoridades que restrinja el ejercicio
de estos derechos
El Responsable podraacute negar el ejercicio
de los Derechos ARCO cuando
VIII Proteccioacuten de Derechos
ante el Ifai
47
48
Expresar claramente el
contenido de su
reclamacioacuten
Presentar el
documento que pruebe
la fecha en que
presentoacute la solicitud de
Derechos ARCO
bull Por escrito libre o a traveacutes de los
formatos establecidos por el IFAI
bull Sistema electroacutenico
bull En el domicilio del Instituto u oficina habilitada
bull Por correo certificado con acuse de recibo
El titular o su representante legal presenta su solicitud de proteccioacuten de derechos ante
el IFAI
Estaacute inconforme con la
respuesta
Dentro de los 15 diacuteas siguientes a la fecha en
que se comunique la respuesta
No recibioacute respuesta
Dentro de los 15 diacuteas a partir de que haya vencido el plazo de
respuesta
El TitularPlazos
Podraacute interponerse
IX Sanciones e Infracciones
49
50
El Salario miacutenimo vigente en el DF para 2014 es
Salario Miacutenimo ZonaAacuterea geograacutefica A 6729 pesos diarios
Fuente httpsalariominimocommxsalario-minimo-2014
DSMV DF Diacuteas de Salario Miacutenimo vigente en el Distrito Federal
No dar atencioacuten a las solicitudes ARCO
El apercibimiento para que el
responsable lleve a cabo los actos solicitados por el
titular
Omitir el aviso mantener DP
inexactos negar la existencia de DP con
dolo
Multa de 100 a 160000 VSM DF
De $6230 a $9972800
Incumplir deber de confidencialidad
cambiar la finalidad o realizar transferencias sin dar aviso de ello o vulnerar la seguridad de las bases de datos
Multa de 200 a 320000 VSM DF
De $12466 a $19945600
51
Trataacutendose de datos
personales sensibles
Provocar una vulneracioacuten de
seguridad a las bases de
datos bajo su custodia
3 meses a 3 antildeos
Tratamiento de DP
mediante el engantildeo
aprovechaacutendose del error
del titular o del
responsable
6 meses a 5 antildeos
Penas
anteriores
Delitos llevados
a cabo con
aacutenimo de lucro
Delito Prisioacuten
52
53
Beatriz Vargas
Director Comercial
beatrizvbsconsultingcommx
Tel 6380 5705 Cel 551071 9446
Ricardo Rangel
Director de Proyectos Estraacutetegicos
ricardorbsconsultingcommx
Tel 6380 5705 Cel 554453 4778
wwwBSConsultingcommx
23
Si el Responsable se adhiere a la infraestructura los servicios
o aplicaciones el proveedor deberaacute cumplir con las siguientes
condiciones definidas en el Art 52 del Reglamento de la Ley de lo
contrario el Responsable NO podraacute adherirse
I Cumpla al menos con lo siguiente
a) Tener y aplicar poliacuteticas de Proteccioacuten de DP y
medidas de seguridad acorden a la LFPDPPP
b) Transparentar las subcontrataciones
c) Abstenerse de asumir la titularidad o
propiedad de la informacioacuten y guardar
confidencialidad
d) Garantizar la supresioacuten de los DP una vez que
haya concluido el servicio prestado al
Responsable
VI Principios y deberes
24
Cumplir con los
Principios y deberes
25
Licitud
Lealtad
Proporcionalidad
Calidad
Finalidad
Consentimiento
Informacioacuten
Responsabilidad
Licitud
Lealtad
Principios
26
bull Todo tratamiento de datos personales
debe ser con estricto apego y
cumplimiento a lo dispuesto por la
legislacioacuten mexicana y el derecho
internacional
bull El tratamiento de DP debe realizarse en
atencioacuten a lo acordado NO deben de
utilizarse medios engantildeosos o fraudu-
lentos para recabar y tratar DP
Licitud
Lealtad
Principios
27
Proporcionalidad
Calidad
bull Los DP tratados deben ser los miacutenimos
necesarios para el cumplimiento de la
finalidad para la cual se recabaron
bull El responsable deberaacute aplicar el Criterio
de minimizacioacuten
bull Los DP deben ser correctos exactos
completos pertinentes y actualizados de
acuerdo con la finalidad para la cual
fueron recabados
Principio finalidad
28
bull Dan origen y son necesarias
para la relacioacuten juriacutedica
bull Una relacioacuten juriacutedica debe estar
enmarcada por los siguientes
factores
bull Viacutenculo entre los sujetos
bull Dos o mas sujetos
bull Estar regulado por el derecho y
bull Producir consecuencias juriacutedicas
El tratamiento de DP debe ser soacutelo el necesario para cumplir con la
finalidad determinada y legiacutetima que se sentildealoacute en el aviso de privacidad
de manera clara y objetiva
bull Finalidades distintas a las quedieron origen a la relacioacuten juriacutedicao bien aquellas legalmentepermitidas o para las que elresponsable haya obtenido elconsentimientondash Mercadoloacutegicos publicitarias
ndash Promocionales comunicacioacutenprospeccioacuten referencia comercial
ndash Videografacioacuten y toma de fotigrafiacuteas
bull El titular puede oponerse altratamiento de sus datos paraestas finalidades y no seraacute motivopara negar el servicio solicitado
Primarias Secundarias
Principio Consentimientobull Facultad de las personas para decidir sobre el tratamiento de sus DP
el cual taacutecito expreso o expreso y por escrito debe ser libre especiacuteficoinformado e inequiacutevoco
bull Si una ley o reglamento en lo particular exige el consentimiento expreso oexpreso y por escrito para el tratamiento de DP el responsable deberaacutesolicitarlo de esa forma aunque no se trate de datos financierospatrimoniales o sensibles
Nota No es necesario solicitar el consentimiento cuando el tratamiento de los DP sea en cumplimientoa obligaciones derivado de una relacioacuten juriacutedica entre el titular y el Responsable
Tipo de Consentimiento
bull Taacutecito
bull Expreso
bull Expreso y por escrito
Para que tipo de datos se requiere
bull Para cualquier tipo de dato personal con excepcioacuten de los datos patrimoniales financieros y sensibles
bull Para datos financieros y patrimoniales
bull Para datos personales sensibles
29
Principio de Responsabilidad
30
bull Establecer Medidas de Seguridad administrativas fiacutesicas yo
teacutecnicas para la proteccioacuten de los DP mismas que deben ser
documentadas (acciones anaacutelisis de riesgo anaacutelisis de
brecha revisiones o auditoriacuteas capacitacioacuten entre otras)
Algunas medidas baacutesicas pueden ser
1 Elaborar Poliacuteticas de Proteccioacuten de DP al
interior del negocio que incluyan sistemas de
supervisioacuten y vigilancia
2 Brindar capacitacioacuten para la concientizacioacuten de
personal
3 Establecer procedimientos para atender las
dudas o quejas de los titulares
31
iquestQueacute es el Aviso de Privacidad
Es un documento fiacutesico electroacutenico visual sonoro
o en cualquier otro formato generado por el
responsable de manera sencilla con un lenguaje
claro y comprensible de aceurdo al perfil de los
titulares puesto a su disposicioacuten previo al
tratamiento de sus datos personales
Establecer los teacuterminos y condiciones generales del
tratamiento de los datos personales que recaba
El Responsable deberaacute tener el nuacutemero de avisos de
pivacidad que resulte necesario de acuerdo a los
tratamientos que realice a los DP
32
El aviso de privacidad debe estar disponible en alguno de los
siguientes soportes
Fiacutesico (en papel)
Electroacutenico (paacuteginas web correos electroacutenicos etc)
Visual ( pantalla de TV videos etc)
Sonoro (Grabaciones IVR etc)
En otros medios (prensa)
33
No usar frases inexactas ambiguas o vagas como ldquoentre
otrosrdquo ldquocomo por ejemplordquo ldquoDe manera enunciativa maacutes no
limitativardquo
No incluir textos o frases que induzcan al titular de manera
engantildeosa o fraudulenta (ejemplo ldquoLe recomendamos que
nos autorice el uso de su informacioacuten personal sin restriccioacuten
alguna para ser maacutes eficiente nuestro trabajordquo
No remitir al titular a textos o documentos que no esteacuten
disponibes (links disponibles)
No incluir casillas u otros mecanismos similares que esteacuten
marcados previamente que obliguen a los titulares a
desmarcarlos para modificar la condicioacuten previamente
establecida
34
35
Ejemplo AP
36
Modalidades
del Aviso de
Privacidad
Integral
Simplificado
Corto
Cuando los datos se obtengan
personalmente del titular
(entrevista)
Cuando se obtienen de manera
directa (contacto paacuteg web ndash viacutea
telefoacutenica)
Cuando el espacio para dar a
conocer el aviso sea limitado
(correo formatos SMS etc)
Nota De acuerdo al tipo de DP que se recabe se deberaacute solicitar el
consentimiento correspondiente
37
ldquoObligacioacuten de guardar secreto de
los datos persnales que son
tratadosrdquo
El Responsable debe adoptar medidas para
evitar que quienes tengan acceso a eacutestos
divulguen dicha informacioacuten
Se debe cumplir aun una vez que finalice la
relacioacuten contractual o laboral entre el
responsable y quien tenga accesos a los
datos personales para el desarrollo de las
tareas o funciones que se le hubiern
encomendado
38
Establecer Medidas de seguridad administrativas fiacutesicas y teacutecnicas para la
proteger los DP mismas que deben ser documentadas (acciones anaacutelisis de
riesgo anaacutelisis de brecha revisiones o auditoriacuteas capacitacioacuten entre otras)
39
Peacuterdida destruccioacuten robo
extraviacuteo copia uso
acceso tratamiento dantildeo
alteracioacuten o modificacioacuten
NO AUTORIZADO
Si hay vulneracioacuten que impacte los derechos patrimoniales o
morales de los titulares se deberaacuten tomar acciones e informar a
los titulares sin dilacioacuten con el fin de que eacutestos tomen las medidas
pertinentes
VII Derechos ARCO y la
Proteccioacuten de Derechos
40
41
Cada uno de nosotros como titulares de los DP o en su caso nuestro
representante legal podremos ejercer cualquiera de los derechos ARCO ante
las empresas que los tengan en sus bases de datos
42
Mecanismos para que los ciudadanos podamos limitar el
uso de nuestros datos personales para fines comerciales
(liacuteneas telefoacutenicas particulares o moviles asiacute como sus
correos electroacutenicos domicilios y nombres)
Estas pueden ser propios o de organismos como la
PROFECO y la CONDUSEF que ya han creado estas
listas para registro opcional de los ciudadanos
REPEP (Registro Puacuteblico para Evitar Publicidad y
REUNS (Registro Puacuteblico de Usuarios que no desean
informacioacuten publicitaria de Productos y Servicios
Financieros)
Las empresas que realizan actividades de promocioacuten
deberaacuten previamente validar la existencia de los datos de
sus prospectos en estas listas para no incurrir en una
violacioacuten a la privacidad de los mismos
43
La empresa debe designar una persona
o un departamento interno para atender
las solicitudes de los Titulares de los
Datos a traveacutes del Ejercicio de sus
derechos ARCO
El Reglamento yo su encargado definen
su proceso interno medios y
procedimientos para la recepcioacuten
atencioacuten y resolucioacuten de las Solicitudes
de Derechos ARCO
El Ejercicio de los derechos debe ser
gratuito soacutelo en caso de reproduccioacuten o
enviacuteo el titular pagara los costos
correspondientes
44
El Titular Entrega solicitud de Derechos ARCO en
2 tantos que incluyen
bull Identificacioacuten oficial
bull Datos de localizacioacuten para
mantener la comunicacioacuten yo enviar
notificaciones
bull Documentacioacuten que ayude a su aacutegil
localizacioacuten o para demostrar la
correccioacuten o cambio solicitado
Espera 20 diacuteas la resolucioacuten ldquoprocede o
nordquo su solicitud
Espera 15 diacuteas maacutes aplicacioacuten de
resolucioacuten
45
El Departamento yo Encargado
de DP Entregar explicar yo recibir la solicitud de
Derechos ARCO en 2 tantos
bull Sellar la recepcioacuten con fecha y firma de
quien la recibe
bull Revisar y realizar el anaacutelisis de
procedencia de la solicitud (20 diacuteas
haacutebiles)
bull Notificar al titular la resolucioacuten proceda o
no
bull Aplicar resolucioacuten (15 diacuteas haacutebiles)
Nota El Responsible puede si asiacute se requiere y justifica incrementar el
plazo por uacutenica ocasioacuten por los mismos plazos descritos en cada
proceso previa notificacioacuten al titular
46
El titular o su representante legal no se
acrediten debidamente
No se encuentren los datos personales
en su base (s) de datos
Se lesionen derechos de terceros
La rectificacioacuten cancelacioacuten u oposicioacuten
hayan sido solicitadas preaviamente
Exista impedimento legal o resolucioacuten de
las autoridades que restrinja el ejercicio
de estos derechos
El Responsable podraacute negar el ejercicio
de los Derechos ARCO cuando
VIII Proteccioacuten de Derechos
ante el Ifai
47
48
Expresar claramente el
contenido de su
reclamacioacuten
Presentar el
documento que pruebe
la fecha en que
presentoacute la solicitud de
Derechos ARCO
bull Por escrito libre o a traveacutes de los
formatos establecidos por el IFAI
bull Sistema electroacutenico
bull En el domicilio del Instituto u oficina habilitada
bull Por correo certificado con acuse de recibo
El titular o su representante legal presenta su solicitud de proteccioacuten de derechos ante
el IFAI
Estaacute inconforme con la
respuesta
Dentro de los 15 diacuteas siguientes a la fecha en
que se comunique la respuesta
No recibioacute respuesta
Dentro de los 15 diacuteas a partir de que haya vencido el plazo de
respuesta
El TitularPlazos
Podraacute interponerse
IX Sanciones e Infracciones
49
50
El Salario miacutenimo vigente en el DF para 2014 es
Salario Miacutenimo ZonaAacuterea geograacutefica A 6729 pesos diarios
Fuente httpsalariominimocommxsalario-minimo-2014
DSMV DF Diacuteas de Salario Miacutenimo vigente en el Distrito Federal
No dar atencioacuten a las solicitudes ARCO
El apercibimiento para que el
responsable lleve a cabo los actos solicitados por el
titular
Omitir el aviso mantener DP
inexactos negar la existencia de DP con
dolo
Multa de 100 a 160000 VSM DF
De $6230 a $9972800
Incumplir deber de confidencialidad
cambiar la finalidad o realizar transferencias sin dar aviso de ello o vulnerar la seguridad de las bases de datos
Multa de 200 a 320000 VSM DF
De $12466 a $19945600
51
Trataacutendose de datos
personales sensibles
Provocar una vulneracioacuten de
seguridad a las bases de
datos bajo su custodia
3 meses a 3 antildeos
Tratamiento de DP
mediante el engantildeo
aprovechaacutendose del error
del titular o del
responsable
6 meses a 5 antildeos
Penas
anteriores
Delitos llevados
a cabo con
aacutenimo de lucro
Delito Prisioacuten
52
53
Beatriz Vargas
Director Comercial
beatrizvbsconsultingcommx
Tel 6380 5705 Cel 551071 9446
Ricardo Rangel
Director de Proyectos Estraacutetegicos
ricardorbsconsultingcommx
Tel 6380 5705 Cel 554453 4778
wwwBSConsultingcommx
VI Principios y deberes
24
Cumplir con los
Principios y deberes
25
Licitud
Lealtad
Proporcionalidad
Calidad
Finalidad
Consentimiento
Informacioacuten
Responsabilidad
Licitud
Lealtad
Principios
26
bull Todo tratamiento de datos personales
debe ser con estricto apego y
cumplimiento a lo dispuesto por la
legislacioacuten mexicana y el derecho
internacional
bull El tratamiento de DP debe realizarse en
atencioacuten a lo acordado NO deben de
utilizarse medios engantildeosos o fraudu-
lentos para recabar y tratar DP
Licitud
Lealtad
Principios
27
Proporcionalidad
Calidad
bull Los DP tratados deben ser los miacutenimos
necesarios para el cumplimiento de la
finalidad para la cual se recabaron
bull El responsable deberaacute aplicar el Criterio
de minimizacioacuten
bull Los DP deben ser correctos exactos
completos pertinentes y actualizados de
acuerdo con la finalidad para la cual
fueron recabados
Principio finalidad
28
bull Dan origen y son necesarias
para la relacioacuten juriacutedica
bull Una relacioacuten juriacutedica debe estar
enmarcada por los siguientes
factores
bull Viacutenculo entre los sujetos
bull Dos o mas sujetos
bull Estar regulado por el derecho y
bull Producir consecuencias juriacutedicas
El tratamiento de DP debe ser soacutelo el necesario para cumplir con la
finalidad determinada y legiacutetima que se sentildealoacute en el aviso de privacidad
de manera clara y objetiva
bull Finalidades distintas a las quedieron origen a la relacioacuten juriacutedicao bien aquellas legalmentepermitidas o para las que elresponsable haya obtenido elconsentimientondash Mercadoloacutegicos publicitarias
ndash Promocionales comunicacioacutenprospeccioacuten referencia comercial
ndash Videografacioacuten y toma de fotigrafiacuteas
bull El titular puede oponerse altratamiento de sus datos paraestas finalidades y no seraacute motivopara negar el servicio solicitado
Primarias Secundarias
Principio Consentimientobull Facultad de las personas para decidir sobre el tratamiento de sus DP
el cual taacutecito expreso o expreso y por escrito debe ser libre especiacuteficoinformado e inequiacutevoco
bull Si una ley o reglamento en lo particular exige el consentimiento expreso oexpreso y por escrito para el tratamiento de DP el responsable deberaacutesolicitarlo de esa forma aunque no se trate de datos financierospatrimoniales o sensibles
Nota No es necesario solicitar el consentimiento cuando el tratamiento de los DP sea en cumplimientoa obligaciones derivado de una relacioacuten juriacutedica entre el titular y el Responsable
Tipo de Consentimiento
bull Taacutecito
bull Expreso
bull Expreso y por escrito
Para que tipo de datos se requiere
bull Para cualquier tipo de dato personal con excepcioacuten de los datos patrimoniales financieros y sensibles
bull Para datos financieros y patrimoniales
bull Para datos personales sensibles
29
Principio de Responsabilidad
30
bull Establecer Medidas de Seguridad administrativas fiacutesicas yo
teacutecnicas para la proteccioacuten de los DP mismas que deben ser
documentadas (acciones anaacutelisis de riesgo anaacutelisis de
brecha revisiones o auditoriacuteas capacitacioacuten entre otras)
Algunas medidas baacutesicas pueden ser
1 Elaborar Poliacuteticas de Proteccioacuten de DP al
interior del negocio que incluyan sistemas de
supervisioacuten y vigilancia
2 Brindar capacitacioacuten para la concientizacioacuten de
personal
3 Establecer procedimientos para atender las
dudas o quejas de los titulares
31
iquestQueacute es el Aviso de Privacidad
Es un documento fiacutesico electroacutenico visual sonoro
o en cualquier otro formato generado por el
responsable de manera sencilla con un lenguaje
claro y comprensible de aceurdo al perfil de los
titulares puesto a su disposicioacuten previo al
tratamiento de sus datos personales
Establecer los teacuterminos y condiciones generales del
tratamiento de los datos personales que recaba
El Responsable deberaacute tener el nuacutemero de avisos de
pivacidad que resulte necesario de acuerdo a los
tratamientos que realice a los DP
32
El aviso de privacidad debe estar disponible en alguno de los
siguientes soportes
Fiacutesico (en papel)
Electroacutenico (paacuteginas web correos electroacutenicos etc)
Visual ( pantalla de TV videos etc)
Sonoro (Grabaciones IVR etc)
En otros medios (prensa)
33
No usar frases inexactas ambiguas o vagas como ldquoentre
otrosrdquo ldquocomo por ejemplordquo ldquoDe manera enunciativa maacutes no
limitativardquo
No incluir textos o frases que induzcan al titular de manera
engantildeosa o fraudulenta (ejemplo ldquoLe recomendamos que
nos autorice el uso de su informacioacuten personal sin restriccioacuten
alguna para ser maacutes eficiente nuestro trabajordquo
No remitir al titular a textos o documentos que no esteacuten
disponibes (links disponibles)
No incluir casillas u otros mecanismos similares que esteacuten
marcados previamente que obliguen a los titulares a
desmarcarlos para modificar la condicioacuten previamente
establecida
34
35
Ejemplo AP
36
Modalidades
del Aviso de
Privacidad
Integral
Simplificado
Corto
Cuando los datos se obtengan
personalmente del titular
(entrevista)
Cuando se obtienen de manera
directa (contacto paacuteg web ndash viacutea
telefoacutenica)
Cuando el espacio para dar a
conocer el aviso sea limitado
(correo formatos SMS etc)
Nota De acuerdo al tipo de DP que se recabe se deberaacute solicitar el
consentimiento correspondiente
37
ldquoObligacioacuten de guardar secreto de
los datos persnales que son
tratadosrdquo
El Responsable debe adoptar medidas para
evitar que quienes tengan acceso a eacutestos
divulguen dicha informacioacuten
Se debe cumplir aun una vez que finalice la
relacioacuten contractual o laboral entre el
responsable y quien tenga accesos a los
datos personales para el desarrollo de las
tareas o funciones que se le hubiern
encomendado
38
Establecer Medidas de seguridad administrativas fiacutesicas y teacutecnicas para la
proteger los DP mismas que deben ser documentadas (acciones anaacutelisis de
riesgo anaacutelisis de brecha revisiones o auditoriacuteas capacitacioacuten entre otras)
39
Peacuterdida destruccioacuten robo
extraviacuteo copia uso
acceso tratamiento dantildeo
alteracioacuten o modificacioacuten
NO AUTORIZADO
Si hay vulneracioacuten que impacte los derechos patrimoniales o
morales de los titulares se deberaacuten tomar acciones e informar a
los titulares sin dilacioacuten con el fin de que eacutestos tomen las medidas
pertinentes
VII Derechos ARCO y la
Proteccioacuten de Derechos
40
41
Cada uno de nosotros como titulares de los DP o en su caso nuestro
representante legal podremos ejercer cualquiera de los derechos ARCO ante
las empresas que los tengan en sus bases de datos
42
Mecanismos para que los ciudadanos podamos limitar el
uso de nuestros datos personales para fines comerciales
(liacuteneas telefoacutenicas particulares o moviles asiacute como sus
correos electroacutenicos domicilios y nombres)
Estas pueden ser propios o de organismos como la
PROFECO y la CONDUSEF que ya han creado estas
listas para registro opcional de los ciudadanos
REPEP (Registro Puacuteblico para Evitar Publicidad y
REUNS (Registro Puacuteblico de Usuarios que no desean
informacioacuten publicitaria de Productos y Servicios
Financieros)
Las empresas que realizan actividades de promocioacuten
deberaacuten previamente validar la existencia de los datos de
sus prospectos en estas listas para no incurrir en una
violacioacuten a la privacidad de los mismos
43
La empresa debe designar una persona
o un departamento interno para atender
las solicitudes de los Titulares de los
Datos a traveacutes del Ejercicio de sus
derechos ARCO
El Reglamento yo su encargado definen
su proceso interno medios y
procedimientos para la recepcioacuten
atencioacuten y resolucioacuten de las Solicitudes
de Derechos ARCO
El Ejercicio de los derechos debe ser
gratuito soacutelo en caso de reproduccioacuten o
enviacuteo el titular pagara los costos
correspondientes
44
El Titular Entrega solicitud de Derechos ARCO en
2 tantos que incluyen
bull Identificacioacuten oficial
bull Datos de localizacioacuten para
mantener la comunicacioacuten yo enviar
notificaciones
bull Documentacioacuten que ayude a su aacutegil
localizacioacuten o para demostrar la
correccioacuten o cambio solicitado
Espera 20 diacuteas la resolucioacuten ldquoprocede o
nordquo su solicitud
Espera 15 diacuteas maacutes aplicacioacuten de
resolucioacuten
45
El Departamento yo Encargado
de DP Entregar explicar yo recibir la solicitud de
Derechos ARCO en 2 tantos
bull Sellar la recepcioacuten con fecha y firma de
quien la recibe
bull Revisar y realizar el anaacutelisis de
procedencia de la solicitud (20 diacuteas
haacutebiles)
bull Notificar al titular la resolucioacuten proceda o
no
bull Aplicar resolucioacuten (15 diacuteas haacutebiles)
Nota El Responsible puede si asiacute se requiere y justifica incrementar el
plazo por uacutenica ocasioacuten por los mismos plazos descritos en cada
proceso previa notificacioacuten al titular
46
El titular o su representante legal no se
acrediten debidamente
No se encuentren los datos personales
en su base (s) de datos
Se lesionen derechos de terceros
La rectificacioacuten cancelacioacuten u oposicioacuten
hayan sido solicitadas preaviamente
Exista impedimento legal o resolucioacuten de
las autoridades que restrinja el ejercicio
de estos derechos
El Responsable podraacute negar el ejercicio
de los Derechos ARCO cuando
VIII Proteccioacuten de Derechos
ante el Ifai
47
48
Expresar claramente el
contenido de su
reclamacioacuten
Presentar el
documento que pruebe
la fecha en que
presentoacute la solicitud de
Derechos ARCO
bull Por escrito libre o a traveacutes de los
formatos establecidos por el IFAI
bull Sistema electroacutenico
bull En el domicilio del Instituto u oficina habilitada
bull Por correo certificado con acuse de recibo
El titular o su representante legal presenta su solicitud de proteccioacuten de derechos ante
el IFAI
Estaacute inconforme con la
respuesta
Dentro de los 15 diacuteas siguientes a la fecha en
que se comunique la respuesta
No recibioacute respuesta
Dentro de los 15 diacuteas a partir de que haya vencido el plazo de
respuesta
El TitularPlazos
Podraacute interponerse
IX Sanciones e Infracciones
49
50
El Salario miacutenimo vigente en el DF para 2014 es
Salario Miacutenimo ZonaAacuterea geograacutefica A 6729 pesos diarios
Fuente httpsalariominimocommxsalario-minimo-2014
DSMV DF Diacuteas de Salario Miacutenimo vigente en el Distrito Federal
No dar atencioacuten a las solicitudes ARCO
El apercibimiento para que el
responsable lleve a cabo los actos solicitados por el
titular
Omitir el aviso mantener DP
inexactos negar la existencia de DP con
dolo
Multa de 100 a 160000 VSM DF
De $6230 a $9972800
Incumplir deber de confidencialidad
cambiar la finalidad o realizar transferencias sin dar aviso de ello o vulnerar la seguridad de las bases de datos
Multa de 200 a 320000 VSM DF
De $12466 a $19945600
51
Trataacutendose de datos
personales sensibles
Provocar una vulneracioacuten de
seguridad a las bases de
datos bajo su custodia
3 meses a 3 antildeos
Tratamiento de DP
mediante el engantildeo
aprovechaacutendose del error
del titular o del
responsable
6 meses a 5 antildeos
Penas
anteriores
Delitos llevados
a cabo con
aacutenimo de lucro
Delito Prisioacuten
52
53
Beatriz Vargas
Director Comercial
beatrizvbsconsultingcommx
Tel 6380 5705 Cel 551071 9446
Ricardo Rangel
Director de Proyectos Estraacutetegicos
ricardorbsconsultingcommx
Tel 6380 5705 Cel 554453 4778
wwwBSConsultingcommx
Cumplir con los
Principios y deberes
25
Licitud
Lealtad
Proporcionalidad
Calidad
Finalidad
Consentimiento
Informacioacuten
Responsabilidad
Licitud
Lealtad
Principios
26
bull Todo tratamiento de datos personales
debe ser con estricto apego y
cumplimiento a lo dispuesto por la
legislacioacuten mexicana y el derecho
internacional
bull El tratamiento de DP debe realizarse en
atencioacuten a lo acordado NO deben de
utilizarse medios engantildeosos o fraudu-
lentos para recabar y tratar DP
Licitud
Lealtad
Principios
27
Proporcionalidad
Calidad
bull Los DP tratados deben ser los miacutenimos
necesarios para el cumplimiento de la
finalidad para la cual se recabaron
bull El responsable deberaacute aplicar el Criterio
de minimizacioacuten
bull Los DP deben ser correctos exactos
completos pertinentes y actualizados de
acuerdo con la finalidad para la cual
fueron recabados
Principio finalidad
28
bull Dan origen y son necesarias
para la relacioacuten juriacutedica
bull Una relacioacuten juriacutedica debe estar
enmarcada por los siguientes
factores
bull Viacutenculo entre los sujetos
bull Dos o mas sujetos
bull Estar regulado por el derecho y
bull Producir consecuencias juriacutedicas
El tratamiento de DP debe ser soacutelo el necesario para cumplir con la
finalidad determinada y legiacutetima que se sentildealoacute en el aviso de privacidad
de manera clara y objetiva
bull Finalidades distintas a las quedieron origen a la relacioacuten juriacutedicao bien aquellas legalmentepermitidas o para las que elresponsable haya obtenido elconsentimientondash Mercadoloacutegicos publicitarias
ndash Promocionales comunicacioacutenprospeccioacuten referencia comercial
ndash Videografacioacuten y toma de fotigrafiacuteas
bull El titular puede oponerse altratamiento de sus datos paraestas finalidades y no seraacute motivopara negar el servicio solicitado
Primarias Secundarias
Principio Consentimientobull Facultad de las personas para decidir sobre el tratamiento de sus DP
el cual taacutecito expreso o expreso y por escrito debe ser libre especiacuteficoinformado e inequiacutevoco
bull Si una ley o reglamento en lo particular exige el consentimiento expreso oexpreso y por escrito para el tratamiento de DP el responsable deberaacutesolicitarlo de esa forma aunque no se trate de datos financierospatrimoniales o sensibles
Nota No es necesario solicitar el consentimiento cuando el tratamiento de los DP sea en cumplimientoa obligaciones derivado de una relacioacuten juriacutedica entre el titular y el Responsable
Tipo de Consentimiento
bull Taacutecito
bull Expreso
bull Expreso y por escrito
Para que tipo de datos se requiere
bull Para cualquier tipo de dato personal con excepcioacuten de los datos patrimoniales financieros y sensibles
bull Para datos financieros y patrimoniales
bull Para datos personales sensibles
29
Principio de Responsabilidad
30
bull Establecer Medidas de Seguridad administrativas fiacutesicas yo
teacutecnicas para la proteccioacuten de los DP mismas que deben ser
documentadas (acciones anaacutelisis de riesgo anaacutelisis de
brecha revisiones o auditoriacuteas capacitacioacuten entre otras)
Algunas medidas baacutesicas pueden ser
1 Elaborar Poliacuteticas de Proteccioacuten de DP al
interior del negocio que incluyan sistemas de
supervisioacuten y vigilancia
2 Brindar capacitacioacuten para la concientizacioacuten de
personal
3 Establecer procedimientos para atender las
dudas o quejas de los titulares
31
iquestQueacute es el Aviso de Privacidad
Es un documento fiacutesico electroacutenico visual sonoro
o en cualquier otro formato generado por el
responsable de manera sencilla con un lenguaje
claro y comprensible de aceurdo al perfil de los
titulares puesto a su disposicioacuten previo al
tratamiento de sus datos personales
Establecer los teacuterminos y condiciones generales del
tratamiento de los datos personales que recaba
El Responsable deberaacute tener el nuacutemero de avisos de
pivacidad que resulte necesario de acuerdo a los
tratamientos que realice a los DP
32
El aviso de privacidad debe estar disponible en alguno de los
siguientes soportes
Fiacutesico (en papel)
Electroacutenico (paacuteginas web correos electroacutenicos etc)
Visual ( pantalla de TV videos etc)
Sonoro (Grabaciones IVR etc)
En otros medios (prensa)
33
No usar frases inexactas ambiguas o vagas como ldquoentre
otrosrdquo ldquocomo por ejemplordquo ldquoDe manera enunciativa maacutes no
limitativardquo
No incluir textos o frases que induzcan al titular de manera
engantildeosa o fraudulenta (ejemplo ldquoLe recomendamos que
nos autorice el uso de su informacioacuten personal sin restriccioacuten
alguna para ser maacutes eficiente nuestro trabajordquo
No remitir al titular a textos o documentos que no esteacuten
disponibes (links disponibles)
No incluir casillas u otros mecanismos similares que esteacuten
marcados previamente que obliguen a los titulares a
desmarcarlos para modificar la condicioacuten previamente
establecida
34
35
Ejemplo AP
36
Modalidades
del Aviso de
Privacidad
Integral
Simplificado
Corto
Cuando los datos se obtengan
personalmente del titular
(entrevista)
Cuando se obtienen de manera
directa (contacto paacuteg web ndash viacutea
telefoacutenica)
Cuando el espacio para dar a
conocer el aviso sea limitado
(correo formatos SMS etc)
Nota De acuerdo al tipo de DP que se recabe se deberaacute solicitar el
consentimiento correspondiente
37
ldquoObligacioacuten de guardar secreto de
los datos persnales que son
tratadosrdquo
El Responsable debe adoptar medidas para
evitar que quienes tengan acceso a eacutestos
divulguen dicha informacioacuten
Se debe cumplir aun una vez que finalice la
relacioacuten contractual o laboral entre el
responsable y quien tenga accesos a los
datos personales para el desarrollo de las
tareas o funciones que se le hubiern
encomendado
38
Establecer Medidas de seguridad administrativas fiacutesicas y teacutecnicas para la
proteger los DP mismas que deben ser documentadas (acciones anaacutelisis de
riesgo anaacutelisis de brecha revisiones o auditoriacuteas capacitacioacuten entre otras)
39
Peacuterdida destruccioacuten robo
extraviacuteo copia uso
acceso tratamiento dantildeo
alteracioacuten o modificacioacuten
NO AUTORIZADO
Si hay vulneracioacuten que impacte los derechos patrimoniales o
morales de los titulares se deberaacuten tomar acciones e informar a
los titulares sin dilacioacuten con el fin de que eacutestos tomen las medidas
pertinentes
VII Derechos ARCO y la
Proteccioacuten de Derechos
40
41
Cada uno de nosotros como titulares de los DP o en su caso nuestro
representante legal podremos ejercer cualquiera de los derechos ARCO ante
las empresas que los tengan en sus bases de datos
42
Mecanismos para que los ciudadanos podamos limitar el
uso de nuestros datos personales para fines comerciales
(liacuteneas telefoacutenicas particulares o moviles asiacute como sus
correos electroacutenicos domicilios y nombres)
Estas pueden ser propios o de organismos como la
PROFECO y la CONDUSEF que ya han creado estas
listas para registro opcional de los ciudadanos
REPEP (Registro Puacuteblico para Evitar Publicidad y
REUNS (Registro Puacuteblico de Usuarios que no desean
informacioacuten publicitaria de Productos y Servicios
Financieros)
Las empresas que realizan actividades de promocioacuten
deberaacuten previamente validar la existencia de los datos de
sus prospectos en estas listas para no incurrir en una
violacioacuten a la privacidad de los mismos
43
La empresa debe designar una persona
o un departamento interno para atender
las solicitudes de los Titulares de los
Datos a traveacutes del Ejercicio de sus
derechos ARCO
El Reglamento yo su encargado definen
su proceso interno medios y
procedimientos para la recepcioacuten
atencioacuten y resolucioacuten de las Solicitudes
de Derechos ARCO
El Ejercicio de los derechos debe ser
gratuito soacutelo en caso de reproduccioacuten o
enviacuteo el titular pagara los costos
correspondientes
44
El Titular Entrega solicitud de Derechos ARCO en
2 tantos que incluyen
bull Identificacioacuten oficial
bull Datos de localizacioacuten para
mantener la comunicacioacuten yo enviar
notificaciones
bull Documentacioacuten que ayude a su aacutegil
localizacioacuten o para demostrar la
correccioacuten o cambio solicitado
Espera 20 diacuteas la resolucioacuten ldquoprocede o
nordquo su solicitud
Espera 15 diacuteas maacutes aplicacioacuten de
resolucioacuten
45
El Departamento yo Encargado
de DP Entregar explicar yo recibir la solicitud de
Derechos ARCO en 2 tantos
bull Sellar la recepcioacuten con fecha y firma de
quien la recibe
bull Revisar y realizar el anaacutelisis de
procedencia de la solicitud (20 diacuteas
haacutebiles)
bull Notificar al titular la resolucioacuten proceda o
no
bull Aplicar resolucioacuten (15 diacuteas haacutebiles)
Nota El Responsible puede si asiacute se requiere y justifica incrementar el
plazo por uacutenica ocasioacuten por los mismos plazos descritos en cada
proceso previa notificacioacuten al titular
46
El titular o su representante legal no se
acrediten debidamente
No se encuentren los datos personales
en su base (s) de datos
Se lesionen derechos de terceros
La rectificacioacuten cancelacioacuten u oposicioacuten
hayan sido solicitadas preaviamente
Exista impedimento legal o resolucioacuten de
las autoridades que restrinja el ejercicio
de estos derechos
El Responsable podraacute negar el ejercicio
de los Derechos ARCO cuando
VIII Proteccioacuten de Derechos
ante el Ifai
47
48
Expresar claramente el
contenido de su
reclamacioacuten
Presentar el
documento que pruebe
la fecha en que
presentoacute la solicitud de
Derechos ARCO
bull Por escrito libre o a traveacutes de los
formatos establecidos por el IFAI
bull Sistema electroacutenico
bull En el domicilio del Instituto u oficina habilitada
bull Por correo certificado con acuse de recibo
El titular o su representante legal presenta su solicitud de proteccioacuten de derechos ante
el IFAI
Estaacute inconforme con la
respuesta
Dentro de los 15 diacuteas siguientes a la fecha en
que se comunique la respuesta
No recibioacute respuesta
Dentro de los 15 diacuteas a partir de que haya vencido el plazo de
respuesta
El TitularPlazos
Podraacute interponerse
IX Sanciones e Infracciones
49
50
El Salario miacutenimo vigente en el DF para 2014 es
Salario Miacutenimo ZonaAacuterea geograacutefica A 6729 pesos diarios
Fuente httpsalariominimocommxsalario-minimo-2014
DSMV DF Diacuteas de Salario Miacutenimo vigente en el Distrito Federal
No dar atencioacuten a las solicitudes ARCO
El apercibimiento para que el
responsable lleve a cabo los actos solicitados por el
titular
Omitir el aviso mantener DP
inexactos negar la existencia de DP con
dolo
Multa de 100 a 160000 VSM DF
De $6230 a $9972800
Incumplir deber de confidencialidad
cambiar la finalidad o realizar transferencias sin dar aviso de ello o vulnerar la seguridad de las bases de datos
Multa de 200 a 320000 VSM DF
De $12466 a $19945600
51
Trataacutendose de datos
personales sensibles
Provocar una vulneracioacuten de
seguridad a las bases de
datos bajo su custodia
3 meses a 3 antildeos
Tratamiento de DP
mediante el engantildeo
aprovechaacutendose del error
del titular o del
responsable
6 meses a 5 antildeos
Penas
anteriores
Delitos llevados
a cabo con
aacutenimo de lucro
Delito Prisioacuten
52
53
Beatriz Vargas
Director Comercial
beatrizvbsconsultingcommx
Tel 6380 5705 Cel 551071 9446
Ricardo Rangel
Director de Proyectos Estraacutetegicos
ricardorbsconsultingcommx
Tel 6380 5705 Cel 554453 4778
wwwBSConsultingcommx
Principios
26
bull Todo tratamiento de datos personales
debe ser con estricto apego y
cumplimiento a lo dispuesto por la
legislacioacuten mexicana y el derecho
internacional
bull El tratamiento de DP debe realizarse en
atencioacuten a lo acordado NO deben de
utilizarse medios engantildeosos o fraudu-
lentos para recabar y tratar DP
Licitud
Lealtad
Principios
27
Proporcionalidad
Calidad
bull Los DP tratados deben ser los miacutenimos
necesarios para el cumplimiento de la
finalidad para la cual se recabaron
bull El responsable deberaacute aplicar el Criterio
de minimizacioacuten
bull Los DP deben ser correctos exactos
completos pertinentes y actualizados de
acuerdo con la finalidad para la cual
fueron recabados
Principio finalidad
28
bull Dan origen y son necesarias
para la relacioacuten juriacutedica
bull Una relacioacuten juriacutedica debe estar
enmarcada por los siguientes
factores
bull Viacutenculo entre los sujetos
bull Dos o mas sujetos
bull Estar regulado por el derecho y
bull Producir consecuencias juriacutedicas
El tratamiento de DP debe ser soacutelo el necesario para cumplir con la
finalidad determinada y legiacutetima que se sentildealoacute en el aviso de privacidad
de manera clara y objetiva
bull Finalidades distintas a las quedieron origen a la relacioacuten juriacutedicao bien aquellas legalmentepermitidas o para las que elresponsable haya obtenido elconsentimientondash Mercadoloacutegicos publicitarias
ndash Promocionales comunicacioacutenprospeccioacuten referencia comercial
ndash Videografacioacuten y toma de fotigrafiacuteas
bull El titular puede oponerse altratamiento de sus datos paraestas finalidades y no seraacute motivopara negar el servicio solicitado
Primarias Secundarias
Principio Consentimientobull Facultad de las personas para decidir sobre el tratamiento de sus DP
el cual taacutecito expreso o expreso y por escrito debe ser libre especiacuteficoinformado e inequiacutevoco
bull Si una ley o reglamento en lo particular exige el consentimiento expreso oexpreso y por escrito para el tratamiento de DP el responsable deberaacutesolicitarlo de esa forma aunque no se trate de datos financierospatrimoniales o sensibles
Nota No es necesario solicitar el consentimiento cuando el tratamiento de los DP sea en cumplimientoa obligaciones derivado de una relacioacuten juriacutedica entre el titular y el Responsable
Tipo de Consentimiento
bull Taacutecito
bull Expreso
bull Expreso y por escrito
Para que tipo de datos se requiere
bull Para cualquier tipo de dato personal con excepcioacuten de los datos patrimoniales financieros y sensibles
bull Para datos financieros y patrimoniales
bull Para datos personales sensibles
29
Principio de Responsabilidad
30
bull Establecer Medidas de Seguridad administrativas fiacutesicas yo
teacutecnicas para la proteccioacuten de los DP mismas que deben ser
documentadas (acciones anaacutelisis de riesgo anaacutelisis de
brecha revisiones o auditoriacuteas capacitacioacuten entre otras)
Algunas medidas baacutesicas pueden ser
1 Elaborar Poliacuteticas de Proteccioacuten de DP al
interior del negocio que incluyan sistemas de
supervisioacuten y vigilancia
2 Brindar capacitacioacuten para la concientizacioacuten de
personal
3 Establecer procedimientos para atender las
dudas o quejas de los titulares
31
iquestQueacute es el Aviso de Privacidad
Es un documento fiacutesico electroacutenico visual sonoro
o en cualquier otro formato generado por el
responsable de manera sencilla con un lenguaje
claro y comprensible de aceurdo al perfil de los
titulares puesto a su disposicioacuten previo al
tratamiento de sus datos personales
Establecer los teacuterminos y condiciones generales del
tratamiento de los datos personales que recaba
El Responsable deberaacute tener el nuacutemero de avisos de
pivacidad que resulte necesario de acuerdo a los
tratamientos que realice a los DP
32
El aviso de privacidad debe estar disponible en alguno de los
siguientes soportes
Fiacutesico (en papel)
Electroacutenico (paacuteginas web correos electroacutenicos etc)
Visual ( pantalla de TV videos etc)
Sonoro (Grabaciones IVR etc)
En otros medios (prensa)
33
No usar frases inexactas ambiguas o vagas como ldquoentre
otrosrdquo ldquocomo por ejemplordquo ldquoDe manera enunciativa maacutes no
limitativardquo
No incluir textos o frases que induzcan al titular de manera
engantildeosa o fraudulenta (ejemplo ldquoLe recomendamos que
nos autorice el uso de su informacioacuten personal sin restriccioacuten
alguna para ser maacutes eficiente nuestro trabajordquo
No remitir al titular a textos o documentos que no esteacuten
disponibes (links disponibles)
No incluir casillas u otros mecanismos similares que esteacuten
marcados previamente que obliguen a los titulares a
desmarcarlos para modificar la condicioacuten previamente
establecida
34
35
Ejemplo AP
36
Modalidades
del Aviso de
Privacidad
Integral
Simplificado
Corto
Cuando los datos se obtengan
personalmente del titular
(entrevista)
Cuando se obtienen de manera
directa (contacto paacuteg web ndash viacutea
telefoacutenica)
Cuando el espacio para dar a
conocer el aviso sea limitado
(correo formatos SMS etc)
Nota De acuerdo al tipo de DP que se recabe se deberaacute solicitar el
consentimiento correspondiente
37
ldquoObligacioacuten de guardar secreto de
los datos persnales que son
tratadosrdquo
El Responsable debe adoptar medidas para
evitar que quienes tengan acceso a eacutestos
divulguen dicha informacioacuten
Se debe cumplir aun una vez que finalice la
relacioacuten contractual o laboral entre el
responsable y quien tenga accesos a los
datos personales para el desarrollo de las
tareas o funciones que se le hubiern
encomendado
38
Establecer Medidas de seguridad administrativas fiacutesicas y teacutecnicas para la
proteger los DP mismas que deben ser documentadas (acciones anaacutelisis de
riesgo anaacutelisis de brecha revisiones o auditoriacuteas capacitacioacuten entre otras)
39
Peacuterdida destruccioacuten robo
extraviacuteo copia uso
acceso tratamiento dantildeo
alteracioacuten o modificacioacuten
NO AUTORIZADO
Si hay vulneracioacuten que impacte los derechos patrimoniales o
morales de los titulares se deberaacuten tomar acciones e informar a
los titulares sin dilacioacuten con el fin de que eacutestos tomen las medidas
pertinentes
VII Derechos ARCO y la
Proteccioacuten de Derechos
40
41
Cada uno de nosotros como titulares de los DP o en su caso nuestro
representante legal podremos ejercer cualquiera de los derechos ARCO ante
las empresas que los tengan en sus bases de datos
42
Mecanismos para que los ciudadanos podamos limitar el
uso de nuestros datos personales para fines comerciales
(liacuteneas telefoacutenicas particulares o moviles asiacute como sus
correos electroacutenicos domicilios y nombres)
Estas pueden ser propios o de organismos como la
PROFECO y la CONDUSEF que ya han creado estas
listas para registro opcional de los ciudadanos
REPEP (Registro Puacuteblico para Evitar Publicidad y
REUNS (Registro Puacuteblico de Usuarios que no desean
informacioacuten publicitaria de Productos y Servicios
Financieros)
Las empresas que realizan actividades de promocioacuten
deberaacuten previamente validar la existencia de los datos de
sus prospectos en estas listas para no incurrir en una
violacioacuten a la privacidad de los mismos
43
La empresa debe designar una persona
o un departamento interno para atender
las solicitudes de los Titulares de los
Datos a traveacutes del Ejercicio de sus
derechos ARCO
El Reglamento yo su encargado definen
su proceso interno medios y
procedimientos para la recepcioacuten
atencioacuten y resolucioacuten de las Solicitudes
de Derechos ARCO
El Ejercicio de los derechos debe ser
gratuito soacutelo en caso de reproduccioacuten o
enviacuteo el titular pagara los costos
correspondientes
44
El Titular Entrega solicitud de Derechos ARCO en
2 tantos que incluyen
bull Identificacioacuten oficial
bull Datos de localizacioacuten para
mantener la comunicacioacuten yo enviar
notificaciones
bull Documentacioacuten que ayude a su aacutegil
localizacioacuten o para demostrar la
correccioacuten o cambio solicitado
Espera 20 diacuteas la resolucioacuten ldquoprocede o
nordquo su solicitud
Espera 15 diacuteas maacutes aplicacioacuten de
resolucioacuten
45
El Departamento yo Encargado
de DP Entregar explicar yo recibir la solicitud de
Derechos ARCO en 2 tantos
bull Sellar la recepcioacuten con fecha y firma de
quien la recibe
bull Revisar y realizar el anaacutelisis de
procedencia de la solicitud (20 diacuteas
haacutebiles)
bull Notificar al titular la resolucioacuten proceda o
no
bull Aplicar resolucioacuten (15 diacuteas haacutebiles)
Nota El Responsible puede si asiacute se requiere y justifica incrementar el
plazo por uacutenica ocasioacuten por los mismos plazos descritos en cada
proceso previa notificacioacuten al titular
46
El titular o su representante legal no se
acrediten debidamente
No se encuentren los datos personales
en su base (s) de datos
Se lesionen derechos de terceros
La rectificacioacuten cancelacioacuten u oposicioacuten
hayan sido solicitadas preaviamente
Exista impedimento legal o resolucioacuten de
las autoridades que restrinja el ejercicio
de estos derechos
El Responsable podraacute negar el ejercicio
de los Derechos ARCO cuando
VIII Proteccioacuten de Derechos
ante el Ifai
47
48
Expresar claramente el
contenido de su
reclamacioacuten
Presentar el
documento que pruebe
la fecha en que
presentoacute la solicitud de
Derechos ARCO
bull Por escrito libre o a traveacutes de los
formatos establecidos por el IFAI
bull Sistema electroacutenico
bull En el domicilio del Instituto u oficina habilitada
bull Por correo certificado con acuse de recibo
El titular o su representante legal presenta su solicitud de proteccioacuten de derechos ante
el IFAI
Estaacute inconforme con la
respuesta
Dentro de los 15 diacuteas siguientes a la fecha en
que se comunique la respuesta
No recibioacute respuesta
Dentro de los 15 diacuteas a partir de que haya vencido el plazo de
respuesta
El TitularPlazos
Podraacute interponerse
IX Sanciones e Infracciones
49
50
El Salario miacutenimo vigente en el DF para 2014 es
Salario Miacutenimo ZonaAacuterea geograacutefica A 6729 pesos diarios
Fuente httpsalariominimocommxsalario-minimo-2014
DSMV DF Diacuteas de Salario Miacutenimo vigente en el Distrito Federal
No dar atencioacuten a las solicitudes ARCO
El apercibimiento para que el
responsable lleve a cabo los actos solicitados por el
titular
Omitir el aviso mantener DP
inexactos negar la existencia de DP con
dolo
Multa de 100 a 160000 VSM DF
De $6230 a $9972800
Incumplir deber de confidencialidad
cambiar la finalidad o realizar transferencias sin dar aviso de ello o vulnerar la seguridad de las bases de datos
Multa de 200 a 320000 VSM DF
De $12466 a $19945600
51
Trataacutendose de datos
personales sensibles
Provocar una vulneracioacuten de
seguridad a las bases de
datos bajo su custodia
3 meses a 3 antildeos
Tratamiento de DP
mediante el engantildeo
aprovechaacutendose del error
del titular o del
responsable
6 meses a 5 antildeos
Penas
anteriores
Delitos llevados
a cabo con
aacutenimo de lucro
Delito Prisioacuten
52
53
Beatriz Vargas
Director Comercial
beatrizvbsconsultingcommx
Tel 6380 5705 Cel 551071 9446
Ricardo Rangel
Director de Proyectos Estraacutetegicos
ricardorbsconsultingcommx
Tel 6380 5705 Cel 554453 4778
wwwBSConsultingcommx
Principios
27
Proporcionalidad
Calidad
bull Los DP tratados deben ser los miacutenimos
necesarios para el cumplimiento de la
finalidad para la cual se recabaron
bull El responsable deberaacute aplicar el Criterio
de minimizacioacuten
bull Los DP deben ser correctos exactos
completos pertinentes y actualizados de
acuerdo con la finalidad para la cual
fueron recabados
Principio finalidad
28
bull Dan origen y son necesarias
para la relacioacuten juriacutedica
bull Una relacioacuten juriacutedica debe estar
enmarcada por los siguientes
factores
bull Viacutenculo entre los sujetos
bull Dos o mas sujetos
bull Estar regulado por el derecho y
bull Producir consecuencias juriacutedicas
El tratamiento de DP debe ser soacutelo el necesario para cumplir con la
finalidad determinada y legiacutetima que se sentildealoacute en el aviso de privacidad
de manera clara y objetiva
bull Finalidades distintas a las quedieron origen a la relacioacuten juriacutedicao bien aquellas legalmentepermitidas o para las que elresponsable haya obtenido elconsentimientondash Mercadoloacutegicos publicitarias
ndash Promocionales comunicacioacutenprospeccioacuten referencia comercial
ndash Videografacioacuten y toma de fotigrafiacuteas
bull El titular puede oponerse altratamiento de sus datos paraestas finalidades y no seraacute motivopara negar el servicio solicitado
Primarias Secundarias
Principio Consentimientobull Facultad de las personas para decidir sobre el tratamiento de sus DP
el cual taacutecito expreso o expreso y por escrito debe ser libre especiacuteficoinformado e inequiacutevoco
bull Si una ley o reglamento en lo particular exige el consentimiento expreso oexpreso y por escrito para el tratamiento de DP el responsable deberaacutesolicitarlo de esa forma aunque no se trate de datos financierospatrimoniales o sensibles
Nota No es necesario solicitar el consentimiento cuando el tratamiento de los DP sea en cumplimientoa obligaciones derivado de una relacioacuten juriacutedica entre el titular y el Responsable
Tipo de Consentimiento
bull Taacutecito
bull Expreso
bull Expreso y por escrito
Para que tipo de datos se requiere
bull Para cualquier tipo de dato personal con excepcioacuten de los datos patrimoniales financieros y sensibles
bull Para datos financieros y patrimoniales
bull Para datos personales sensibles
29
Principio de Responsabilidad
30
bull Establecer Medidas de Seguridad administrativas fiacutesicas yo
teacutecnicas para la proteccioacuten de los DP mismas que deben ser
documentadas (acciones anaacutelisis de riesgo anaacutelisis de
brecha revisiones o auditoriacuteas capacitacioacuten entre otras)
Algunas medidas baacutesicas pueden ser
1 Elaborar Poliacuteticas de Proteccioacuten de DP al
interior del negocio que incluyan sistemas de
supervisioacuten y vigilancia
2 Brindar capacitacioacuten para la concientizacioacuten de
personal
3 Establecer procedimientos para atender las
dudas o quejas de los titulares
31
iquestQueacute es el Aviso de Privacidad
Es un documento fiacutesico electroacutenico visual sonoro
o en cualquier otro formato generado por el
responsable de manera sencilla con un lenguaje
claro y comprensible de aceurdo al perfil de los
titulares puesto a su disposicioacuten previo al
tratamiento de sus datos personales
Establecer los teacuterminos y condiciones generales del
tratamiento de los datos personales que recaba
El Responsable deberaacute tener el nuacutemero de avisos de
pivacidad que resulte necesario de acuerdo a los
tratamientos que realice a los DP
32
El aviso de privacidad debe estar disponible en alguno de los
siguientes soportes
Fiacutesico (en papel)
Electroacutenico (paacuteginas web correos electroacutenicos etc)
Visual ( pantalla de TV videos etc)
Sonoro (Grabaciones IVR etc)
En otros medios (prensa)
33
No usar frases inexactas ambiguas o vagas como ldquoentre
otrosrdquo ldquocomo por ejemplordquo ldquoDe manera enunciativa maacutes no
limitativardquo
No incluir textos o frases que induzcan al titular de manera
engantildeosa o fraudulenta (ejemplo ldquoLe recomendamos que
nos autorice el uso de su informacioacuten personal sin restriccioacuten
alguna para ser maacutes eficiente nuestro trabajordquo
No remitir al titular a textos o documentos que no esteacuten
disponibes (links disponibles)
No incluir casillas u otros mecanismos similares que esteacuten
marcados previamente que obliguen a los titulares a
desmarcarlos para modificar la condicioacuten previamente
establecida
34
35
Ejemplo AP
36
Modalidades
del Aviso de
Privacidad
Integral
Simplificado
Corto
Cuando los datos se obtengan
personalmente del titular
(entrevista)
Cuando se obtienen de manera
directa (contacto paacuteg web ndash viacutea
telefoacutenica)
Cuando el espacio para dar a
conocer el aviso sea limitado
(correo formatos SMS etc)
Nota De acuerdo al tipo de DP que se recabe se deberaacute solicitar el
consentimiento correspondiente
37
ldquoObligacioacuten de guardar secreto de
los datos persnales que son
tratadosrdquo
El Responsable debe adoptar medidas para
evitar que quienes tengan acceso a eacutestos
divulguen dicha informacioacuten
Se debe cumplir aun una vez que finalice la
relacioacuten contractual o laboral entre el
responsable y quien tenga accesos a los
datos personales para el desarrollo de las
tareas o funciones que se le hubiern
encomendado
38
Establecer Medidas de seguridad administrativas fiacutesicas y teacutecnicas para la
proteger los DP mismas que deben ser documentadas (acciones anaacutelisis de
riesgo anaacutelisis de brecha revisiones o auditoriacuteas capacitacioacuten entre otras)
39
Peacuterdida destruccioacuten robo
extraviacuteo copia uso
acceso tratamiento dantildeo
alteracioacuten o modificacioacuten
NO AUTORIZADO
Si hay vulneracioacuten que impacte los derechos patrimoniales o
morales de los titulares se deberaacuten tomar acciones e informar a
los titulares sin dilacioacuten con el fin de que eacutestos tomen las medidas
pertinentes
VII Derechos ARCO y la
Proteccioacuten de Derechos
40
41
Cada uno de nosotros como titulares de los DP o en su caso nuestro
representante legal podremos ejercer cualquiera de los derechos ARCO ante
las empresas que los tengan en sus bases de datos
42
Mecanismos para que los ciudadanos podamos limitar el
uso de nuestros datos personales para fines comerciales
(liacuteneas telefoacutenicas particulares o moviles asiacute como sus
correos electroacutenicos domicilios y nombres)
Estas pueden ser propios o de organismos como la
PROFECO y la CONDUSEF que ya han creado estas
listas para registro opcional de los ciudadanos
REPEP (Registro Puacuteblico para Evitar Publicidad y
REUNS (Registro Puacuteblico de Usuarios que no desean
informacioacuten publicitaria de Productos y Servicios
Financieros)
Las empresas que realizan actividades de promocioacuten
deberaacuten previamente validar la existencia de los datos de
sus prospectos en estas listas para no incurrir en una
violacioacuten a la privacidad de los mismos
43
La empresa debe designar una persona
o un departamento interno para atender
las solicitudes de los Titulares de los
Datos a traveacutes del Ejercicio de sus
derechos ARCO
El Reglamento yo su encargado definen
su proceso interno medios y
procedimientos para la recepcioacuten
atencioacuten y resolucioacuten de las Solicitudes
de Derechos ARCO
El Ejercicio de los derechos debe ser
gratuito soacutelo en caso de reproduccioacuten o
enviacuteo el titular pagara los costos
correspondientes
44
El Titular Entrega solicitud de Derechos ARCO en
2 tantos que incluyen
bull Identificacioacuten oficial
bull Datos de localizacioacuten para
mantener la comunicacioacuten yo enviar
notificaciones
bull Documentacioacuten que ayude a su aacutegil
localizacioacuten o para demostrar la
correccioacuten o cambio solicitado
Espera 20 diacuteas la resolucioacuten ldquoprocede o
nordquo su solicitud
Espera 15 diacuteas maacutes aplicacioacuten de
resolucioacuten
45
El Departamento yo Encargado
de DP Entregar explicar yo recibir la solicitud de
Derechos ARCO en 2 tantos
bull Sellar la recepcioacuten con fecha y firma de
quien la recibe
bull Revisar y realizar el anaacutelisis de
procedencia de la solicitud (20 diacuteas
haacutebiles)
bull Notificar al titular la resolucioacuten proceda o
no
bull Aplicar resolucioacuten (15 diacuteas haacutebiles)
Nota El Responsible puede si asiacute se requiere y justifica incrementar el
plazo por uacutenica ocasioacuten por los mismos plazos descritos en cada
proceso previa notificacioacuten al titular
46
El titular o su representante legal no se
acrediten debidamente
No se encuentren los datos personales
en su base (s) de datos
Se lesionen derechos de terceros
La rectificacioacuten cancelacioacuten u oposicioacuten
hayan sido solicitadas preaviamente
Exista impedimento legal o resolucioacuten de
las autoridades que restrinja el ejercicio
de estos derechos
El Responsable podraacute negar el ejercicio
de los Derechos ARCO cuando
VIII Proteccioacuten de Derechos
ante el Ifai
47
48
Expresar claramente el
contenido de su
reclamacioacuten
Presentar el
documento que pruebe
la fecha en que
presentoacute la solicitud de
Derechos ARCO
bull Por escrito libre o a traveacutes de los
formatos establecidos por el IFAI
bull Sistema electroacutenico
bull En el domicilio del Instituto u oficina habilitada
bull Por correo certificado con acuse de recibo
El titular o su representante legal presenta su solicitud de proteccioacuten de derechos ante
el IFAI
Estaacute inconforme con la
respuesta
Dentro de los 15 diacuteas siguientes a la fecha en
que se comunique la respuesta
No recibioacute respuesta
Dentro de los 15 diacuteas a partir de que haya vencido el plazo de
respuesta
El TitularPlazos
Podraacute interponerse
IX Sanciones e Infracciones
49
50
El Salario miacutenimo vigente en el DF para 2014 es
Salario Miacutenimo ZonaAacuterea geograacutefica A 6729 pesos diarios
Fuente httpsalariominimocommxsalario-minimo-2014
DSMV DF Diacuteas de Salario Miacutenimo vigente en el Distrito Federal
No dar atencioacuten a las solicitudes ARCO
El apercibimiento para que el
responsable lleve a cabo los actos solicitados por el
titular
Omitir el aviso mantener DP
inexactos negar la existencia de DP con
dolo
Multa de 100 a 160000 VSM DF
De $6230 a $9972800
Incumplir deber de confidencialidad
cambiar la finalidad o realizar transferencias sin dar aviso de ello o vulnerar la seguridad de las bases de datos
Multa de 200 a 320000 VSM DF
De $12466 a $19945600
51
Trataacutendose de datos
personales sensibles
Provocar una vulneracioacuten de
seguridad a las bases de
datos bajo su custodia
3 meses a 3 antildeos
Tratamiento de DP
mediante el engantildeo
aprovechaacutendose del error
del titular o del
responsable
6 meses a 5 antildeos
Penas
anteriores
Delitos llevados
a cabo con
aacutenimo de lucro
Delito Prisioacuten
52
53
Beatriz Vargas
Director Comercial
beatrizvbsconsultingcommx
Tel 6380 5705 Cel 551071 9446
Ricardo Rangel
Director de Proyectos Estraacutetegicos
ricardorbsconsultingcommx
Tel 6380 5705 Cel 554453 4778
wwwBSConsultingcommx
Principio finalidad
28
bull Dan origen y son necesarias
para la relacioacuten juriacutedica
bull Una relacioacuten juriacutedica debe estar
enmarcada por los siguientes
factores
bull Viacutenculo entre los sujetos
bull Dos o mas sujetos
bull Estar regulado por el derecho y
bull Producir consecuencias juriacutedicas
El tratamiento de DP debe ser soacutelo el necesario para cumplir con la
finalidad determinada y legiacutetima que se sentildealoacute en el aviso de privacidad
de manera clara y objetiva
bull Finalidades distintas a las quedieron origen a la relacioacuten juriacutedicao bien aquellas legalmentepermitidas o para las que elresponsable haya obtenido elconsentimientondash Mercadoloacutegicos publicitarias
ndash Promocionales comunicacioacutenprospeccioacuten referencia comercial
ndash Videografacioacuten y toma de fotigrafiacuteas
bull El titular puede oponerse altratamiento de sus datos paraestas finalidades y no seraacute motivopara negar el servicio solicitado
Primarias Secundarias
Principio Consentimientobull Facultad de las personas para decidir sobre el tratamiento de sus DP
el cual taacutecito expreso o expreso y por escrito debe ser libre especiacuteficoinformado e inequiacutevoco
bull Si una ley o reglamento en lo particular exige el consentimiento expreso oexpreso y por escrito para el tratamiento de DP el responsable deberaacutesolicitarlo de esa forma aunque no se trate de datos financierospatrimoniales o sensibles
Nota No es necesario solicitar el consentimiento cuando el tratamiento de los DP sea en cumplimientoa obligaciones derivado de una relacioacuten juriacutedica entre el titular y el Responsable
Tipo de Consentimiento
bull Taacutecito
bull Expreso
bull Expreso y por escrito
Para que tipo de datos se requiere
bull Para cualquier tipo de dato personal con excepcioacuten de los datos patrimoniales financieros y sensibles
bull Para datos financieros y patrimoniales
bull Para datos personales sensibles
29
Principio de Responsabilidad
30
bull Establecer Medidas de Seguridad administrativas fiacutesicas yo
teacutecnicas para la proteccioacuten de los DP mismas que deben ser
documentadas (acciones anaacutelisis de riesgo anaacutelisis de
brecha revisiones o auditoriacuteas capacitacioacuten entre otras)
Algunas medidas baacutesicas pueden ser
1 Elaborar Poliacuteticas de Proteccioacuten de DP al
interior del negocio que incluyan sistemas de
supervisioacuten y vigilancia
2 Brindar capacitacioacuten para la concientizacioacuten de
personal
3 Establecer procedimientos para atender las
dudas o quejas de los titulares
31
iquestQueacute es el Aviso de Privacidad
Es un documento fiacutesico electroacutenico visual sonoro
o en cualquier otro formato generado por el
responsable de manera sencilla con un lenguaje
claro y comprensible de aceurdo al perfil de los
titulares puesto a su disposicioacuten previo al
tratamiento de sus datos personales
Establecer los teacuterminos y condiciones generales del
tratamiento de los datos personales que recaba
El Responsable deberaacute tener el nuacutemero de avisos de
pivacidad que resulte necesario de acuerdo a los
tratamientos que realice a los DP
32
El aviso de privacidad debe estar disponible en alguno de los
siguientes soportes
Fiacutesico (en papel)
Electroacutenico (paacuteginas web correos electroacutenicos etc)
Visual ( pantalla de TV videos etc)
Sonoro (Grabaciones IVR etc)
En otros medios (prensa)
33
No usar frases inexactas ambiguas o vagas como ldquoentre
otrosrdquo ldquocomo por ejemplordquo ldquoDe manera enunciativa maacutes no
limitativardquo
No incluir textos o frases que induzcan al titular de manera
engantildeosa o fraudulenta (ejemplo ldquoLe recomendamos que
nos autorice el uso de su informacioacuten personal sin restriccioacuten
alguna para ser maacutes eficiente nuestro trabajordquo
No remitir al titular a textos o documentos que no esteacuten
disponibes (links disponibles)
No incluir casillas u otros mecanismos similares que esteacuten
marcados previamente que obliguen a los titulares a
desmarcarlos para modificar la condicioacuten previamente
establecida
34
35
Ejemplo AP
36
Modalidades
del Aviso de
Privacidad
Integral
Simplificado
Corto
Cuando los datos se obtengan
personalmente del titular
(entrevista)
Cuando se obtienen de manera
directa (contacto paacuteg web ndash viacutea
telefoacutenica)
Cuando el espacio para dar a
conocer el aviso sea limitado
(correo formatos SMS etc)
Nota De acuerdo al tipo de DP que se recabe se deberaacute solicitar el
consentimiento correspondiente
37
ldquoObligacioacuten de guardar secreto de
los datos persnales que son
tratadosrdquo
El Responsable debe adoptar medidas para
evitar que quienes tengan acceso a eacutestos
divulguen dicha informacioacuten
Se debe cumplir aun una vez que finalice la
relacioacuten contractual o laboral entre el
responsable y quien tenga accesos a los
datos personales para el desarrollo de las
tareas o funciones que se le hubiern
encomendado
38
Establecer Medidas de seguridad administrativas fiacutesicas y teacutecnicas para la
proteger los DP mismas que deben ser documentadas (acciones anaacutelisis de
riesgo anaacutelisis de brecha revisiones o auditoriacuteas capacitacioacuten entre otras)
39
Peacuterdida destruccioacuten robo
extraviacuteo copia uso
acceso tratamiento dantildeo
alteracioacuten o modificacioacuten
NO AUTORIZADO
Si hay vulneracioacuten que impacte los derechos patrimoniales o
morales de los titulares se deberaacuten tomar acciones e informar a
los titulares sin dilacioacuten con el fin de que eacutestos tomen las medidas
pertinentes
VII Derechos ARCO y la
Proteccioacuten de Derechos
40
41
Cada uno de nosotros como titulares de los DP o en su caso nuestro
representante legal podremos ejercer cualquiera de los derechos ARCO ante
las empresas que los tengan en sus bases de datos
42
Mecanismos para que los ciudadanos podamos limitar el
uso de nuestros datos personales para fines comerciales
(liacuteneas telefoacutenicas particulares o moviles asiacute como sus
correos electroacutenicos domicilios y nombres)
Estas pueden ser propios o de organismos como la
PROFECO y la CONDUSEF que ya han creado estas
listas para registro opcional de los ciudadanos
REPEP (Registro Puacuteblico para Evitar Publicidad y
REUNS (Registro Puacuteblico de Usuarios que no desean
informacioacuten publicitaria de Productos y Servicios
Financieros)
Las empresas que realizan actividades de promocioacuten
deberaacuten previamente validar la existencia de los datos de
sus prospectos en estas listas para no incurrir en una
violacioacuten a la privacidad de los mismos
43
La empresa debe designar una persona
o un departamento interno para atender
las solicitudes de los Titulares de los
Datos a traveacutes del Ejercicio de sus
derechos ARCO
El Reglamento yo su encargado definen
su proceso interno medios y
procedimientos para la recepcioacuten
atencioacuten y resolucioacuten de las Solicitudes
de Derechos ARCO
El Ejercicio de los derechos debe ser
gratuito soacutelo en caso de reproduccioacuten o
enviacuteo el titular pagara los costos
correspondientes
44
El Titular Entrega solicitud de Derechos ARCO en
2 tantos que incluyen
bull Identificacioacuten oficial
bull Datos de localizacioacuten para
mantener la comunicacioacuten yo enviar
notificaciones
bull Documentacioacuten que ayude a su aacutegil
localizacioacuten o para demostrar la
correccioacuten o cambio solicitado
Espera 20 diacuteas la resolucioacuten ldquoprocede o
nordquo su solicitud
Espera 15 diacuteas maacutes aplicacioacuten de
resolucioacuten
45
El Departamento yo Encargado
de DP Entregar explicar yo recibir la solicitud de
Derechos ARCO en 2 tantos
bull Sellar la recepcioacuten con fecha y firma de
quien la recibe
bull Revisar y realizar el anaacutelisis de
procedencia de la solicitud (20 diacuteas
haacutebiles)
bull Notificar al titular la resolucioacuten proceda o
no
bull Aplicar resolucioacuten (15 diacuteas haacutebiles)
Nota El Responsible puede si asiacute se requiere y justifica incrementar el
plazo por uacutenica ocasioacuten por los mismos plazos descritos en cada
proceso previa notificacioacuten al titular
46
El titular o su representante legal no se
acrediten debidamente
No se encuentren los datos personales
en su base (s) de datos
Se lesionen derechos de terceros
La rectificacioacuten cancelacioacuten u oposicioacuten
hayan sido solicitadas preaviamente
Exista impedimento legal o resolucioacuten de
las autoridades que restrinja el ejercicio
de estos derechos
El Responsable podraacute negar el ejercicio
de los Derechos ARCO cuando
VIII Proteccioacuten de Derechos
ante el Ifai
47
48
Expresar claramente el
contenido de su
reclamacioacuten
Presentar el
documento que pruebe
la fecha en que
presentoacute la solicitud de
Derechos ARCO
bull Por escrito libre o a traveacutes de los
formatos establecidos por el IFAI
bull Sistema electroacutenico
bull En el domicilio del Instituto u oficina habilitada
bull Por correo certificado con acuse de recibo
El titular o su representante legal presenta su solicitud de proteccioacuten de derechos ante
el IFAI
Estaacute inconforme con la
respuesta
Dentro de los 15 diacuteas siguientes a la fecha en
que se comunique la respuesta
No recibioacute respuesta
Dentro de los 15 diacuteas a partir de que haya vencido el plazo de
respuesta
El TitularPlazos
Podraacute interponerse
IX Sanciones e Infracciones
49
50
El Salario miacutenimo vigente en el DF para 2014 es
Salario Miacutenimo ZonaAacuterea geograacutefica A 6729 pesos diarios
Fuente httpsalariominimocommxsalario-minimo-2014
DSMV DF Diacuteas de Salario Miacutenimo vigente en el Distrito Federal
No dar atencioacuten a las solicitudes ARCO
El apercibimiento para que el
responsable lleve a cabo los actos solicitados por el
titular
Omitir el aviso mantener DP
inexactos negar la existencia de DP con
dolo
Multa de 100 a 160000 VSM DF
De $6230 a $9972800
Incumplir deber de confidencialidad
cambiar la finalidad o realizar transferencias sin dar aviso de ello o vulnerar la seguridad de las bases de datos
Multa de 200 a 320000 VSM DF
De $12466 a $19945600
51
Trataacutendose de datos
personales sensibles
Provocar una vulneracioacuten de
seguridad a las bases de
datos bajo su custodia
3 meses a 3 antildeos
Tratamiento de DP
mediante el engantildeo
aprovechaacutendose del error
del titular o del
responsable
6 meses a 5 antildeos
Penas
anteriores
Delitos llevados
a cabo con
aacutenimo de lucro
Delito Prisioacuten
52
53
Beatriz Vargas
Director Comercial
beatrizvbsconsultingcommx
Tel 6380 5705 Cel 551071 9446
Ricardo Rangel
Director de Proyectos Estraacutetegicos
ricardorbsconsultingcommx
Tel 6380 5705 Cel 554453 4778
wwwBSConsultingcommx
Principio Consentimientobull Facultad de las personas para decidir sobre el tratamiento de sus DP
el cual taacutecito expreso o expreso y por escrito debe ser libre especiacuteficoinformado e inequiacutevoco
bull Si una ley o reglamento en lo particular exige el consentimiento expreso oexpreso y por escrito para el tratamiento de DP el responsable deberaacutesolicitarlo de esa forma aunque no se trate de datos financierospatrimoniales o sensibles
Nota No es necesario solicitar el consentimiento cuando el tratamiento de los DP sea en cumplimientoa obligaciones derivado de una relacioacuten juriacutedica entre el titular y el Responsable
Tipo de Consentimiento
bull Taacutecito
bull Expreso
bull Expreso y por escrito
Para que tipo de datos se requiere
bull Para cualquier tipo de dato personal con excepcioacuten de los datos patrimoniales financieros y sensibles
bull Para datos financieros y patrimoniales
bull Para datos personales sensibles
29
Principio de Responsabilidad
30
bull Establecer Medidas de Seguridad administrativas fiacutesicas yo
teacutecnicas para la proteccioacuten de los DP mismas que deben ser
documentadas (acciones anaacutelisis de riesgo anaacutelisis de
brecha revisiones o auditoriacuteas capacitacioacuten entre otras)
Algunas medidas baacutesicas pueden ser
1 Elaborar Poliacuteticas de Proteccioacuten de DP al
interior del negocio que incluyan sistemas de
supervisioacuten y vigilancia
2 Brindar capacitacioacuten para la concientizacioacuten de
personal
3 Establecer procedimientos para atender las
dudas o quejas de los titulares
31
iquestQueacute es el Aviso de Privacidad
Es un documento fiacutesico electroacutenico visual sonoro
o en cualquier otro formato generado por el
responsable de manera sencilla con un lenguaje
claro y comprensible de aceurdo al perfil de los
titulares puesto a su disposicioacuten previo al
tratamiento de sus datos personales
Establecer los teacuterminos y condiciones generales del
tratamiento de los datos personales que recaba
El Responsable deberaacute tener el nuacutemero de avisos de
pivacidad que resulte necesario de acuerdo a los
tratamientos que realice a los DP
32
El aviso de privacidad debe estar disponible en alguno de los
siguientes soportes
Fiacutesico (en papel)
Electroacutenico (paacuteginas web correos electroacutenicos etc)
Visual ( pantalla de TV videos etc)
Sonoro (Grabaciones IVR etc)
En otros medios (prensa)
33
No usar frases inexactas ambiguas o vagas como ldquoentre
otrosrdquo ldquocomo por ejemplordquo ldquoDe manera enunciativa maacutes no
limitativardquo
No incluir textos o frases que induzcan al titular de manera
engantildeosa o fraudulenta (ejemplo ldquoLe recomendamos que
nos autorice el uso de su informacioacuten personal sin restriccioacuten
alguna para ser maacutes eficiente nuestro trabajordquo
No remitir al titular a textos o documentos que no esteacuten
disponibes (links disponibles)
No incluir casillas u otros mecanismos similares que esteacuten
marcados previamente que obliguen a los titulares a
desmarcarlos para modificar la condicioacuten previamente
establecida
34
35
Ejemplo AP
36
Modalidades
del Aviso de
Privacidad
Integral
Simplificado
Corto
Cuando los datos se obtengan
personalmente del titular
(entrevista)
Cuando se obtienen de manera
directa (contacto paacuteg web ndash viacutea
telefoacutenica)
Cuando el espacio para dar a
conocer el aviso sea limitado
(correo formatos SMS etc)
Nota De acuerdo al tipo de DP que se recabe se deberaacute solicitar el
consentimiento correspondiente
37
ldquoObligacioacuten de guardar secreto de
los datos persnales que son
tratadosrdquo
El Responsable debe adoptar medidas para
evitar que quienes tengan acceso a eacutestos
divulguen dicha informacioacuten
Se debe cumplir aun una vez que finalice la
relacioacuten contractual o laboral entre el
responsable y quien tenga accesos a los
datos personales para el desarrollo de las
tareas o funciones que se le hubiern
encomendado
38
Establecer Medidas de seguridad administrativas fiacutesicas y teacutecnicas para la
proteger los DP mismas que deben ser documentadas (acciones anaacutelisis de
riesgo anaacutelisis de brecha revisiones o auditoriacuteas capacitacioacuten entre otras)
39
Peacuterdida destruccioacuten robo
extraviacuteo copia uso
acceso tratamiento dantildeo
alteracioacuten o modificacioacuten
NO AUTORIZADO
Si hay vulneracioacuten que impacte los derechos patrimoniales o
morales de los titulares se deberaacuten tomar acciones e informar a
los titulares sin dilacioacuten con el fin de que eacutestos tomen las medidas
pertinentes
VII Derechos ARCO y la
Proteccioacuten de Derechos
40
41
Cada uno de nosotros como titulares de los DP o en su caso nuestro
representante legal podremos ejercer cualquiera de los derechos ARCO ante
las empresas que los tengan en sus bases de datos
42
Mecanismos para que los ciudadanos podamos limitar el
uso de nuestros datos personales para fines comerciales
(liacuteneas telefoacutenicas particulares o moviles asiacute como sus
correos electroacutenicos domicilios y nombres)
Estas pueden ser propios o de organismos como la
PROFECO y la CONDUSEF que ya han creado estas
listas para registro opcional de los ciudadanos
REPEP (Registro Puacuteblico para Evitar Publicidad y
REUNS (Registro Puacuteblico de Usuarios que no desean
informacioacuten publicitaria de Productos y Servicios
Financieros)
Las empresas que realizan actividades de promocioacuten
deberaacuten previamente validar la existencia de los datos de
sus prospectos en estas listas para no incurrir en una
violacioacuten a la privacidad de los mismos
43
La empresa debe designar una persona
o un departamento interno para atender
las solicitudes de los Titulares de los
Datos a traveacutes del Ejercicio de sus
derechos ARCO
El Reglamento yo su encargado definen
su proceso interno medios y
procedimientos para la recepcioacuten
atencioacuten y resolucioacuten de las Solicitudes
de Derechos ARCO
El Ejercicio de los derechos debe ser
gratuito soacutelo en caso de reproduccioacuten o
enviacuteo el titular pagara los costos
correspondientes
44
El Titular Entrega solicitud de Derechos ARCO en
2 tantos que incluyen
bull Identificacioacuten oficial
bull Datos de localizacioacuten para
mantener la comunicacioacuten yo enviar
notificaciones
bull Documentacioacuten que ayude a su aacutegil
localizacioacuten o para demostrar la
correccioacuten o cambio solicitado
Espera 20 diacuteas la resolucioacuten ldquoprocede o
nordquo su solicitud
Espera 15 diacuteas maacutes aplicacioacuten de
resolucioacuten
45
El Departamento yo Encargado
de DP Entregar explicar yo recibir la solicitud de
Derechos ARCO en 2 tantos
bull Sellar la recepcioacuten con fecha y firma de
quien la recibe
bull Revisar y realizar el anaacutelisis de
procedencia de la solicitud (20 diacuteas
haacutebiles)
bull Notificar al titular la resolucioacuten proceda o
no
bull Aplicar resolucioacuten (15 diacuteas haacutebiles)
Nota El Responsible puede si asiacute se requiere y justifica incrementar el
plazo por uacutenica ocasioacuten por los mismos plazos descritos en cada
proceso previa notificacioacuten al titular
46
El titular o su representante legal no se
acrediten debidamente
No se encuentren los datos personales
en su base (s) de datos
Se lesionen derechos de terceros
La rectificacioacuten cancelacioacuten u oposicioacuten
hayan sido solicitadas preaviamente
Exista impedimento legal o resolucioacuten de
las autoridades que restrinja el ejercicio
de estos derechos
El Responsable podraacute negar el ejercicio
de los Derechos ARCO cuando
VIII Proteccioacuten de Derechos
ante el Ifai
47
48
Expresar claramente el
contenido de su
reclamacioacuten
Presentar el
documento que pruebe
la fecha en que
presentoacute la solicitud de
Derechos ARCO
bull Por escrito libre o a traveacutes de los
formatos establecidos por el IFAI
bull Sistema electroacutenico
bull En el domicilio del Instituto u oficina habilitada
bull Por correo certificado con acuse de recibo
El titular o su representante legal presenta su solicitud de proteccioacuten de derechos ante
el IFAI
Estaacute inconforme con la
respuesta
Dentro de los 15 diacuteas siguientes a la fecha en
que se comunique la respuesta
No recibioacute respuesta
Dentro de los 15 diacuteas a partir de que haya vencido el plazo de
respuesta
El TitularPlazos
Podraacute interponerse
IX Sanciones e Infracciones
49
50
El Salario miacutenimo vigente en el DF para 2014 es
Salario Miacutenimo ZonaAacuterea geograacutefica A 6729 pesos diarios
Fuente httpsalariominimocommxsalario-minimo-2014
DSMV DF Diacuteas de Salario Miacutenimo vigente en el Distrito Federal
No dar atencioacuten a las solicitudes ARCO
El apercibimiento para que el
responsable lleve a cabo los actos solicitados por el
titular
Omitir el aviso mantener DP
inexactos negar la existencia de DP con
dolo
Multa de 100 a 160000 VSM DF
De $6230 a $9972800
Incumplir deber de confidencialidad
cambiar la finalidad o realizar transferencias sin dar aviso de ello o vulnerar la seguridad de las bases de datos
Multa de 200 a 320000 VSM DF
De $12466 a $19945600
51
Trataacutendose de datos
personales sensibles
Provocar una vulneracioacuten de
seguridad a las bases de
datos bajo su custodia
3 meses a 3 antildeos
Tratamiento de DP
mediante el engantildeo
aprovechaacutendose del error
del titular o del
responsable
6 meses a 5 antildeos
Penas
anteriores
Delitos llevados
a cabo con
aacutenimo de lucro
Delito Prisioacuten
52
53
Beatriz Vargas
Director Comercial
beatrizvbsconsultingcommx
Tel 6380 5705 Cel 551071 9446
Ricardo Rangel
Director de Proyectos Estraacutetegicos
ricardorbsconsultingcommx
Tel 6380 5705 Cel 554453 4778
wwwBSConsultingcommx
Principio de Responsabilidad
30
bull Establecer Medidas de Seguridad administrativas fiacutesicas yo
teacutecnicas para la proteccioacuten de los DP mismas que deben ser
documentadas (acciones anaacutelisis de riesgo anaacutelisis de
brecha revisiones o auditoriacuteas capacitacioacuten entre otras)
Algunas medidas baacutesicas pueden ser
1 Elaborar Poliacuteticas de Proteccioacuten de DP al
interior del negocio que incluyan sistemas de
supervisioacuten y vigilancia
2 Brindar capacitacioacuten para la concientizacioacuten de
personal
3 Establecer procedimientos para atender las
dudas o quejas de los titulares
31
iquestQueacute es el Aviso de Privacidad
Es un documento fiacutesico electroacutenico visual sonoro
o en cualquier otro formato generado por el
responsable de manera sencilla con un lenguaje
claro y comprensible de aceurdo al perfil de los
titulares puesto a su disposicioacuten previo al
tratamiento de sus datos personales
Establecer los teacuterminos y condiciones generales del
tratamiento de los datos personales que recaba
El Responsable deberaacute tener el nuacutemero de avisos de
pivacidad que resulte necesario de acuerdo a los
tratamientos que realice a los DP
32
El aviso de privacidad debe estar disponible en alguno de los
siguientes soportes
Fiacutesico (en papel)
Electroacutenico (paacuteginas web correos electroacutenicos etc)
Visual ( pantalla de TV videos etc)
Sonoro (Grabaciones IVR etc)
En otros medios (prensa)
33
No usar frases inexactas ambiguas o vagas como ldquoentre
otrosrdquo ldquocomo por ejemplordquo ldquoDe manera enunciativa maacutes no
limitativardquo
No incluir textos o frases que induzcan al titular de manera
engantildeosa o fraudulenta (ejemplo ldquoLe recomendamos que
nos autorice el uso de su informacioacuten personal sin restriccioacuten
alguna para ser maacutes eficiente nuestro trabajordquo
No remitir al titular a textos o documentos que no esteacuten
disponibes (links disponibles)
No incluir casillas u otros mecanismos similares que esteacuten
marcados previamente que obliguen a los titulares a
desmarcarlos para modificar la condicioacuten previamente
establecida
34
35
Ejemplo AP
36
Modalidades
del Aviso de
Privacidad
Integral
Simplificado
Corto
Cuando los datos se obtengan
personalmente del titular
(entrevista)
Cuando se obtienen de manera
directa (contacto paacuteg web ndash viacutea
telefoacutenica)
Cuando el espacio para dar a
conocer el aviso sea limitado
(correo formatos SMS etc)
Nota De acuerdo al tipo de DP que se recabe se deberaacute solicitar el
consentimiento correspondiente
37
ldquoObligacioacuten de guardar secreto de
los datos persnales que son
tratadosrdquo
El Responsable debe adoptar medidas para
evitar que quienes tengan acceso a eacutestos
divulguen dicha informacioacuten
Se debe cumplir aun una vez que finalice la
relacioacuten contractual o laboral entre el
responsable y quien tenga accesos a los
datos personales para el desarrollo de las
tareas o funciones que se le hubiern
encomendado
38
Establecer Medidas de seguridad administrativas fiacutesicas y teacutecnicas para la
proteger los DP mismas que deben ser documentadas (acciones anaacutelisis de
riesgo anaacutelisis de brecha revisiones o auditoriacuteas capacitacioacuten entre otras)
39
Peacuterdida destruccioacuten robo
extraviacuteo copia uso
acceso tratamiento dantildeo
alteracioacuten o modificacioacuten
NO AUTORIZADO
Si hay vulneracioacuten que impacte los derechos patrimoniales o
morales de los titulares se deberaacuten tomar acciones e informar a
los titulares sin dilacioacuten con el fin de que eacutestos tomen las medidas
pertinentes
VII Derechos ARCO y la
Proteccioacuten de Derechos
40
41
Cada uno de nosotros como titulares de los DP o en su caso nuestro
representante legal podremos ejercer cualquiera de los derechos ARCO ante
las empresas que los tengan en sus bases de datos
42
Mecanismos para que los ciudadanos podamos limitar el
uso de nuestros datos personales para fines comerciales
(liacuteneas telefoacutenicas particulares o moviles asiacute como sus
correos electroacutenicos domicilios y nombres)
Estas pueden ser propios o de organismos como la
PROFECO y la CONDUSEF que ya han creado estas
listas para registro opcional de los ciudadanos
REPEP (Registro Puacuteblico para Evitar Publicidad y
REUNS (Registro Puacuteblico de Usuarios que no desean
informacioacuten publicitaria de Productos y Servicios
Financieros)
Las empresas que realizan actividades de promocioacuten
deberaacuten previamente validar la existencia de los datos de
sus prospectos en estas listas para no incurrir en una
violacioacuten a la privacidad de los mismos
43
La empresa debe designar una persona
o un departamento interno para atender
las solicitudes de los Titulares de los
Datos a traveacutes del Ejercicio de sus
derechos ARCO
El Reglamento yo su encargado definen
su proceso interno medios y
procedimientos para la recepcioacuten
atencioacuten y resolucioacuten de las Solicitudes
de Derechos ARCO
El Ejercicio de los derechos debe ser
gratuito soacutelo en caso de reproduccioacuten o
enviacuteo el titular pagara los costos
correspondientes
44
El Titular Entrega solicitud de Derechos ARCO en
2 tantos que incluyen
bull Identificacioacuten oficial
bull Datos de localizacioacuten para
mantener la comunicacioacuten yo enviar
notificaciones
bull Documentacioacuten que ayude a su aacutegil
localizacioacuten o para demostrar la
correccioacuten o cambio solicitado
Espera 20 diacuteas la resolucioacuten ldquoprocede o
nordquo su solicitud
Espera 15 diacuteas maacutes aplicacioacuten de
resolucioacuten
45
El Departamento yo Encargado
de DP Entregar explicar yo recibir la solicitud de
Derechos ARCO en 2 tantos
bull Sellar la recepcioacuten con fecha y firma de
quien la recibe
bull Revisar y realizar el anaacutelisis de
procedencia de la solicitud (20 diacuteas
haacutebiles)
bull Notificar al titular la resolucioacuten proceda o
no
bull Aplicar resolucioacuten (15 diacuteas haacutebiles)
Nota El Responsible puede si asiacute se requiere y justifica incrementar el
plazo por uacutenica ocasioacuten por los mismos plazos descritos en cada
proceso previa notificacioacuten al titular
46
El titular o su representante legal no se
acrediten debidamente
No se encuentren los datos personales
en su base (s) de datos
Se lesionen derechos de terceros
La rectificacioacuten cancelacioacuten u oposicioacuten
hayan sido solicitadas preaviamente
Exista impedimento legal o resolucioacuten de
las autoridades que restrinja el ejercicio
de estos derechos
El Responsable podraacute negar el ejercicio
de los Derechos ARCO cuando
VIII Proteccioacuten de Derechos
ante el Ifai
47
48
Expresar claramente el
contenido de su
reclamacioacuten
Presentar el
documento que pruebe
la fecha en que
presentoacute la solicitud de
Derechos ARCO
bull Por escrito libre o a traveacutes de los
formatos establecidos por el IFAI
bull Sistema electroacutenico
bull En el domicilio del Instituto u oficina habilitada
bull Por correo certificado con acuse de recibo
El titular o su representante legal presenta su solicitud de proteccioacuten de derechos ante
el IFAI
Estaacute inconforme con la
respuesta
Dentro de los 15 diacuteas siguientes a la fecha en
que se comunique la respuesta
No recibioacute respuesta
Dentro de los 15 diacuteas a partir de que haya vencido el plazo de
respuesta
El TitularPlazos
Podraacute interponerse
IX Sanciones e Infracciones
49
50
El Salario miacutenimo vigente en el DF para 2014 es
Salario Miacutenimo ZonaAacuterea geograacutefica A 6729 pesos diarios
Fuente httpsalariominimocommxsalario-minimo-2014
DSMV DF Diacuteas de Salario Miacutenimo vigente en el Distrito Federal
No dar atencioacuten a las solicitudes ARCO
El apercibimiento para que el
responsable lleve a cabo los actos solicitados por el
titular
Omitir el aviso mantener DP
inexactos negar la existencia de DP con
dolo
Multa de 100 a 160000 VSM DF
De $6230 a $9972800
Incumplir deber de confidencialidad
cambiar la finalidad o realizar transferencias sin dar aviso de ello o vulnerar la seguridad de las bases de datos
Multa de 200 a 320000 VSM DF
De $12466 a $19945600
51
Trataacutendose de datos
personales sensibles
Provocar una vulneracioacuten de
seguridad a las bases de
datos bajo su custodia
3 meses a 3 antildeos
Tratamiento de DP
mediante el engantildeo
aprovechaacutendose del error
del titular o del
responsable
6 meses a 5 antildeos
Penas
anteriores
Delitos llevados
a cabo con
aacutenimo de lucro
Delito Prisioacuten
52
53
Beatriz Vargas
Director Comercial
beatrizvbsconsultingcommx
Tel 6380 5705 Cel 551071 9446
Ricardo Rangel
Director de Proyectos Estraacutetegicos
ricardorbsconsultingcommx
Tel 6380 5705 Cel 554453 4778
wwwBSConsultingcommx
31
iquestQueacute es el Aviso de Privacidad
Es un documento fiacutesico electroacutenico visual sonoro
o en cualquier otro formato generado por el
responsable de manera sencilla con un lenguaje
claro y comprensible de aceurdo al perfil de los
titulares puesto a su disposicioacuten previo al
tratamiento de sus datos personales
Establecer los teacuterminos y condiciones generales del
tratamiento de los datos personales que recaba
El Responsable deberaacute tener el nuacutemero de avisos de
pivacidad que resulte necesario de acuerdo a los
tratamientos que realice a los DP
32
El aviso de privacidad debe estar disponible en alguno de los
siguientes soportes
Fiacutesico (en papel)
Electroacutenico (paacuteginas web correos electroacutenicos etc)
Visual ( pantalla de TV videos etc)
Sonoro (Grabaciones IVR etc)
En otros medios (prensa)
33
No usar frases inexactas ambiguas o vagas como ldquoentre
otrosrdquo ldquocomo por ejemplordquo ldquoDe manera enunciativa maacutes no
limitativardquo
No incluir textos o frases que induzcan al titular de manera
engantildeosa o fraudulenta (ejemplo ldquoLe recomendamos que
nos autorice el uso de su informacioacuten personal sin restriccioacuten
alguna para ser maacutes eficiente nuestro trabajordquo
No remitir al titular a textos o documentos que no esteacuten
disponibes (links disponibles)
No incluir casillas u otros mecanismos similares que esteacuten
marcados previamente que obliguen a los titulares a
desmarcarlos para modificar la condicioacuten previamente
establecida
34
35
Ejemplo AP
36
Modalidades
del Aviso de
Privacidad
Integral
Simplificado
Corto
Cuando los datos se obtengan
personalmente del titular
(entrevista)
Cuando se obtienen de manera
directa (contacto paacuteg web ndash viacutea
telefoacutenica)
Cuando el espacio para dar a
conocer el aviso sea limitado
(correo formatos SMS etc)
Nota De acuerdo al tipo de DP que se recabe se deberaacute solicitar el
consentimiento correspondiente
37
ldquoObligacioacuten de guardar secreto de
los datos persnales que son
tratadosrdquo
El Responsable debe adoptar medidas para
evitar que quienes tengan acceso a eacutestos
divulguen dicha informacioacuten
Se debe cumplir aun una vez que finalice la
relacioacuten contractual o laboral entre el
responsable y quien tenga accesos a los
datos personales para el desarrollo de las
tareas o funciones que se le hubiern
encomendado
38
Establecer Medidas de seguridad administrativas fiacutesicas y teacutecnicas para la
proteger los DP mismas que deben ser documentadas (acciones anaacutelisis de
riesgo anaacutelisis de brecha revisiones o auditoriacuteas capacitacioacuten entre otras)
39
Peacuterdida destruccioacuten robo
extraviacuteo copia uso
acceso tratamiento dantildeo
alteracioacuten o modificacioacuten
NO AUTORIZADO
Si hay vulneracioacuten que impacte los derechos patrimoniales o
morales de los titulares se deberaacuten tomar acciones e informar a
los titulares sin dilacioacuten con el fin de que eacutestos tomen las medidas
pertinentes
VII Derechos ARCO y la
Proteccioacuten de Derechos
40
41
Cada uno de nosotros como titulares de los DP o en su caso nuestro
representante legal podremos ejercer cualquiera de los derechos ARCO ante
las empresas que los tengan en sus bases de datos
42
Mecanismos para que los ciudadanos podamos limitar el
uso de nuestros datos personales para fines comerciales
(liacuteneas telefoacutenicas particulares o moviles asiacute como sus
correos electroacutenicos domicilios y nombres)
Estas pueden ser propios o de organismos como la
PROFECO y la CONDUSEF que ya han creado estas
listas para registro opcional de los ciudadanos
REPEP (Registro Puacuteblico para Evitar Publicidad y
REUNS (Registro Puacuteblico de Usuarios que no desean
informacioacuten publicitaria de Productos y Servicios
Financieros)
Las empresas que realizan actividades de promocioacuten
deberaacuten previamente validar la existencia de los datos de
sus prospectos en estas listas para no incurrir en una
violacioacuten a la privacidad de los mismos
43
La empresa debe designar una persona
o un departamento interno para atender
las solicitudes de los Titulares de los
Datos a traveacutes del Ejercicio de sus
derechos ARCO
El Reglamento yo su encargado definen
su proceso interno medios y
procedimientos para la recepcioacuten
atencioacuten y resolucioacuten de las Solicitudes
de Derechos ARCO
El Ejercicio de los derechos debe ser
gratuito soacutelo en caso de reproduccioacuten o
enviacuteo el titular pagara los costos
correspondientes
44
El Titular Entrega solicitud de Derechos ARCO en
2 tantos que incluyen
bull Identificacioacuten oficial
bull Datos de localizacioacuten para
mantener la comunicacioacuten yo enviar
notificaciones
bull Documentacioacuten que ayude a su aacutegil
localizacioacuten o para demostrar la
correccioacuten o cambio solicitado
Espera 20 diacuteas la resolucioacuten ldquoprocede o
nordquo su solicitud
Espera 15 diacuteas maacutes aplicacioacuten de
resolucioacuten
45
El Departamento yo Encargado
de DP Entregar explicar yo recibir la solicitud de
Derechos ARCO en 2 tantos
bull Sellar la recepcioacuten con fecha y firma de
quien la recibe
bull Revisar y realizar el anaacutelisis de
procedencia de la solicitud (20 diacuteas
haacutebiles)
bull Notificar al titular la resolucioacuten proceda o
no
bull Aplicar resolucioacuten (15 diacuteas haacutebiles)
Nota El Responsible puede si asiacute se requiere y justifica incrementar el
plazo por uacutenica ocasioacuten por los mismos plazos descritos en cada
proceso previa notificacioacuten al titular
46
El titular o su representante legal no se
acrediten debidamente
No se encuentren los datos personales
en su base (s) de datos
Se lesionen derechos de terceros
La rectificacioacuten cancelacioacuten u oposicioacuten
hayan sido solicitadas preaviamente
Exista impedimento legal o resolucioacuten de
las autoridades que restrinja el ejercicio
de estos derechos
El Responsable podraacute negar el ejercicio
de los Derechos ARCO cuando
VIII Proteccioacuten de Derechos
ante el Ifai
47
48
Expresar claramente el
contenido de su
reclamacioacuten
Presentar el
documento que pruebe
la fecha en que
presentoacute la solicitud de
Derechos ARCO
bull Por escrito libre o a traveacutes de los
formatos establecidos por el IFAI
bull Sistema electroacutenico
bull En el domicilio del Instituto u oficina habilitada
bull Por correo certificado con acuse de recibo
El titular o su representante legal presenta su solicitud de proteccioacuten de derechos ante
el IFAI
Estaacute inconforme con la
respuesta
Dentro de los 15 diacuteas siguientes a la fecha en
que se comunique la respuesta
No recibioacute respuesta
Dentro de los 15 diacuteas a partir de que haya vencido el plazo de
respuesta
El TitularPlazos
Podraacute interponerse
IX Sanciones e Infracciones
49
50
El Salario miacutenimo vigente en el DF para 2014 es
Salario Miacutenimo ZonaAacuterea geograacutefica A 6729 pesos diarios
Fuente httpsalariominimocommxsalario-minimo-2014
DSMV DF Diacuteas de Salario Miacutenimo vigente en el Distrito Federal
No dar atencioacuten a las solicitudes ARCO
El apercibimiento para que el
responsable lleve a cabo los actos solicitados por el
titular
Omitir el aviso mantener DP
inexactos negar la existencia de DP con
dolo
Multa de 100 a 160000 VSM DF
De $6230 a $9972800
Incumplir deber de confidencialidad
cambiar la finalidad o realizar transferencias sin dar aviso de ello o vulnerar la seguridad de las bases de datos
Multa de 200 a 320000 VSM DF
De $12466 a $19945600
51
Trataacutendose de datos
personales sensibles
Provocar una vulneracioacuten de
seguridad a las bases de
datos bajo su custodia
3 meses a 3 antildeos
Tratamiento de DP
mediante el engantildeo
aprovechaacutendose del error
del titular o del
responsable
6 meses a 5 antildeos
Penas
anteriores
Delitos llevados
a cabo con
aacutenimo de lucro
Delito Prisioacuten
52
53
Beatriz Vargas
Director Comercial
beatrizvbsconsultingcommx
Tel 6380 5705 Cel 551071 9446
Ricardo Rangel
Director de Proyectos Estraacutetegicos
ricardorbsconsultingcommx
Tel 6380 5705 Cel 554453 4778
wwwBSConsultingcommx
32
El aviso de privacidad debe estar disponible en alguno de los
siguientes soportes
Fiacutesico (en papel)
Electroacutenico (paacuteginas web correos electroacutenicos etc)
Visual ( pantalla de TV videos etc)
Sonoro (Grabaciones IVR etc)
En otros medios (prensa)
33
No usar frases inexactas ambiguas o vagas como ldquoentre
otrosrdquo ldquocomo por ejemplordquo ldquoDe manera enunciativa maacutes no
limitativardquo
No incluir textos o frases que induzcan al titular de manera
engantildeosa o fraudulenta (ejemplo ldquoLe recomendamos que
nos autorice el uso de su informacioacuten personal sin restriccioacuten
alguna para ser maacutes eficiente nuestro trabajordquo
No remitir al titular a textos o documentos que no esteacuten
disponibes (links disponibles)
No incluir casillas u otros mecanismos similares que esteacuten
marcados previamente que obliguen a los titulares a
desmarcarlos para modificar la condicioacuten previamente
establecida
34
35
Ejemplo AP
36
Modalidades
del Aviso de
Privacidad
Integral
Simplificado
Corto
Cuando los datos se obtengan
personalmente del titular
(entrevista)
Cuando se obtienen de manera
directa (contacto paacuteg web ndash viacutea
telefoacutenica)
Cuando el espacio para dar a
conocer el aviso sea limitado
(correo formatos SMS etc)
Nota De acuerdo al tipo de DP que se recabe se deberaacute solicitar el
consentimiento correspondiente
37
ldquoObligacioacuten de guardar secreto de
los datos persnales que son
tratadosrdquo
El Responsable debe adoptar medidas para
evitar que quienes tengan acceso a eacutestos
divulguen dicha informacioacuten
Se debe cumplir aun una vez que finalice la
relacioacuten contractual o laboral entre el
responsable y quien tenga accesos a los
datos personales para el desarrollo de las
tareas o funciones que se le hubiern
encomendado
38
Establecer Medidas de seguridad administrativas fiacutesicas y teacutecnicas para la
proteger los DP mismas que deben ser documentadas (acciones anaacutelisis de
riesgo anaacutelisis de brecha revisiones o auditoriacuteas capacitacioacuten entre otras)
39
Peacuterdida destruccioacuten robo
extraviacuteo copia uso
acceso tratamiento dantildeo
alteracioacuten o modificacioacuten
NO AUTORIZADO
Si hay vulneracioacuten que impacte los derechos patrimoniales o
morales de los titulares se deberaacuten tomar acciones e informar a
los titulares sin dilacioacuten con el fin de que eacutestos tomen las medidas
pertinentes
VII Derechos ARCO y la
Proteccioacuten de Derechos
40
41
Cada uno de nosotros como titulares de los DP o en su caso nuestro
representante legal podremos ejercer cualquiera de los derechos ARCO ante
las empresas que los tengan en sus bases de datos
42
Mecanismos para que los ciudadanos podamos limitar el
uso de nuestros datos personales para fines comerciales
(liacuteneas telefoacutenicas particulares o moviles asiacute como sus
correos electroacutenicos domicilios y nombres)
Estas pueden ser propios o de organismos como la
PROFECO y la CONDUSEF que ya han creado estas
listas para registro opcional de los ciudadanos
REPEP (Registro Puacuteblico para Evitar Publicidad y
REUNS (Registro Puacuteblico de Usuarios que no desean
informacioacuten publicitaria de Productos y Servicios
Financieros)
Las empresas que realizan actividades de promocioacuten
deberaacuten previamente validar la existencia de los datos de
sus prospectos en estas listas para no incurrir en una
violacioacuten a la privacidad de los mismos
43
La empresa debe designar una persona
o un departamento interno para atender
las solicitudes de los Titulares de los
Datos a traveacutes del Ejercicio de sus
derechos ARCO
El Reglamento yo su encargado definen
su proceso interno medios y
procedimientos para la recepcioacuten
atencioacuten y resolucioacuten de las Solicitudes
de Derechos ARCO
El Ejercicio de los derechos debe ser
gratuito soacutelo en caso de reproduccioacuten o
enviacuteo el titular pagara los costos
correspondientes
44
El Titular Entrega solicitud de Derechos ARCO en
2 tantos que incluyen
bull Identificacioacuten oficial
bull Datos de localizacioacuten para
mantener la comunicacioacuten yo enviar
notificaciones
bull Documentacioacuten que ayude a su aacutegil
localizacioacuten o para demostrar la
correccioacuten o cambio solicitado
Espera 20 diacuteas la resolucioacuten ldquoprocede o
nordquo su solicitud
Espera 15 diacuteas maacutes aplicacioacuten de
resolucioacuten
45
El Departamento yo Encargado
de DP Entregar explicar yo recibir la solicitud de
Derechos ARCO en 2 tantos
bull Sellar la recepcioacuten con fecha y firma de
quien la recibe
bull Revisar y realizar el anaacutelisis de
procedencia de la solicitud (20 diacuteas
haacutebiles)
bull Notificar al titular la resolucioacuten proceda o
no
bull Aplicar resolucioacuten (15 diacuteas haacutebiles)
Nota El Responsible puede si asiacute se requiere y justifica incrementar el
plazo por uacutenica ocasioacuten por los mismos plazos descritos en cada
proceso previa notificacioacuten al titular
46
El titular o su representante legal no se
acrediten debidamente
No se encuentren los datos personales
en su base (s) de datos
Se lesionen derechos de terceros
La rectificacioacuten cancelacioacuten u oposicioacuten
hayan sido solicitadas preaviamente
Exista impedimento legal o resolucioacuten de
las autoridades que restrinja el ejercicio
de estos derechos
El Responsable podraacute negar el ejercicio
de los Derechos ARCO cuando
VIII Proteccioacuten de Derechos
ante el Ifai
47
48
Expresar claramente el
contenido de su
reclamacioacuten
Presentar el
documento que pruebe
la fecha en que
presentoacute la solicitud de
Derechos ARCO
bull Por escrito libre o a traveacutes de los
formatos establecidos por el IFAI
bull Sistema electroacutenico
bull En el domicilio del Instituto u oficina habilitada
bull Por correo certificado con acuse de recibo
El titular o su representante legal presenta su solicitud de proteccioacuten de derechos ante
el IFAI
Estaacute inconforme con la
respuesta
Dentro de los 15 diacuteas siguientes a la fecha en
que se comunique la respuesta
No recibioacute respuesta
Dentro de los 15 diacuteas a partir de que haya vencido el plazo de
respuesta
El TitularPlazos
Podraacute interponerse
IX Sanciones e Infracciones
49
50
El Salario miacutenimo vigente en el DF para 2014 es
Salario Miacutenimo ZonaAacuterea geograacutefica A 6729 pesos diarios
Fuente httpsalariominimocommxsalario-minimo-2014
DSMV DF Diacuteas de Salario Miacutenimo vigente en el Distrito Federal
No dar atencioacuten a las solicitudes ARCO
El apercibimiento para que el
responsable lleve a cabo los actos solicitados por el
titular
Omitir el aviso mantener DP
inexactos negar la existencia de DP con
dolo
Multa de 100 a 160000 VSM DF
De $6230 a $9972800
Incumplir deber de confidencialidad
cambiar la finalidad o realizar transferencias sin dar aviso de ello o vulnerar la seguridad de las bases de datos
Multa de 200 a 320000 VSM DF
De $12466 a $19945600
51
Trataacutendose de datos
personales sensibles
Provocar una vulneracioacuten de
seguridad a las bases de
datos bajo su custodia
3 meses a 3 antildeos
Tratamiento de DP
mediante el engantildeo
aprovechaacutendose del error
del titular o del
responsable
6 meses a 5 antildeos
Penas
anteriores
Delitos llevados
a cabo con
aacutenimo de lucro
Delito Prisioacuten
52
53
Beatriz Vargas
Director Comercial
beatrizvbsconsultingcommx
Tel 6380 5705 Cel 551071 9446
Ricardo Rangel
Director de Proyectos Estraacutetegicos
ricardorbsconsultingcommx
Tel 6380 5705 Cel 554453 4778
wwwBSConsultingcommx
33
No usar frases inexactas ambiguas o vagas como ldquoentre
otrosrdquo ldquocomo por ejemplordquo ldquoDe manera enunciativa maacutes no
limitativardquo
No incluir textos o frases que induzcan al titular de manera
engantildeosa o fraudulenta (ejemplo ldquoLe recomendamos que
nos autorice el uso de su informacioacuten personal sin restriccioacuten
alguna para ser maacutes eficiente nuestro trabajordquo
No remitir al titular a textos o documentos que no esteacuten
disponibes (links disponibles)
No incluir casillas u otros mecanismos similares que esteacuten
marcados previamente que obliguen a los titulares a
desmarcarlos para modificar la condicioacuten previamente
establecida
34
35
Ejemplo AP
36
Modalidades
del Aviso de
Privacidad
Integral
Simplificado
Corto
Cuando los datos se obtengan
personalmente del titular
(entrevista)
Cuando se obtienen de manera
directa (contacto paacuteg web ndash viacutea
telefoacutenica)
Cuando el espacio para dar a
conocer el aviso sea limitado
(correo formatos SMS etc)
Nota De acuerdo al tipo de DP que se recabe se deberaacute solicitar el
consentimiento correspondiente
37
ldquoObligacioacuten de guardar secreto de
los datos persnales que son
tratadosrdquo
El Responsable debe adoptar medidas para
evitar que quienes tengan acceso a eacutestos
divulguen dicha informacioacuten
Se debe cumplir aun una vez que finalice la
relacioacuten contractual o laboral entre el
responsable y quien tenga accesos a los
datos personales para el desarrollo de las
tareas o funciones que se le hubiern
encomendado
38
Establecer Medidas de seguridad administrativas fiacutesicas y teacutecnicas para la
proteger los DP mismas que deben ser documentadas (acciones anaacutelisis de
riesgo anaacutelisis de brecha revisiones o auditoriacuteas capacitacioacuten entre otras)
39
Peacuterdida destruccioacuten robo
extraviacuteo copia uso
acceso tratamiento dantildeo
alteracioacuten o modificacioacuten
NO AUTORIZADO
Si hay vulneracioacuten que impacte los derechos patrimoniales o
morales de los titulares se deberaacuten tomar acciones e informar a
los titulares sin dilacioacuten con el fin de que eacutestos tomen las medidas
pertinentes
VII Derechos ARCO y la
Proteccioacuten de Derechos
40
41
Cada uno de nosotros como titulares de los DP o en su caso nuestro
representante legal podremos ejercer cualquiera de los derechos ARCO ante
las empresas que los tengan en sus bases de datos
42
Mecanismos para que los ciudadanos podamos limitar el
uso de nuestros datos personales para fines comerciales
(liacuteneas telefoacutenicas particulares o moviles asiacute como sus
correos electroacutenicos domicilios y nombres)
Estas pueden ser propios o de organismos como la
PROFECO y la CONDUSEF que ya han creado estas
listas para registro opcional de los ciudadanos
REPEP (Registro Puacuteblico para Evitar Publicidad y
REUNS (Registro Puacuteblico de Usuarios que no desean
informacioacuten publicitaria de Productos y Servicios
Financieros)
Las empresas que realizan actividades de promocioacuten
deberaacuten previamente validar la existencia de los datos de
sus prospectos en estas listas para no incurrir en una
violacioacuten a la privacidad de los mismos
43
La empresa debe designar una persona
o un departamento interno para atender
las solicitudes de los Titulares de los
Datos a traveacutes del Ejercicio de sus
derechos ARCO
El Reglamento yo su encargado definen
su proceso interno medios y
procedimientos para la recepcioacuten
atencioacuten y resolucioacuten de las Solicitudes
de Derechos ARCO
El Ejercicio de los derechos debe ser
gratuito soacutelo en caso de reproduccioacuten o
enviacuteo el titular pagara los costos
correspondientes
44
El Titular Entrega solicitud de Derechos ARCO en
2 tantos que incluyen
bull Identificacioacuten oficial
bull Datos de localizacioacuten para
mantener la comunicacioacuten yo enviar
notificaciones
bull Documentacioacuten que ayude a su aacutegil
localizacioacuten o para demostrar la
correccioacuten o cambio solicitado
Espera 20 diacuteas la resolucioacuten ldquoprocede o
nordquo su solicitud
Espera 15 diacuteas maacutes aplicacioacuten de
resolucioacuten
45
El Departamento yo Encargado
de DP Entregar explicar yo recibir la solicitud de
Derechos ARCO en 2 tantos
bull Sellar la recepcioacuten con fecha y firma de
quien la recibe
bull Revisar y realizar el anaacutelisis de
procedencia de la solicitud (20 diacuteas
haacutebiles)
bull Notificar al titular la resolucioacuten proceda o
no
bull Aplicar resolucioacuten (15 diacuteas haacutebiles)
Nota El Responsible puede si asiacute se requiere y justifica incrementar el
plazo por uacutenica ocasioacuten por los mismos plazos descritos en cada
proceso previa notificacioacuten al titular
46
El titular o su representante legal no se
acrediten debidamente
No se encuentren los datos personales
en su base (s) de datos
Se lesionen derechos de terceros
La rectificacioacuten cancelacioacuten u oposicioacuten
hayan sido solicitadas preaviamente
Exista impedimento legal o resolucioacuten de
las autoridades que restrinja el ejercicio
de estos derechos
El Responsable podraacute negar el ejercicio
de los Derechos ARCO cuando
VIII Proteccioacuten de Derechos
ante el Ifai
47
48
Expresar claramente el
contenido de su
reclamacioacuten
Presentar el
documento que pruebe
la fecha en que
presentoacute la solicitud de
Derechos ARCO
bull Por escrito libre o a traveacutes de los
formatos establecidos por el IFAI
bull Sistema electroacutenico
bull En el domicilio del Instituto u oficina habilitada
bull Por correo certificado con acuse de recibo
El titular o su representante legal presenta su solicitud de proteccioacuten de derechos ante
el IFAI
Estaacute inconforme con la
respuesta
Dentro de los 15 diacuteas siguientes a la fecha en
que se comunique la respuesta
No recibioacute respuesta
Dentro de los 15 diacuteas a partir de que haya vencido el plazo de
respuesta
El TitularPlazos
Podraacute interponerse
IX Sanciones e Infracciones
49
50
El Salario miacutenimo vigente en el DF para 2014 es
Salario Miacutenimo ZonaAacuterea geograacutefica A 6729 pesos diarios
Fuente httpsalariominimocommxsalario-minimo-2014
DSMV DF Diacuteas de Salario Miacutenimo vigente en el Distrito Federal
No dar atencioacuten a las solicitudes ARCO
El apercibimiento para que el
responsable lleve a cabo los actos solicitados por el
titular
Omitir el aviso mantener DP
inexactos negar la existencia de DP con
dolo
Multa de 100 a 160000 VSM DF
De $6230 a $9972800
Incumplir deber de confidencialidad
cambiar la finalidad o realizar transferencias sin dar aviso de ello o vulnerar la seguridad de las bases de datos
Multa de 200 a 320000 VSM DF
De $12466 a $19945600
51
Trataacutendose de datos
personales sensibles
Provocar una vulneracioacuten de
seguridad a las bases de
datos bajo su custodia
3 meses a 3 antildeos
Tratamiento de DP
mediante el engantildeo
aprovechaacutendose del error
del titular o del
responsable
6 meses a 5 antildeos
Penas
anteriores
Delitos llevados
a cabo con
aacutenimo de lucro
Delito Prisioacuten
52
53
Beatriz Vargas
Director Comercial
beatrizvbsconsultingcommx
Tel 6380 5705 Cel 551071 9446
Ricardo Rangel
Director de Proyectos Estraacutetegicos
ricardorbsconsultingcommx
Tel 6380 5705 Cel 554453 4778
wwwBSConsultingcommx
34
35
Ejemplo AP
36
Modalidades
del Aviso de
Privacidad
Integral
Simplificado
Corto
Cuando los datos se obtengan
personalmente del titular
(entrevista)
Cuando se obtienen de manera
directa (contacto paacuteg web ndash viacutea
telefoacutenica)
Cuando el espacio para dar a
conocer el aviso sea limitado
(correo formatos SMS etc)
Nota De acuerdo al tipo de DP que se recabe se deberaacute solicitar el
consentimiento correspondiente
37
ldquoObligacioacuten de guardar secreto de
los datos persnales que son
tratadosrdquo
El Responsable debe adoptar medidas para
evitar que quienes tengan acceso a eacutestos
divulguen dicha informacioacuten
Se debe cumplir aun una vez que finalice la
relacioacuten contractual o laboral entre el
responsable y quien tenga accesos a los
datos personales para el desarrollo de las
tareas o funciones que se le hubiern
encomendado
38
Establecer Medidas de seguridad administrativas fiacutesicas y teacutecnicas para la
proteger los DP mismas que deben ser documentadas (acciones anaacutelisis de
riesgo anaacutelisis de brecha revisiones o auditoriacuteas capacitacioacuten entre otras)
39
Peacuterdida destruccioacuten robo
extraviacuteo copia uso
acceso tratamiento dantildeo
alteracioacuten o modificacioacuten
NO AUTORIZADO
Si hay vulneracioacuten que impacte los derechos patrimoniales o
morales de los titulares se deberaacuten tomar acciones e informar a
los titulares sin dilacioacuten con el fin de que eacutestos tomen las medidas
pertinentes
VII Derechos ARCO y la
Proteccioacuten de Derechos
40
41
Cada uno de nosotros como titulares de los DP o en su caso nuestro
representante legal podremos ejercer cualquiera de los derechos ARCO ante
las empresas que los tengan en sus bases de datos
42
Mecanismos para que los ciudadanos podamos limitar el
uso de nuestros datos personales para fines comerciales
(liacuteneas telefoacutenicas particulares o moviles asiacute como sus
correos electroacutenicos domicilios y nombres)
Estas pueden ser propios o de organismos como la
PROFECO y la CONDUSEF que ya han creado estas
listas para registro opcional de los ciudadanos
REPEP (Registro Puacuteblico para Evitar Publicidad y
REUNS (Registro Puacuteblico de Usuarios que no desean
informacioacuten publicitaria de Productos y Servicios
Financieros)
Las empresas que realizan actividades de promocioacuten
deberaacuten previamente validar la existencia de los datos de
sus prospectos en estas listas para no incurrir en una
violacioacuten a la privacidad de los mismos
43
La empresa debe designar una persona
o un departamento interno para atender
las solicitudes de los Titulares de los
Datos a traveacutes del Ejercicio de sus
derechos ARCO
El Reglamento yo su encargado definen
su proceso interno medios y
procedimientos para la recepcioacuten
atencioacuten y resolucioacuten de las Solicitudes
de Derechos ARCO
El Ejercicio de los derechos debe ser
gratuito soacutelo en caso de reproduccioacuten o
enviacuteo el titular pagara los costos
correspondientes
44
El Titular Entrega solicitud de Derechos ARCO en
2 tantos que incluyen
bull Identificacioacuten oficial
bull Datos de localizacioacuten para
mantener la comunicacioacuten yo enviar
notificaciones
bull Documentacioacuten que ayude a su aacutegil
localizacioacuten o para demostrar la
correccioacuten o cambio solicitado
Espera 20 diacuteas la resolucioacuten ldquoprocede o
nordquo su solicitud
Espera 15 diacuteas maacutes aplicacioacuten de
resolucioacuten
45
El Departamento yo Encargado
de DP Entregar explicar yo recibir la solicitud de
Derechos ARCO en 2 tantos
bull Sellar la recepcioacuten con fecha y firma de
quien la recibe
bull Revisar y realizar el anaacutelisis de
procedencia de la solicitud (20 diacuteas
haacutebiles)
bull Notificar al titular la resolucioacuten proceda o
no
bull Aplicar resolucioacuten (15 diacuteas haacutebiles)
Nota El Responsible puede si asiacute se requiere y justifica incrementar el
plazo por uacutenica ocasioacuten por los mismos plazos descritos en cada
proceso previa notificacioacuten al titular
46
El titular o su representante legal no se
acrediten debidamente
No se encuentren los datos personales
en su base (s) de datos
Se lesionen derechos de terceros
La rectificacioacuten cancelacioacuten u oposicioacuten
hayan sido solicitadas preaviamente
Exista impedimento legal o resolucioacuten de
las autoridades que restrinja el ejercicio
de estos derechos
El Responsable podraacute negar el ejercicio
de los Derechos ARCO cuando
VIII Proteccioacuten de Derechos
ante el Ifai
47
48
Expresar claramente el
contenido de su
reclamacioacuten
Presentar el
documento que pruebe
la fecha en que
presentoacute la solicitud de
Derechos ARCO
bull Por escrito libre o a traveacutes de los
formatos establecidos por el IFAI
bull Sistema electroacutenico
bull En el domicilio del Instituto u oficina habilitada
bull Por correo certificado con acuse de recibo
El titular o su representante legal presenta su solicitud de proteccioacuten de derechos ante
el IFAI
Estaacute inconforme con la
respuesta
Dentro de los 15 diacuteas siguientes a la fecha en
que se comunique la respuesta
No recibioacute respuesta
Dentro de los 15 diacuteas a partir de que haya vencido el plazo de
respuesta
El TitularPlazos
Podraacute interponerse
IX Sanciones e Infracciones
49
50
El Salario miacutenimo vigente en el DF para 2014 es
Salario Miacutenimo ZonaAacuterea geograacutefica A 6729 pesos diarios
Fuente httpsalariominimocommxsalario-minimo-2014
DSMV DF Diacuteas de Salario Miacutenimo vigente en el Distrito Federal
No dar atencioacuten a las solicitudes ARCO
El apercibimiento para que el
responsable lleve a cabo los actos solicitados por el
titular
Omitir el aviso mantener DP
inexactos negar la existencia de DP con
dolo
Multa de 100 a 160000 VSM DF
De $6230 a $9972800
Incumplir deber de confidencialidad
cambiar la finalidad o realizar transferencias sin dar aviso de ello o vulnerar la seguridad de las bases de datos
Multa de 200 a 320000 VSM DF
De $12466 a $19945600
51
Trataacutendose de datos
personales sensibles
Provocar una vulneracioacuten de
seguridad a las bases de
datos bajo su custodia
3 meses a 3 antildeos
Tratamiento de DP
mediante el engantildeo
aprovechaacutendose del error
del titular o del
responsable
6 meses a 5 antildeos
Penas
anteriores
Delitos llevados
a cabo con
aacutenimo de lucro
Delito Prisioacuten
52
53
Beatriz Vargas
Director Comercial
beatrizvbsconsultingcommx
Tel 6380 5705 Cel 551071 9446
Ricardo Rangel
Director de Proyectos Estraacutetegicos
ricardorbsconsultingcommx
Tel 6380 5705 Cel 554453 4778
wwwBSConsultingcommx
35
Ejemplo AP
36
Modalidades
del Aviso de
Privacidad
Integral
Simplificado
Corto
Cuando los datos se obtengan
personalmente del titular
(entrevista)
Cuando se obtienen de manera
directa (contacto paacuteg web ndash viacutea
telefoacutenica)
Cuando el espacio para dar a
conocer el aviso sea limitado
(correo formatos SMS etc)
Nota De acuerdo al tipo de DP que se recabe se deberaacute solicitar el
consentimiento correspondiente
37
ldquoObligacioacuten de guardar secreto de
los datos persnales que son
tratadosrdquo
El Responsable debe adoptar medidas para
evitar que quienes tengan acceso a eacutestos
divulguen dicha informacioacuten
Se debe cumplir aun una vez que finalice la
relacioacuten contractual o laboral entre el
responsable y quien tenga accesos a los
datos personales para el desarrollo de las
tareas o funciones que se le hubiern
encomendado
38
Establecer Medidas de seguridad administrativas fiacutesicas y teacutecnicas para la
proteger los DP mismas que deben ser documentadas (acciones anaacutelisis de
riesgo anaacutelisis de brecha revisiones o auditoriacuteas capacitacioacuten entre otras)
39
Peacuterdida destruccioacuten robo
extraviacuteo copia uso
acceso tratamiento dantildeo
alteracioacuten o modificacioacuten
NO AUTORIZADO
Si hay vulneracioacuten que impacte los derechos patrimoniales o
morales de los titulares se deberaacuten tomar acciones e informar a
los titulares sin dilacioacuten con el fin de que eacutestos tomen las medidas
pertinentes
VII Derechos ARCO y la
Proteccioacuten de Derechos
40
41
Cada uno de nosotros como titulares de los DP o en su caso nuestro
representante legal podremos ejercer cualquiera de los derechos ARCO ante
las empresas que los tengan en sus bases de datos
42
Mecanismos para que los ciudadanos podamos limitar el
uso de nuestros datos personales para fines comerciales
(liacuteneas telefoacutenicas particulares o moviles asiacute como sus
correos electroacutenicos domicilios y nombres)
Estas pueden ser propios o de organismos como la
PROFECO y la CONDUSEF que ya han creado estas
listas para registro opcional de los ciudadanos
REPEP (Registro Puacuteblico para Evitar Publicidad y
REUNS (Registro Puacuteblico de Usuarios que no desean
informacioacuten publicitaria de Productos y Servicios
Financieros)
Las empresas que realizan actividades de promocioacuten
deberaacuten previamente validar la existencia de los datos de
sus prospectos en estas listas para no incurrir en una
violacioacuten a la privacidad de los mismos
43
La empresa debe designar una persona
o un departamento interno para atender
las solicitudes de los Titulares de los
Datos a traveacutes del Ejercicio de sus
derechos ARCO
El Reglamento yo su encargado definen
su proceso interno medios y
procedimientos para la recepcioacuten
atencioacuten y resolucioacuten de las Solicitudes
de Derechos ARCO
El Ejercicio de los derechos debe ser
gratuito soacutelo en caso de reproduccioacuten o
enviacuteo el titular pagara los costos
correspondientes
44
El Titular Entrega solicitud de Derechos ARCO en
2 tantos que incluyen
bull Identificacioacuten oficial
bull Datos de localizacioacuten para
mantener la comunicacioacuten yo enviar
notificaciones
bull Documentacioacuten que ayude a su aacutegil
localizacioacuten o para demostrar la
correccioacuten o cambio solicitado
Espera 20 diacuteas la resolucioacuten ldquoprocede o
nordquo su solicitud
Espera 15 diacuteas maacutes aplicacioacuten de
resolucioacuten
45
El Departamento yo Encargado
de DP Entregar explicar yo recibir la solicitud de
Derechos ARCO en 2 tantos
bull Sellar la recepcioacuten con fecha y firma de
quien la recibe
bull Revisar y realizar el anaacutelisis de
procedencia de la solicitud (20 diacuteas
haacutebiles)
bull Notificar al titular la resolucioacuten proceda o
no
bull Aplicar resolucioacuten (15 diacuteas haacutebiles)
Nota El Responsible puede si asiacute se requiere y justifica incrementar el
plazo por uacutenica ocasioacuten por los mismos plazos descritos en cada
proceso previa notificacioacuten al titular
46
El titular o su representante legal no se
acrediten debidamente
No se encuentren los datos personales
en su base (s) de datos
Se lesionen derechos de terceros
La rectificacioacuten cancelacioacuten u oposicioacuten
hayan sido solicitadas preaviamente
Exista impedimento legal o resolucioacuten de
las autoridades que restrinja el ejercicio
de estos derechos
El Responsable podraacute negar el ejercicio
de los Derechos ARCO cuando
VIII Proteccioacuten de Derechos
ante el Ifai
47
48
Expresar claramente el
contenido de su
reclamacioacuten
Presentar el
documento que pruebe
la fecha en que
presentoacute la solicitud de
Derechos ARCO
bull Por escrito libre o a traveacutes de los
formatos establecidos por el IFAI
bull Sistema electroacutenico
bull En el domicilio del Instituto u oficina habilitada
bull Por correo certificado con acuse de recibo
El titular o su representante legal presenta su solicitud de proteccioacuten de derechos ante
el IFAI
Estaacute inconforme con la
respuesta
Dentro de los 15 diacuteas siguientes a la fecha en
que se comunique la respuesta
No recibioacute respuesta
Dentro de los 15 diacuteas a partir de que haya vencido el plazo de
respuesta
El TitularPlazos
Podraacute interponerse
IX Sanciones e Infracciones
49
50
El Salario miacutenimo vigente en el DF para 2014 es
Salario Miacutenimo ZonaAacuterea geograacutefica A 6729 pesos diarios
Fuente httpsalariominimocommxsalario-minimo-2014
DSMV DF Diacuteas de Salario Miacutenimo vigente en el Distrito Federal
No dar atencioacuten a las solicitudes ARCO
El apercibimiento para que el
responsable lleve a cabo los actos solicitados por el
titular
Omitir el aviso mantener DP
inexactos negar la existencia de DP con
dolo
Multa de 100 a 160000 VSM DF
De $6230 a $9972800
Incumplir deber de confidencialidad
cambiar la finalidad o realizar transferencias sin dar aviso de ello o vulnerar la seguridad de las bases de datos
Multa de 200 a 320000 VSM DF
De $12466 a $19945600
51
Trataacutendose de datos
personales sensibles
Provocar una vulneracioacuten de
seguridad a las bases de
datos bajo su custodia
3 meses a 3 antildeos
Tratamiento de DP
mediante el engantildeo
aprovechaacutendose del error
del titular o del
responsable
6 meses a 5 antildeos
Penas
anteriores
Delitos llevados
a cabo con
aacutenimo de lucro
Delito Prisioacuten
52
53
Beatriz Vargas
Director Comercial
beatrizvbsconsultingcommx
Tel 6380 5705 Cel 551071 9446
Ricardo Rangel
Director de Proyectos Estraacutetegicos
ricardorbsconsultingcommx
Tel 6380 5705 Cel 554453 4778
wwwBSConsultingcommx
36
Modalidades
del Aviso de
Privacidad
Integral
Simplificado
Corto
Cuando los datos se obtengan
personalmente del titular
(entrevista)
Cuando se obtienen de manera
directa (contacto paacuteg web ndash viacutea
telefoacutenica)
Cuando el espacio para dar a
conocer el aviso sea limitado
(correo formatos SMS etc)
Nota De acuerdo al tipo de DP que se recabe se deberaacute solicitar el
consentimiento correspondiente
37
ldquoObligacioacuten de guardar secreto de
los datos persnales que son
tratadosrdquo
El Responsable debe adoptar medidas para
evitar que quienes tengan acceso a eacutestos
divulguen dicha informacioacuten
Se debe cumplir aun una vez que finalice la
relacioacuten contractual o laboral entre el
responsable y quien tenga accesos a los
datos personales para el desarrollo de las
tareas o funciones que se le hubiern
encomendado
38
Establecer Medidas de seguridad administrativas fiacutesicas y teacutecnicas para la
proteger los DP mismas que deben ser documentadas (acciones anaacutelisis de
riesgo anaacutelisis de brecha revisiones o auditoriacuteas capacitacioacuten entre otras)
39
Peacuterdida destruccioacuten robo
extraviacuteo copia uso
acceso tratamiento dantildeo
alteracioacuten o modificacioacuten
NO AUTORIZADO
Si hay vulneracioacuten que impacte los derechos patrimoniales o
morales de los titulares se deberaacuten tomar acciones e informar a
los titulares sin dilacioacuten con el fin de que eacutestos tomen las medidas
pertinentes
VII Derechos ARCO y la
Proteccioacuten de Derechos
40
41
Cada uno de nosotros como titulares de los DP o en su caso nuestro
representante legal podremos ejercer cualquiera de los derechos ARCO ante
las empresas que los tengan en sus bases de datos
42
Mecanismos para que los ciudadanos podamos limitar el
uso de nuestros datos personales para fines comerciales
(liacuteneas telefoacutenicas particulares o moviles asiacute como sus
correos electroacutenicos domicilios y nombres)
Estas pueden ser propios o de organismos como la
PROFECO y la CONDUSEF que ya han creado estas
listas para registro opcional de los ciudadanos
REPEP (Registro Puacuteblico para Evitar Publicidad y
REUNS (Registro Puacuteblico de Usuarios que no desean
informacioacuten publicitaria de Productos y Servicios
Financieros)
Las empresas que realizan actividades de promocioacuten
deberaacuten previamente validar la existencia de los datos de
sus prospectos en estas listas para no incurrir en una
violacioacuten a la privacidad de los mismos
43
La empresa debe designar una persona
o un departamento interno para atender
las solicitudes de los Titulares de los
Datos a traveacutes del Ejercicio de sus
derechos ARCO
El Reglamento yo su encargado definen
su proceso interno medios y
procedimientos para la recepcioacuten
atencioacuten y resolucioacuten de las Solicitudes
de Derechos ARCO
El Ejercicio de los derechos debe ser
gratuito soacutelo en caso de reproduccioacuten o
enviacuteo el titular pagara los costos
correspondientes
44
El Titular Entrega solicitud de Derechos ARCO en
2 tantos que incluyen
bull Identificacioacuten oficial
bull Datos de localizacioacuten para
mantener la comunicacioacuten yo enviar
notificaciones
bull Documentacioacuten que ayude a su aacutegil
localizacioacuten o para demostrar la
correccioacuten o cambio solicitado
Espera 20 diacuteas la resolucioacuten ldquoprocede o
nordquo su solicitud
Espera 15 diacuteas maacutes aplicacioacuten de
resolucioacuten
45
El Departamento yo Encargado
de DP Entregar explicar yo recibir la solicitud de
Derechos ARCO en 2 tantos
bull Sellar la recepcioacuten con fecha y firma de
quien la recibe
bull Revisar y realizar el anaacutelisis de
procedencia de la solicitud (20 diacuteas
haacutebiles)
bull Notificar al titular la resolucioacuten proceda o
no
bull Aplicar resolucioacuten (15 diacuteas haacutebiles)
Nota El Responsible puede si asiacute se requiere y justifica incrementar el
plazo por uacutenica ocasioacuten por los mismos plazos descritos en cada
proceso previa notificacioacuten al titular
46
El titular o su representante legal no se
acrediten debidamente
No se encuentren los datos personales
en su base (s) de datos
Se lesionen derechos de terceros
La rectificacioacuten cancelacioacuten u oposicioacuten
hayan sido solicitadas preaviamente
Exista impedimento legal o resolucioacuten de
las autoridades que restrinja el ejercicio
de estos derechos
El Responsable podraacute negar el ejercicio
de los Derechos ARCO cuando
VIII Proteccioacuten de Derechos
ante el Ifai
47
48
Expresar claramente el
contenido de su
reclamacioacuten
Presentar el
documento que pruebe
la fecha en que
presentoacute la solicitud de
Derechos ARCO
bull Por escrito libre o a traveacutes de los
formatos establecidos por el IFAI
bull Sistema electroacutenico
bull En el domicilio del Instituto u oficina habilitada
bull Por correo certificado con acuse de recibo
El titular o su representante legal presenta su solicitud de proteccioacuten de derechos ante
el IFAI
Estaacute inconforme con la
respuesta
Dentro de los 15 diacuteas siguientes a la fecha en
que se comunique la respuesta
No recibioacute respuesta
Dentro de los 15 diacuteas a partir de que haya vencido el plazo de
respuesta
El TitularPlazos
Podraacute interponerse
IX Sanciones e Infracciones
49
50
El Salario miacutenimo vigente en el DF para 2014 es
Salario Miacutenimo ZonaAacuterea geograacutefica A 6729 pesos diarios
Fuente httpsalariominimocommxsalario-minimo-2014
DSMV DF Diacuteas de Salario Miacutenimo vigente en el Distrito Federal
No dar atencioacuten a las solicitudes ARCO
El apercibimiento para que el
responsable lleve a cabo los actos solicitados por el
titular
Omitir el aviso mantener DP
inexactos negar la existencia de DP con
dolo
Multa de 100 a 160000 VSM DF
De $6230 a $9972800
Incumplir deber de confidencialidad
cambiar la finalidad o realizar transferencias sin dar aviso de ello o vulnerar la seguridad de las bases de datos
Multa de 200 a 320000 VSM DF
De $12466 a $19945600
51
Trataacutendose de datos
personales sensibles
Provocar una vulneracioacuten de
seguridad a las bases de
datos bajo su custodia
3 meses a 3 antildeos
Tratamiento de DP
mediante el engantildeo
aprovechaacutendose del error
del titular o del
responsable
6 meses a 5 antildeos
Penas
anteriores
Delitos llevados
a cabo con
aacutenimo de lucro
Delito Prisioacuten
52
53
Beatriz Vargas
Director Comercial
beatrizvbsconsultingcommx
Tel 6380 5705 Cel 551071 9446
Ricardo Rangel
Director de Proyectos Estraacutetegicos
ricardorbsconsultingcommx
Tel 6380 5705 Cel 554453 4778
wwwBSConsultingcommx
37
ldquoObligacioacuten de guardar secreto de
los datos persnales que son
tratadosrdquo
El Responsable debe adoptar medidas para
evitar que quienes tengan acceso a eacutestos
divulguen dicha informacioacuten
Se debe cumplir aun una vez que finalice la
relacioacuten contractual o laboral entre el
responsable y quien tenga accesos a los
datos personales para el desarrollo de las
tareas o funciones que se le hubiern
encomendado
38
Establecer Medidas de seguridad administrativas fiacutesicas y teacutecnicas para la
proteger los DP mismas que deben ser documentadas (acciones anaacutelisis de
riesgo anaacutelisis de brecha revisiones o auditoriacuteas capacitacioacuten entre otras)
39
Peacuterdida destruccioacuten robo
extraviacuteo copia uso
acceso tratamiento dantildeo
alteracioacuten o modificacioacuten
NO AUTORIZADO
Si hay vulneracioacuten que impacte los derechos patrimoniales o
morales de los titulares se deberaacuten tomar acciones e informar a
los titulares sin dilacioacuten con el fin de que eacutestos tomen las medidas
pertinentes
VII Derechos ARCO y la
Proteccioacuten de Derechos
40
41
Cada uno de nosotros como titulares de los DP o en su caso nuestro
representante legal podremos ejercer cualquiera de los derechos ARCO ante
las empresas que los tengan en sus bases de datos
42
Mecanismos para que los ciudadanos podamos limitar el
uso de nuestros datos personales para fines comerciales
(liacuteneas telefoacutenicas particulares o moviles asiacute como sus
correos electroacutenicos domicilios y nombres)
Estas pueden ser propios o de organismos como la
PROFECO y la CONDUSEF que ya han creado estas
listas para registro opcional de los ciudadanos
REPEP (Registro Puacuteblico para Evitar Publicidad y
REUNS (Registro Puacuteblico de Usuarios que no desean
informacioacuten publicitaria de Productos y Servicios
Financieros)
Las empresas que realizan actividades de promocioacuten
deberaacuten previamente validar la existencia de los datos de
sus prospectos en estas listas para no incurrir en una
violacioacuten a la privacidad de los mismos
43
La empresa debe designar una persona
o un departamento interno para atender
las solicitudes de los Titulares de los
Datos a traveacutes del Ejercicio de sus
derechos ARCO
El Reglamento yo su encargado definen
su proceso interno medios y
procedimientos para la recepcioacuten
atencioacuten y resolucioacuten de las Solicitudes
de Derechos ARCO
El Ejercicio de los derechos debe ser
gratuito soacutelo en caso de reproduccioacuten o
enviacuteo el titular pagara los costos
correspondientes
44
El Titular Entrega solicitud de Derechos ARCO en
2 tantos que incluyen
bull Identificacioacuten oficial
bull Datos de localizacioacuten para
mantener la comunicacioacuten yo enviar
notificaciones
bull Documentacioacuten que ayude a su aacutegil
localizacioacuten o para demostrar la
correccioacuten o cambio solicitado
Espera 20 diacuteas la resolucioacuten ldquoprocede o
nordquo su solicitud
Espera 15 diacuteas maacutes aplicacioacuten de
resolucioacuten
45
El Departamento yo Encargado
de DP Entregar explicar yo recibir la solicitud de
Derechos ARCO en 2 tantos
bull Sellar la recepcioacuten con fecha y firma de
quien la recibe
bull Revisar y realizar el anaacutelisis de
procedencia de la solicitud (20 diacuteas
haacutebiles)
bull Notificar al titular la resolucioacuten proceda o
no
bull Aplicar resolucioacuten (15 diacuteas haacutebiles)
Nota El Responsible puede si asiacute se requiere y justifica incrementar el
plazo por uacutenica ocasioacuten por los mismos plazos descritos en cada
proceso previa notificacioacuten al titular
46
El titular o su representante legal no se
acrediten debidamente
No se encuentren los datos personales
en su base (s) de datos
Se lesionen derechos de terceros
La rectificacioacuten cancelacioacuten u oposicioacuten
hayan sido solicitadas preaviamente
Exista impedimento legal o resolucioacuten de
las autoridades que restrinja el ejercicio
de estos derechos
El Responsable podraacute negar el ejercicio
de los Derechos ARCO cuando
VIII Proteccioacuten de Derechos
ante el Ifai
47
48
Expresar claramente el
contenido de su
reclamacioacuten
Presentar el
documento que pruebe
la fecha en que
presentoacute la solicitud de
Derechos ARCO
bull Por escrito libre o a traveacutes de los
formatos establecidos por el IFAI
bull Sistema electroacutenico
bull En el domicilio del Instituto u oficina habilitada
bull Por correo certificado con acuse de recibo
El titular o su representante legal presenta su solicitud de proteccioacuten de derechos ante
el IFAI
Estaacute inconforme con la
respuesta
Dentro de los 15 diacuteas siguientes a la fecha en
que se comunique la respuesta
No recibioacute respuesta
Dentro de los 15 diacuteas a partir de que haya vencido el plazo de
respuesta
El TitularPlazos
Podraacute interponerse
IX Sanciones e Infracciones
49
50
El Salario miacutenimo vigente en el DF para 2014 es
Salario Miacutenimo ZonaAacuterea geograacutefica A 6729 pesos diarios
Fuente httpsalariominimocommxsalario-minimo-2014
DSMV DF Diacuteas de Salario Miacutenimo vigente en el Distrito Federal
No dar atencioacuten a las solicitudes ARCO
El apercibimiento para que el
responsable lleve a cabo los actos solicitados por el
titular
Omitir el aviso mantener DP
inexactos negar la existencia de DP con
dolo
Multa de 100 a 160000 VSM DF
De $6230 a $9972800
Incumplir deber de confidencialidad
cambiar la finalidad o realizar transferencias sin dar aviso de ello o vulnerar la seguridad de las bases de datos
Multa de 200 a 320000 VSM DF
De $12466 a $19945600
51
Trataacutendose de datos
personales sensibles
Provocar una vulneracioacuten de
seguridad a las bases de
datos bajo su custodia
3 meses a 3 antildeos
Tratamiento de DP
mediante el engantildeo
aprovechaacutendose del error
del titular o del
responsable
6 meses a 5 antildeos
Penas
anteriores
Delitos llevados
a cabo con
aacutenimo de lucro
Delito Prisioacuten
52
53
Beatriz Vargas
Director Comercial
beatrizvbsconsultingcommx
Tel 6380 5705 Cel 551071 9446
Ricardo Rangel
Director de Proyectos Estraacutetegicos
ricardorbsconsultingcommx
Tel 6380 5705 Cel 554453 4778
wwwBSConsultingcommx
38
Establecer Medidas de seguridad administrativas fiacutesicas y teacutecnicas para la
proteger los DP mismas que deben ser documentadas (acciones anaacutelisis de
riesgo anaacutelisis de brecha revisiones o auditoriacuteas capacitacioacuten entre otras)
39
Peacuterdida destruccioacuten robo
extraviacuteo copia uso
acceso tratamiento dantildeo
alteracioacuten o modificacioacuten
NO AUTORIZADO
Si hay vulneracioacuten que impacte los derechos patrimoniales o
morales de los titulares se deberaacuten tomar acciones e informar a
los titulares sin dilacioacuten con el fin de que eacutestos tomen las medidas
pertinentes
VII Derechos ARCO y la
Proteccioacuten de Derechos
40
41
Cada uno de nosotros como titulares de los DP o en su caso nuestro
representante legal podremos ejercer cualquiera de los derechos ARCO ante
las empresas que los tengan en sus bases de datos
42
Mecanismos para que los ciudadanos podamos limitar el
uso de nuestros datos personales para fines comerciales
(liacuteneas telefoacutenicas particulares o moviles asiacute como sus
correos electroacutenicos domicilios y nombres)
Estas pueden ser propios o de organismos como la
PROFECO y la CONDUSEF que ya han creado estas
listas para registro opcional de los ciudadanos
REPEP (Registro Puacuteblico para Evitar Publicidad y
REUNS (Registro Puacuteblico de Usuarios que no desean
informacioacuten publicitaria de Productos y Servicios
Financieros)
Las empresas que realizan actividades de promocioacuten
deberaacuten previamente validar la existencia de los datos de
sus prospectos en estas listas para no incurrir en una
violacioacuten a la privacidad de los mismos
43
La empresa debe designar una persona
o un departamento interno para atender
las solicitudes de los Titulares de los
Datos a traveacutes del Ejercicio de sus
derechos ARCO
El Reglamento yo su encargado definen
su proceso interno medios y
procedimientos para la recepcioacuten
atencioacuten y resolucioacuten de las Solicitudes
de Derechos ARCO
El Ejercicio de los derechos debe ser
gratuito soacutelo en caso de reproduccioacuten o
enviacuteo el titular pagara los costos
correspondientes
44
El Titular Entrega solicitud de Derechos ARCO en
2 tantos que incluyen
bull Identificacioacuten oficial
bull Datos de localizacioacuten para
mantener la comunicacioacuten yo enviar
notificaciones
bull Documentacioacuten que ayude a su aacutegil
localizacioacuten o para demostrar la
correccioacuten o cambio solicitado
Espera 20 diacuteas la resolucioacuten ldquoprocede o
nordquo su solicitud
Espera 15 diacuteas maacutes aplicacioacuten de
resolucioacuten
45
El Departamento yo Encargado
de DP Entregar explicar yo recibir la solicitud de
Derechos ARCO en 2 tantos
bull Sellar la recepcioacuten con fecha y firma de
quien la recibe
bull Revisar y realizar el anaacutelisis de
procedencia de la solicitud (20 diacuteas
haacutebiles)
bull Notificar al titular la resolucioacuten proceda o
no
bull Aplicar resolucioacuten (15 diacuteas haacutebiles)
Nota El Responsible puede si asiacute se requiere y justifica incrementar el
plazo por uacutenica ocasioacuten por los mismos plazos descritos en cada
proceso previa notificacioacuten al titular
46
El titular o su representante legal no se
acrediten debidamente
No se encuentren los datos personales
en su base (s) de datos
Se lesionen derechos de terceros
La rectificacioacuten cancelacioacuten u oposicioacuten
hayan sido solicitadas preaviamente
Exista impedimento legal o resolucioacuten de
las autoridades que restrinja el ejercicio
de estos derechos
El Responsable podraacute negar el ejercicio
de los Derechos ARCO cuando
VIII Proteccioacuten de Derechos
ante el Ifai
47
48
Expresar claramente el
contenido de su
reclamacioacuten
Presentar el
documento que pruebe
la fecha en que
presentoacute la solicitud de
Derechos ARCO
bull Por escrito libre o a traveacutes de los
formatos establecidos por el IFAI
bull Sistema electroacutenico
bull En el domicilio del Instituto u oficina habilitada
bull Por correo certificado con acuse de recibo
El titular o su representante legal presenta su solicitud de proteccioacuten de derechos ante
el IFAI
Estaacute inconforme con la
respuesta
Dentro de los 15 diacuteas siguientes a la fecha en
que se comunique la respuesta
No recibioacute respuesta
Dentro de los 15 diacuteas a partir de que haya vencido el plazo de
respuesta
El TitularPlazos
Podraacute interponerse
IX Sanciones e Infracciones
49
50
El Salario miacutenimo vigente en el DF para 2014 es
Salario Miacutenimo ZonaAacuterea geograacutefica A 6729 pesos diarios
Fuente httpsalariominimocommxsalario-minimo-2014
DSMV DF Diacuteas de Salario Miacutenimo vigente en el Distrito Federal
No dar atencioacuten a las solicitudes ARCO
El apercibimiento para que el
responsable lleve a cabo los actos solicitados por el
titular
Omitir el aviso mantener DP
inexactos negar la existencia de DP con
dolo
Multa de 100 a 160000 VSM DF
De $6230 a $9972800
Incumplir deber de confidencialidad
cambiar la finalidad o realizar transferencias sin dar aviso de ello o vulnerar la seguridad de las bases de datos
Multa de 200 a 320000 VSM DF
De $12466 a $19945600
51
Trataacutendose de datos
personales sensibles
Provocar una vulneracioacuten de
seguridad a las bases de
datos bajo su custodia
3 meses a 3 antildeos
Tratamiento de DP
mediante el engantildeo
aprovechaacutendose del error
del titular o del
responsable
6 meses a 5 antildeos
Penas
anteriores
Delitos llevados
a cabo con
aacutenimo de lucro
Delito Prisioacuten
52
53
Beatriz Vargas
Director Comercial
beatrizvbsconsultingcommx
Tel 6380 5705 Cel 551071 9446
Ricardo Rangel
Director de Proyectos Estraacutetegicos
ricardorbsconsultingcommx
Tel 6380 5705 Cel 554453 4778
wwwBSConsultingcommx
39
Peacuterdida destruccioacuten robo
extraviacuteo copia uso
acceso tratamiento dantildeo
alteracioacuten o modificacioacuten
NO AUTORIZADO
Si hay vulneracioacuten que impacte los derechos patrimoniales o
morales de los titulares se deberaacuten tomar acciones e informar a
los titulares sin dilacioacuten con el fin de que eacutestos tomen las medidas
pertinentes
VII Derechos ARCO y la
Proteccioacuten de Derechos
40
41
Cada uno de nosotros como titulares de los DP o en su caso nuestro
representante legal podremos ejercer cualquiera de los derechos ARCO ante
las empresas que los tengan en sus bases de datos
42
Mecanismos para que los ciudadanos podamos limitar el
uso de nuestros datos personales para fines comerciales
(liacuteneas telefoacutenicas particulares o moviles asiacute como sus
correos electroacutenicos domicilios y nombres)
Estas pueden ser propios o de organismos como la
PROFECO y la CONDUSEF que ya han creado estas
listas para registro opcional de los ciudadanos
REPEP (Registro Puacuteblico para Evitar Publicidad y
REUNS (Registro Puacuteblico de Usuarios que no desean
informacioacuten publicitaria de Productos y Servicios
Financieros)
Las empresas que realizan actividades de promocioacuten
deberaacuten previamente validar la existencia de los datos de
sus prospectos en estas listas para no incurrir en una
violacioacuten a la privacidad de los mismos
43
La empresa debe designar una persona
o un departamento interno para atender
las solicitudes de los Titulares de los
Datos a traveacutes del Ejercicio de sus
derechos ARCO
El Reglamento yo su encargado definen
su proceso interno medios y
procedimientos para la recepcioacuten
atencioacuten y resolucioacuten de las Solicitudes
de Derechos ARCO
El Ejercicio de los derechos debe ser
gratuito soacutelo en caso de reproduccioacuten o
enviacuteo el titular pagara los costos
correspondientes
44
El Titular Entrega solicitud de Derechos ARCO en
2 tantos que incluyen
bull Identificacioacuten oficial
bull Datos de localizacioacuten para
mantener la comunicacioacuten yo enviar
notificaciones
bull Documentacioacuten que ayude a su aacutegil
localizacioacuten o para demostrar la
correccioacuten o cambio solicitado
Espera 20 diacuteas la resolucioacuten ldquoprocede o
nordquo su solicitud
Espera 15 diacuteas maacutes aplicacioacuten de
resolucioacuten
45
El Departamento yo Encargado
de DP Entregar explicar yo recibir la solicitud de
Derechos ARCO en 2 tantos
bull Sellar la recepcioacuten con fecha y firma de
quien la recibe
bull Revisar y realizar el anaacutelisis de
procedencia de la solicitud (20 diacuteas
haacutebiles)
bull Notificar al titular la resolucioacuten proceda o
no
bull Aplicar resolucioacuten (15 diacuteas haacutebiles)
Nota El Responsible puede si asiacute se requiere y justifica incrementar el
plazo por uacutenica ocasioacuten por los mismos plazos descritos en cada
proceso previa notificacioacuten al titular
46
El titular o su representante legal no se
acrediten debidamente
No se encuentren los datos personales
en su base (s) de datos
Se lesionen derechos de terceros
La rectificacioacuten cancelacioacuten u oposicioacuten
hayan sido solicitadas preaviamente
Exista impedimento legal o resolucioacuten de
las autoridades que restrinja el ejercicio
de estos derechos
El Responsable podraacute negar el ejercicio
de los Derechos ARCO cuando
VIII Proteccioacuten de Derechos
ante el Ifai
47
48
Expresar claramente el
contenido de su
reclamacioacuten
Presentar el
documento que pruebe
la fecha en que
presentoacute la solicitud de
Derechos ARCO
bull Por escrito libre o a traveacutes de los
formatos establecidos por el IFAI
bull Sistema electroacutenico
bull En el domicilio del Instituto u oficina habilitada
bull Por correo certificado con acuse de recibo
El titular o su representante legal presenta su solicitud de proteccioacuten de derechos ante
el IFAI
Estaacute inconforme con la
respuesta
Dentro de los 15 diacuteas siguientes a la fecha en
que se comunique la respuesta
No recibioacute respuesta
Dentro de los 15 diacuteas a partir de que haya vencido el plazo de
respuesta
El TitularPlazos
Podraacute interponerse
IX Sanciones e Infracciones
49
50
El Salario miacutenimo vigente en el DF para 2014 es
Salario Miacutenimo ZonaAacuterea geograacutefica A 6729 pesos diarios
Fuente httpsalariominimocommxsalario-minimo-2014
DSMV DF Diacuteas de Salario Miacutenimo vigente en el Distrito Federal
No dar atencioacuten a las solicitudes ARCO
El apercibimiento para que el
responsable lleve a cabo los actos solicitados por el
titular
Omitir el aviso mantener DP
inexactos negar la existencia de DP con
dolo
Multa de 100 a 160000 VSM DF
De $6230 a $9972800
Incumplir deber de confidencialidad
cambiar la finalidad o realizar transferencias sin dar aviso de ello o vulnerar la seguridad de las bases de datos
Multa de 200 a 320000 VSM DF
De $12466 a $19945600
51
Trataacutendose de datos
personales sensibles
Provocar una vulneracioacuten de
seguridad a las bases de
datos bajo su custodia
3 meses a 3 antildeos
Tratamiento de DP
mediante el engantildeo
aprovechaacutendose del error
del titular o del
responsable
6 meses a 5 antildeos
Penas
anteriores
Delitos llevados
a cabo con
aacutenimo de lucro
Delito Prisioacuten
52
53
Beatriz Vargas
Director Comercial
beatrizvbsconsultingcommx
Tel 6380 5705 Cel 551071 9446
Ricardo Rangel
Director de Proyectos Estraacutetegicos
ricardorbsconsultingcommx
Tel 6380 5705 Cel 554453 4778
wwwBSConsultingcommx
VII Derechos ARCO y la
Proteccioacuten de Derechos
40
41
Cada uno de nosotros como titulares de los DP o en su caso nuestro
representante legal podremos ejercer cualquiera de los derechos ARCO ante
las empresas que los tengan en sus bases de datos
42
Mecanismos para que los ciudadanos podamos limitar el
uso de nuestros datos personales para fines comerciales
(liacuteneas telefoacutenicas particulares o moviles asiacute como sus
correos electroacutenicos domicilios y nombres)
Estas pueden ser propios o de organismos como la
PROFECO y la CONDUSEF que ya han creado estas
listas para registro opcional de los ciudadanos
REPEP (Registro Puacuteblico para Evitar Publicidad y
REUNS (Registro Puacuteblico de Usuarios que no desean
informacioacuten publicitaria de Productos y Servicios
Financieros)
Las empresas que realizan actividades de promocioacuten
deberaacuten previamente validar la existencia de los datos de
sus prospectos en estas listas para no incurrir en una
violacioacuten a la privacidad de los mismos
43
La empresa debe designar una persona
o un departamento interno para atender
las solicitudes de los Titulares de los
Datos a traveacutes del Ejercicio de sus
derechos ARCO
El Reglamento yo su encargado definen
su proceso interno medios y
procedimientos para la recepcioacuten
atencioacuten y resolucioacuten de las Solicitudes
de Derechos ARCO
El Ejercicio de los derechos debe ser
gratuito soacutelo en caso de reproduccioacuten o
enviacuteo el titular pagara los costos
correspondientes
44
El Titular Entrega solicitud de Derechos ARCO en
2 tantos que incluyen
bull Identificacioacuten oficial
bull Datos de localizacioacuten para
mantener la comunicacioacuten yo enviar
notificaciones
bull Documentacioacuten que ayude a su aacutegil
localizacioacuten o para demostrar la
correccioacuten o cambio solicitado
Espera 20 diacuteas la resolucioacuten ldquoprocede o
nordquo su solicitud
Espera 15 diacuteas maacutes aplicacioacuten de
resolucioacuten
45
El Departamento yo Encargado
de DP Entregar explicar yo recibir la solicitud de
Derechos ARCO en 2 tantos
bull Sellar la recepcioacuten con fecha y firma de
quien la recibe
bull Revisar y realizar el anaacutelisis de
procedencia de la solicitud (20 diacuteas
haacutebiles)
bull Notificar al titular la resolucioacuten proceda o
no
bull Aplicar resolucioacuten (15 diacuteas haacutebiles)
Nota El Responsible puede si asiacute se requiere y justifica incrementar el
plazo por uacutenica ocasioacuten por los mismos plazos descritos en cada
proceso previa notificacioacuten al titular
46
El titular o su representante legal no se
acrediten debidamente
No se encuentren los datos personales
en su base (s) de datos
Se lesionen derechos de terceros
La rectificacioacuten cancelacioacuten u oposicioacuten
hayan sido solicitadas preaviamente
Exista impedimento legal o resolucioacuten de
las autoridades que restrinja el ejercicio
de estos derechos
El Responsable podraacute negar el ejercicio
de los Derechos ARCO cuando
VIII Proteccioacuten de Derechos
ante el Ifai
47
48
Expresar claramente el
contenido de su
reclamacioacuten
Presentar el
documento que pruebe
la fecha en que
presentoacute la solicitud de
Derechos ARCO
bull Por escrito libre o a traveacutes de los
formatos establecidos por el IFAI
bull Sistema electroacutenico
bull En el domicilio del Instituto u oficina habilitada
bull Por correo certificado con acuse de recibo
El titular o su representante legal presenta su solicitud de proteccioacuten de derechos ante
el IFAI
Estaacute inconforme con la
respuesta
Dentro de los 15 diacuteas siguientes a la fecha en
que se comunique la respuesta
No recibioacute respuesta
Dentro de los 15 diacuteas a partir de que haya vencido el plazo de
respuesta
El TitularPlazos
Podraacute interponerse
IX Sanciones e Infracciones
49
50
El Salario miacutenimo vigente en el DF para 2014 es
Salario Miacutenimo ZonaAacuterea geograacutefica A 6729 pesos diarios
Fuente httpsalariominimocommxsalario-minimo-2014
DSMV DF Diacuteas de Salario Miacutenimo vigente en el Distrito Federal
No dar atencioacuten a las solicitudes ARCO
El apercibimiento para que el
responsable lleve a cabo los actos solicitados por el
titular
Omitir el aviso mantener DP
inexactos negar la existencia de DP con
dolo
Multa de 100 a 160000 VSM DF
De $6230 a $9972800
Incumplir deber de confidencialidad
cambiar la finalidad o realizar transferencias sin dar aviso de ello o vulnerar la seguridad de las bases de datos
Multa de 200 a 320000 VSM DF
De $12466 a $19945600
51
Trataacutendose de datos
personales sensibles
Provocar una vulneracioacuten de
seguridad a las bases de
datos bajo su custodia
3 meses a 3 antildeos
Tratamiento de DP
mediante el engantildeo
aprovechaacutendose del error
del titular o del
responsable
6 meses a 5 antildeos
Penas
anteriores
Delitos llevados
a cabo con
aacutenimo de lucro
Delito Prisioacuten
52
53
Beatriz Vargas
Director Comercial
beatrizvbsconsultingcommx
Tel 6380 5705 Cel 551071 9446
Ricardo Rangel
Director de Proyectos Estraacutetegicos
ricardorbsconsultingcommx
Tel 6380 5705 Cel 554453 4778
wwwBSConsultingcommx
41
Cada uno de nosotros como titulares de los DP o en su caso nuestro
representante legal podremos ejercer cualquiera de los derechos ARCO ante
las empresas que los tengan en sus bases de datos
42
Mecanismos para que los ciudadanos podamos limitar el
uso de nuestros datos personales para fines comerciales
(liacuteneas telefoacutenicas particulares o moviles asiacute como sus
correos electroacutenicos domicilios y nombres)
Estas pueden ser propios o de organismos como la
PROFECO y la CONDUSEF que ya han creado estas
listas para registro opcional de los ciudadanos
REPEP (Registro Puacuteblico para Evitar Publicidad y
REUNS (Registro Puacuteblico de Usuarios que no desean
informacioacuten publicitaria de Productos y Servicios
Financieros)
Las empresas que realizan actividades de promocioacuten
deberaacuten previamente validar la existencia de los datos de
sus prospectos en estas listas para no incurrir en una
violacioacuten a la privacidad de los mismos
43
La empresa debe designar una persona
o un departamento interno para atender
las solicitudes de los Titulares de los
Datos a traveacutes del Ejercicio de sus
derechos ARCO
El Reglamento yo su encargado definen
su proceso interno medios y
procedimientos para la recepcioacuten
atencioacuten y resolucioacuten de las Solicitudes
de Derechos ARCO
El Ejercicio de los derechos debe ser
gratuito soacutelo en caso de reproduccioacuten o
enviacuteo el titular pagara los costos
correspondientes
44
El Titular Entrega solicitud de Derechos ARCO en
2 tantos que incluyen
bull Identificacioacuten oficial
bull Datos de localizacioacuten para
mantener la comunicacioacuten yo enviar
notificaciones
bull Documentacioacuten que ayude a su aacutegil
localizacioacuten o para demostrar la
correccioacuten o cambio solicitado
Espera 20 diacuteas la resolucioacuten ldquoprocede o
nordquo su solicitud
Espera 15 diacuteas maacutes aplicacioacuten de
resolucioacuten
45
El Departamento yo Encargado
de DP Entregar explicar yo recibir la solicitud de
Derechos ARCO en 2 tantos
bull Sellar la recepcioacuten con fecha y firma de
quien la recibe
bull Revisar y realizar el anaacutelisis de
procedencia de la solicitud (20 diacuteas
haacutebiles)
bull Notificar al titular la resolucioacuten proceda o
no
bull Aplicar resolucioacuten (15 diacuteas haacutebiles)
Nota El Responsible puede si asiacute se requiere y justifica incrementar el
plazo por uacutenica ocasioacuten por los mismos plazos descritos en cada
proceso previa notificacioacuten al titular
46
El titular o su representante legal no se
acrediten debidamente
No se encuentren los datos personales
en su base (s) de datos
Se lesionen derechos de terceros
La rectificacioacuten cancelacioacuten u oposicioacuten
hayan sido solicitadas preaviamente
Exista impedimento legal o resolucioacuten de
las autoridades que restrinja el ejercicio
de estos derechos
El Responsable podraacute negar el ejercicio
de los Derechos ARCO cuando
VIII Proteccioacuten de Derechos
ante el Ifai
47
48
Expresar claramente el
contenido de su
reclamacioacuten
Presentar el
documento que pruebe
la fecha en que
presentoacute la solicitud de
Derechos ARCO
bull Por escrito libre o a traveacutes de los
formatos establecidos por el IFAI
bull Sistema electroacutenico
bull En el domicilio del Instituto u oficina habilitada
bull Por correo certificado con acuse de recibo
El titular o su representante legal presenta su solicitud de proteccioacuten de derechos ante
el IFAI
Estaacute inconforme con la
respuesta
Dentro de los 15 diacuteas siguientes a la fecha en
que se comunique la respuesta
No recibioacute respuesta
Dentro de los 15 diacuteas a partir de que haya vencido el plazo de
respuesta
El TitularPlazos
Podraacute interponerse
IX Sanciones e Infracciones
49
50
El Salario miacutenimo vigente en el DF para 2014 es
Salario Miacutenimo ZonaAacuterea geograacutefica A 6729 pesos diarios
Fuente httpsalariominimocommxsalario-minimo-2014
DSMV DF Diacuteas de Salario Miacutenimo vigente en el Distrito Federal
No dar atencioacuten a las solicitudes ARCO
El apercibimiento para que el
responsable lleve a cabo los actos solicitados por el
titular
Omitir el aviso mantener DP
inexactos negar la existencia de DP con
dolo
Multa de 100 a 160000 VSM DF
De $6230 a $9972800
Incumplir deber de confidencialidad
cambiar la finalidad o realizar transferencias sin dar aviso de ello o vulnerar la seguridad de las bases de datos
Multa de 200 a 320000 VSM DF
De $12466 a $19945600
51
Trataacutendose de datos
personales sensibles
Provocar una vulneracioacuten de
seguridad a las bases de
datos bajo su custodia
3 meses a 3 antildeos
Tratamiento de DP
mediante el engantildeo
aprovechaacutendose del error
del titular o del
responsable
6 meses a 5 antildeos
Penas
anteriores
Delitos llevados
a cabo con
aacutenimo de lucro
Delito Prisioacuten
52
53
Beatriz Vargas
Director Comercial
beatrizvbsconsultingcommx
Tel 6380 5705 Cel 551071 9446
Ricardo Rangel
Director de Proyectos Estraacutetegicos
ricardorbsconsultingcommx
Tel 6380 5705 Cel 554453 4778
wwwBSConsultingcommx
42
Mecanismos para que los ciudadanos podamos limitar el
uso de nuestros datos personales para fines comerciales
(liacuteneas telefoacutenicas particulares o moviles asiacute como sus
correos electroacutenicos domicilios y nombres)
Estas pueden ser propios o de organismos como la
PROFECO y la CONDUSEF que ya han creado estas
listas para registro opcional de los ciudadanos
REPEP (Registro Puacuteblico para Evitar Publicidad y
REUNS (Registro Puacuteblico de Usuarios que no desean
informacioacuten publicitaria de Productos y Servicios
Financieros)
Las empresas que realizan actividades de promocioacuten
deberaacuten previamente validar la existencia de los datos de
sus prospectos en estas listas para no incurrir en una
violacioacuten a la privacidad de los mismos
43
La empresa debe designar una persona
o un departamento interno para atender
las solicitudes de los Titulares de los
Datos a traveacutes del Ejercicio de sus
derechos ARCO
El Reglamento yo su encargado definen
su proceso interno medios y
procedimientos para la recepcioacuten
atencioacuten y resolucioacuten de las Solicitudes
de Derechos ARCO
El Ejercicio de los derechos debe ser
gratuito soacutelo en caso de reproduccioacuten o
enviacuteo el titular pagara los costos
correspondientes
44
El Titular Entrega solicitud de Derechos ARCO en
2 tantos que incluyen
bull Identificacioacuten oficial
bull Datos de localizacioacuten para
mantener la comunicacioacuten yo enviar
notificaciones
bull Documentacioacuten que ayude a su aacutegil
localizacioacuten o para demostrar la
correccioacuten o cambio solicitado
Espera 20 diacuteas la resolucioacuten ldquoprocede o
nordquo su solicitud
Espera 15 diacuteas maacutes aplicacioacuten de
resolucioacuten
45
El Departamento yo Encargado
de DP Entregar explicar yo recibir la solicitud de
Derechos ARCO en 2 tantos
bull Sellar la recepcioacuten con fecha y firma de
quien la recibe
bull Revisar y realizar el anaacutelisis de
procedencia de la solicitud (20 diacuteas
haacutebiles)
bull Notificar al titular la resolucioacuten proceda o
no
bull Aplicar resolucioacuten (15 diacuteas haacutebiles)
Nota El Responsible puede si asiacute se requiere y justifica incrementar el
plazo por uacutenica ocasioacuten por los mismos plazos descritos en cada
proceso previa notificacioacuten al titular
46
El titular o su representante legal no se
acrediten debidamente
No se encuentren los datos personales
en su base (s) de datos
Se lesionen derechos de terceros
La rectificacioacuten cancelacioacuten u oposicioacuten
hayan sido solicitadas preaviamente
Exista impedimento legal o resolucioacuten de
las autoridades que restrinja el ejercicio
de estos derechos
El Responsable podraacute negar el ejercicio
de los Derechos ARCO cuando
VIII Proteccioacuten de Derechos
ante el Ifai
47
48
Expresar claramente el
contenido de su
reclamacioacuten
Presentar el
documento que pruebe
la fecha en que
presentoacute la solicitud de
Derechos ARCO
bull Por escrito libre o a traveacutes de los
formatos establecidos por el IFAI
bull Sistema electroacutenico
bull En el domicilio del Instituto u oficina habilitada
bull Por correo certificado con acuse de recibo
El titular o su representante legal presenta su solicitud de proteccioacuten de derechos ante
el IFAI
Estaacute inconforme con la
respuesta
Dentro de los 15 diacuteas siguientes a la fecha en
que se comunique la respuesta
No recibioacute respuesta
Dentro de los 15 diacuteas a partir de que haya vencido el plazo de
respuesta
El TitularPlazos
Podraacute interponerse
IX Sanciones e Infracciones
49
50
El Salario miacutenimo vigente en el DF para 2014 es
Salario Miacutenimo ZonaAacuterea geograacutefica A 6729 pesos diarios
Fuente httpsalariominimocommxsalario-minimo-2014
DSMV DF Diacuteas de Salario Miacutenimo vigente en el Distrito Federal
No dar atencioacuten a las solicitudes ARCO
El apercibimiento para que el
responsable lleve a cabo los actos solicitados por el
titular
Omitir el aviso mantener DP
inexactos negar la existencia de DP con
dolo
Multa de 100 a 160000 VSM DF
De $6230 a $9972800
Incumplir deber de confidencialidad
cambiar la finalidad o realizar transferencias sin dar aviso de ello o vulnerar la seguridad de las bases de datos
Multa de 200 a 320000 VSM DF
De $12466 a $19945600
51
Trataacutendose de datos
personales sensibles
Provocar una vulneracioacuten de
seguridad a las bases de
datos bajo su custodia
3 meses a 3 antildeos
Tratamiento de DP
mediante el engantildeo
aprovechaacutendose del error
del titular o del
responsable
6 meses a 5 antildeos
Penas
anteriores
Delitos llevados
a cabo con
aacutenimo de lucro
Delito Prisioacuten
52
53
Beatriz Vargas
Director Comercial
beatrizvbsconsultingcommx
Tel 6380 5705 Cel 551071 9446
Ricardo Rangel
Director de Proyectos Estraacutetegicos
ricardorbsconsultingcommx
Tel 6380 5705 Cel 554453 4778
wwwBSConsultingcommx
43
La empresa debe designar una persona
o un departamento interno para atender
las solicitudes de los Titulares de los
Datos a traveacutes del Ejercicio de sus
derechos ARCO
El Reglamento yo su encargado definen
su proceso interno medios y
procedimientos para la recepcioacuten
atencioacuten y resolucioacuten de las Solicitudes
de Derechos ARCO
El Ejercicio de los derechos debe ser
gratuito soacutelo en caso de reproduccioacuten o
enviacuteo el titular pagara los costos
correspondientes
44
El Titular Entrega solicitud de Derechos ARCO en
2 tantos que incluyen
bull Identificacioacuten oficial
bull Datos de localizacioacuten para
mantener la comunicacioacuten yo enviar
notificaciones
bull Documentacioacuten que ayude a su aacutegil
localizacioacuten o para demostrar la
correccioacuten o cambio solicitado
Espera 20 diacuteas la resolucioacuten ldquoprocede o
nordquo su solicitud
Espera 15 diacuteas maacutes aplicacioacuten de
resolucioacuten
45
El Departamento yo Encargado
de DP Entregar explicar yo recibir la solicitud de
Derechos ARCO en 2 tantos
bull Sellar la recepcioacuten con fecha y firma de
quien la recibe
bull Revisar y realizar el anaacutelisis de
procedencia de la solicitud (20 diacuteas
haacutebiles)
bull Notificar al titular la resolucioacuten proceda o
no
bull Aplicar resolucioacuten (15 diacuteas haacutebiles)
Nota El Responsible puede si asiacute se requiere y justifica incrementar el
plazo por uacutenica ocasioacuten por los mismos plazos descritos en cada
proceso previa notificacioacuten al titular
46
El titular o su representante legal no se
acrediten debidamente
No se encuentren los datos personales
en su base (s) de datos
Se lesionen derechos de terceros
La rectificacioacuten cancelacioacuten u oposicioacuten
hayan sido solicitadas preaviamente
Exista impedimento legal o resolucioacuten de
las autoridades que restrinja el ejercicio
de estos derechos
El Responsable podraacute negar el ejercicio
de los Derechos ARCO cuando
VIII Proteccioacuten de Derechos
ante el Ifai
47
48
Expresar claramente el
contenido de su
reclamacioacuten
Presentar el
documento que pruebe
la fecha en que
presentoacute la solicitud de
Derechos ARCO
bull Por escrito libre o a traveacutes de los
formatos establecidos por el IFAI
bull Sistema electroacutenico
bull En el domicilio del Instituto u oficina habilitada
bull Por correo certificado con acuse de recibo
El titular o su representante legal presenta su solicitud de proteccioacuten de derechos ante
el IFAI
Estaacute inconforme con la
respuesta
Dentro de los 15 diacuteas siguientes a la fecha en
que se comunique la respuesta
No recibioacute respuesta
Dentro de los 15 diacuteas a partir de que haya vencido el plazo de
respuesta
El TitularPlazos
Podraacute interponerse
IX Sanciones e Infracciones
49
50
El Salario miacutenimo vigente en el DF para 2014 es
Salario Miacutenimo ZonaAacuterea geograacutefica A 6729 pesos diarios
Fuente httpsalariominimocommxsalario-minimo-2014
DSMV DF Diacuteas de Salario Miacutenimo vigente en el Distrito Federal
No dar atencioacuten a las solicitudes ARCO
El apercibimiento para que el
responsable lleve a cabo los actos solicitados por el
titular
Omitir el aviso mantener DP
inexactos negar la existencia de DP con
dolo
Multa de 100 a 160000 VSM DF
De $6230 a $9972800
Incumplir deber de confidencialidad
cambiar la finalidad o realizar transferencias sin dar aviso de ello o vulnerar la seguridad de las bases de datos
Multa de 200 a 320000 VSM DF
De $12466 a $19945600
51
Trataacutendose de datos
personales sensibles
Provocar una vulneracioacuten de
seguridad a las bases de
datos bajo su custodia
3 meses a 3 antildeos
Tratamiento de DP
mediante el engantildeo
aprovechaacutendose del error
del titular o del
responsable
6 meses a 5 antildeos
Penas
anteriores
Delitos llevados
a cabo con
aacutenimo de lucro
Delito Prisioacuten
52
53
Beatriz Vargas
Director Comercial
beatrizvbsconsultingcommx
Tel 6380 5705 Cel 551071 9446
Ricardo Rangel
Director de Proyectos Estraacutetegicos
ricardorbsconsultingcommx
Tel 6380 5705 Cel 554453 4778
wwwBSConsultingcommx
44
El Titular Entrega solicitud de Derechos ARCO en
2 tantos que incluyen
bull Identificacioacuten oficial
bull Datos de localizacioacuten para
mantener la comunicacioacuten yo enviar
notificaciones
bull Documentacioacuten que ayude a su aacutegil
localizacioacuten o para demostrar la
correccioacuten o cambio solicitado
Espera 20 diacuteas la resolucioacuten ldquoprocede o
nordquo su solicitud
Espera 15 diacuteas maacutes aplicacioacuten de
resolucioacuten
45
El Departamento yo Encargado
de DP Entregar explicar yo recibir la solicitud de
Derechos ARCO en 2 tantos
bull Sellar la recepcioacuten con fecha y firma de
quien la recibe
bull Revisar y realizar el anaacutelisis de
procedencia de la solicitud (20 diacuteas
haacutebiles)
bull Notificar al titular la resolucioacuten proceda o
no
bull Aplicar resolucioacuten (15 diacuteas haacutebiles)
Nota El Responsible puede si asiacute se requiere y justifica incrementar el
plazo por uacutenica ocasioacuten por los mismos plazos descritos en cada
proceso previa notificacioacuten al titular
46
El titular o su representante legal no se
acrediten debidamente
No se encuentren los datos personales
en su base (s) de datos
Se lesionen derechos de terceros
La rectificacioacuten cancelacioacuten u oposicioacuten
hayan sido solicitadas preaviamente
Exista impedimento legal o resolucioacuten de
las autoridades que restrinja el ejercicio
de estos derechos
El Responsable podraacute negar el ejercicio
de los Derechos ARCO cuando
VIII Proteccioacuten de Derechos
ante el Ifai
47
48
Expresar claramente el
contenido de su
reclamacioacuten
Presentar el
documento que pruebe
la fecha en que
presentoacute la solicitud de
Derechos ARCO
bull Por escrito libre o a traveacutes de los
formatos establecidos por el IFAI
bull Sistema electroacutenico
bull En el domicilio del Instituto u oficina habilitada
bull Por correo certificado con acuse de recibo
El titular o su representante legal presenta su solicitud de proteccioacuten de derechos ante
el IFAI
Estaacute inconforme con la
respuesta
Dentro de los 15 diacuteas siguientes a la fecha en
que se comunique la respuesta
No recibioacute respuesta
Dentro de los 15 diacuteas a partir de que haya vencido el plazo de
respuesta
El TitularPlazos
Podraacute interponerse
IX Sanciones e Infracciones
49
50
El Salario miacutenimo vigente en el DF para 2014 es
Salario Miacutenimo ZonaAacuterea geograacutefica A 6729 pesos diarios
Fuente httpsalariominimocommxsalario-minimo-2014
DSMV DF Diacuteas de Salario Miacutenimo vigente en el Distrito Federal
No dar atencioacuten a las solicitudes ARCO
El apercibimiento para que el
responsable lleve a cabo los actos solicitados por el
titular
Omitir el aviso mantener DP
inexactos negar la existencia de DP con
dolo
Multa de 100 a 160000 VSM DF
De $6230 a $9972800
Incumplir deber de confidencialidad
cambiar la finalidad o realizar transferencias sin dar aviso de ello o vulnerar la seguridad de las bases de datos
Multa de 200 a 320000 VSM DF
De $12466 a $19945600
51
Trataacutendose de datos
personales sensibles
Provocar una vulneracioacuten de
seguridad a las bases de
datos bajo su custodia
3 meses a 3 antildeos
Tratamiento de DP
mediante el engantildeo
aprovechaacutendose del error
del titular o del
responsable
6 meses a 5 antildeos
Penas
anteriores
Delitos llevados
a cabo con
aacutenimo de lucro
Delito Prisioacuten
52
53
Beatriz Vargas
Director Comercial
beatrizvbsconsultingcommx
Tel 6380 5705 Cel 551071 9446
Ricardo Rangel
Director de Proyectos Estraacutetegicos
ricardorbsconsultingcommx
Tel 6380 5705 Cel 554453 4778
wwwBSConsultingcommx
45
El Departamento yo Encargado
de DP Entregar explicar yo recibir la solicitud de
Derechos ARCO en 2 tantos
bull Sellar la recepcioacuten con fecha y firma de
quien la recibe
bull Revisar y realizar el anaacutelisis de
procedencia de la solicitud (20 diacuteas
haacutebiles)
bull Notificar al titular la resolucioacuten proceda o
no
bull Aplicar resolucioacuten (15 diacuteas haacutebiles)
Nota El Responsible puede si asiacute se requiere y justifica incrementar el
plazo por uacutenica ocasioacuten por los mismos plazos descritos en cada
proceso previa notificacioacuten al titular
46
El titular o su representante legal no se
acrediten debidamente
No se encuentren los datos personales
en su base (s) de datos
Se lesionen derechos de terceros
La rectificacioacuten cancelacioacuten u oposicioacuten
hayan sido solicitadas preaviamente
Exista impedimento legal o resolucioacuten de
las autoridades que restrinja el ejercicio
de estos derechos
El Responsable podraacute negar el ejercicio
de los Derechos ARCO cuando
VIII Proteccioacuten de Derechos
ante el Ifai
47
48
Expresar claramente el
contenido de su
reclamacioacuten
Presentar el
documento que pruebe
la fecha en que
presentoacute la solicitud de
Derechos ARCO
bull Por escrito libre o a traveacutes de los
formatos establecidos por el IFAI
bull Sistema electroacutenico
bull En el domicilio del Instituto u oficina habilitada
bull Por correo certificado con acuse de recibo
El titular o su representante legal presenta su solicitud de proteccioacuten de derechos ante
el IFAI
Estaacute inconforme con la
respuesta
Dentro de los 15 diacuteas siguientes a la fecha en
que se comunique la respuesta
No recibioacute respuesta
Dentro de los 15 diacuteas a partir de que haya vencido el plazo de
respuesta
El TitularPlazos
Podraacute interponerse
IX Sanciones e Infracciones
49
50
El Salario miacutenimo vigente en el DF para 2014 es
Salario Miacutenimo ZonaAacuterea geograacutefica A 6729 pesos diarios
Fuente httpsalariominimocommxsalario-minimo-2014
DSMV DF Diacuteas de Salario Miacutenimo vigente en el Distrito Federal
No dar atencioacuten a las solicitudes ARCO
El apercibimiento para que el
responsable lleve a cabo los actos solicitados por el
titular
Omitir el aviso mantener DP
inexactos negar la existencia de DP con
dolo
Multa de 100 a 160000 VSM DF
De $6230 a $9972800
Incumplir deber de confidencialidad
cambiar la finalidad o realizar transferencias sin dar aviso de ello o vulnerar la seguridad de las bases de datos
Multa de 200 a 320000 VSM DF
De $12466 a $19945600
51
Trataacutendose de datos
personales sensibles
Provocar una vulneracioacuten de
seguridad a las bases de
datos bajo su custodia
3 meses a 3 antildeos
Tratamiento de DP
mediante el engantildeo
aprovechaacutendose del error
del titular o del
responsable
6 meses a 5 antildeos
Penas
anteriores
Delitos llevados
a cabo con
aacutenimo de lucro
Delito Prisioacuten
52
53
Beatriz Vargas
Director Comercial
beatrizvbsconsultingcommx
Tel 6380 5705 Cel 551071 9446
Ricardo Rangel
Director de Proyectos Estraacutetegicos
ricardorbsconsultingcommx
Tel 6380 5705 Cel 554453 4778
wwwBSConsultingcommx
46
El titular o su representante legal no se
acrediten debidamente
No se encuentren los datos personales
en su base (s) de datos
Se lesionen derechos de terceros
La rectificacioacuten cancelacioacuten u oposicioacuten
hayan sido solicitadas preaviamente
Exista impedimento legal o resolucioacuten de
las autoridades que restrinja el ejercicio
de estos derechos
El Responsable podraacute negar el ejercicio
de los Derechos ARCO cuando
VIII Proteccioacuten de Derechos
ante el Ifai
47
48
Expresar claramente el
contenido de su
reclamacioacuten
Presentar el
documento que pruebe
la fecha en que
presentoacute la solicitud de
Derechos ARCO
bull Por escrito libre o a traveacutes de los
formatos establecidos por el IFAI
bull Sistema electroacutenico
bull En el domicilio del Instituto u oficina habilitada
bull Por correo certificado con acuse de recibo
El titular o su representante legal presenta su solicitud de proteccioacuten de derechos ante
el IFAI
Estaacute inconforme con la
respuesta
Dentro de los 15 diacuteas siguientes a la fecha en
que se comunique la respuesta
No recibioacute respuesta
Dentro de los 15 diacuteas a partir de que haya vencido el plazo de
respuesta
El TitularPlazos
Podraacute interponerse
IX Sanciones e Infracciones
49
50
El Salario miacutenimo vigente en el DF para 2014 es
Salario Miacutenimo ZonaAacuterea geograacutefica A 6729 pesos diarios
Fuente httpsalariominimocommxsalario-minimo-2014
DSMV DF Diacuteas de Salario Miacutenimo vigente en el Distrito Federal
No dar atencioacuten a las solicitudes ARCO
El apercibimiento para que el
responsable lleve a cabo los actos solicitados por el
titular
Omitir el aviso mantener DP
inexactos negar la existencia de DP con
dolo
Multa de 100 a 160000 VSM DF
De $6230 a $9972800
Incumplir deber de confidencialidad
cambiar la finalidad o realizar transferencias sin dar aviso de ello o vulnerar la seguridad de las bases de datos
Multa de 200 a 320000 VSM DF
De $12466 a $19945600
51
Trataacutendose de datos
personales sensibles
Provocar una vulneracioacuten de
seguridad a las bases de
datos bajo su custodia
3 meses a 3 antildeos
Tratamiento de DP
mediante el engantildeo
aprovechaacutendose del error
del titular o del
responsable
6 meses a 5 antildeos
Penas
anteriores
Delitos llevados
a cabo con
aacutenimo de lucro
Delito Prisioacuten
52
53
Beatriz Vargas
Director Comercial
beatrizvbsconsultingcommx
Tel 6380 5705 Cel 551071 9446
Ricardo Rangel
Director de Proyectos Estraacutetegicos
ricardorbsconsultingcommx
Tel 6380 5705 Cel 554453 4778
wwwBSConsultingcommx
VIII Proteccioacuten de Derechos
ante el Ifai
47
48
Expresar claramente el
contenido de su
reclamacioacuten
Presentar el
documento que pruebe
la fecha en que
presentoacute la solicitud de
Derechos ARCO
bull Por escrito libre o a traveacutes de los
formatos establecidos por el IFAI
bull Sistema electroacutenico
bull En el domicilio del Instituto u oficina habilitada
bull Por correo certificado con acuse de recibo
El titular o su representante legal presenta su solicitud de proteccioacuten de derechos ante
el IFAI
Estaacute inconforme con la
respuesta
Dentro de los 15 diacuteas siguientes a la fecha en
que se comunique la respuesta
No recibioacute respuesta
Dentro de los 15 diacuteas a partir de que haya vencido el plazo de
respuesta
El TitularPlazos
Podraacute interponerse
IX Sanciones e Infracciones
49
50
El Salario miacutenimo vigente en el DF para 2014 es
Salario Miacutenimo ZonaAacuterea geograacutefica A 6729 pesos diarios
Fuente httpsalariominimocommxsalario-minimo-2014
DSMV DF Diacuteas de Salario Miacutenimo vigente en el Distrito Federal
No dar atencioacuten a las solicitudes ARCO
El apercibimiento para que el
responsable lleve a cabo los actos solicitados por el
titular
Omitir el aviso mantener DP
inexactos negar la existencia de DP con
dolo
Multa de 100 a 160000 VSM DF
De $6230 a $9972800
Incumplir deber de confidencialidad
cambiar la finalidad o realizar transferencias sin dar aviso de ello o vulnerar la seguridad de las bases de datos
Multa de 200 a 320000 VSM DF
De $12466 a $19945600
51
Trataacutendose de datos
personales sensibles
Provocar una vulneracioacuten de
seguridad a las bases de
datos bajo su custodia
3 meses a 3 antildeos
Tratamiento de DP
mediante el engantildeo
aprovechaacutendose del error
del titular o del
responsable
6 meses a 5 antildeos
Penas
anteriores
Delitos llevados
a cabo con
aacutenimo de lucro
Delito Prisioacuten
52
53
Beatriz Vargas
Director Comercial
beatrizvbsconsultingcommx
Tel 6380 5705 Cel 551071 9446
Ricardo Rangel
Director de Proyectos Estraacutetegicos
ricardorbsconsultingcommx
Tel 6380 5705 Cel 554453 4778
wwwBSConsultingcommx
48
Expresar claramente el
contenido de su
reclamacioacuten
Presentar el
documento que pruebe
la fecha en que
presentoacute la solicitud de
Derechos ARCO
bull Por escrito libre o a traveacutes de los
formatos establecidos por el IFAI
bull Sistema electroacutenico
bull En el domicilio del Instituto u oficina habilitada
bull Por correo certificado con acuse de recibo
El titular o su representante legal presenta su solicitud de proteccioacuten de derechos ante
el IFAI
Estaacute inconforme con la
respuesta
Dentro de los 15 diacuteas siguientes a la fecha en
que se comunique la respuesta
No recibioacute respuesta
Dentro de los 15 diacuteas a partir de que haya vencido el plazo de
respuesta
El TitularPlazos
Podraacute interponerse
IX Sanciones e Infracciones
49
50
El Salario miacutenimo vigente en el DF para 2014 es
Salario Miacutenimo ZonaAacuterea geograacutefica A 6729 pesos diarios
Fuente httpsalariominimocommxsalario-minimo-2014
DSMV DF Diacuteas de Salario Miacutenimo vigente en el Distrito Federal
No dar atencioacuten a las solicitudes ARCO
El apercibimiento para que el
responsable lleve a cabo los actos solicitados por el
titular
Omitir el aviso mantener DP
inexactos negar la existencia de DP con
dolo
Multa de 100 a 160000 VSM DF
De $6230 a $9972800
Incumplir deber de confidencialidad
cambiar la finalidad o realizar transferencias sin dar aviso de ello o vulnerar la seguridad de las bases de datos
Multa de 200 a 320000 VSM DF
De $12466 a $19945600
51
Trataacutendose de datos
personales sensibles
Provocar una vulneracioacuten de
seguridad a las bases de
datos bajo su custodia
3 meses a 3 antildeos
Tratamiento de DP
mediante el engantildeo
aprovechaacutendose del error
del titular o del
responsable
6 meses a 5 antildeos
Penas
anteriores
Delitos llevados
a cabo con
aacutenimo de lucro
Delito Prisioacuten
52
53
Beatriz Vargas
Director Comercial
beatrizvbsconsultingcommx
Tel 6380 5705 Cel 551071 9446
Ricardo Rangel
Director de Proyectos Estraacutetegicos
ricardorbsconsultingcommx
Tel 6380 5705 Cel 554453 4778
wwwBSConsultingcommx
IX Sanciones e Infracciones
49
50
El Salario miacutenimo vigente en el DF para 2014 es
Salario Miacutenimo ZonaAacuterea geograacutefica A 6729 pesos diarios
Fuente httpsalariominimocommxsalario-minimo-2014
DSMV DF Diacuteas de Salario Miacutenimo vigente en el Distrito Federal
No dar atencioacuten a las solicitudes ARCO
El apercibimiento para que el
responsable lleve a cabo los actos solicitados por el
titular
Omitir el aviso mantener DP
inexactos negar la existencia de DP con
dolo
Multa de 100 a 160000 VSM DF
De $6230 a $9972800
Incumplir deber de confidencialidad
cambiar la finalidad o realizar transferencias sin dar aviso de ello o vulnerar la seguridad de las bases de datos
Multa de 200 a 320000 VSM DF
De $12466 a $19945600
51
Trataacutendose de datos
personales sensibles
Provocar una vulneracioacuten de
seguridad a las bases de
datos bajo su custodia
3 meses a 3 antildeos
Tratamiento de DP
mediante el engantildeo
aprovechaacutendose del error
del titular o del
responsable
6 meses a 5 antildeos
Penas
anteriores
Delitos llevados
a cabo con
aacutenimo de lucro
Delito Prisioacuten
52
53
Beatriz Vargas
Director Comercial
beatrizvbsconsultingcommx
Tel 6380 5705 Cel 551071 9446
Ricardo Rangel
Director de Proyectos Estraacutetegicos
ricardorbsconsultingcommx
Tel 6380 5705 Cel 554453 4778
wwwBSConsultingcommx
50
El Salario miacutenimo vigente en el DF para 2014 es
Salario Miacutenimo ZonaAacuterea geograacutefica A 6729 pesos diarios
Fuente httpsalariominimocommxsalario-minimo-2014
DSMV DF Diacuteas de Salario Miacutenimo vigente en el Distrito Federal
No dar atencioacuten a las solicitudes ARCO
El apercibimiento para que el
responsable lleve a cabo los actos solicitados por el
titular
Omitir el aviso mantener DP
inexactos negar la existencia de DP con
dolo
Multa de 100 a 160000 VSM DF
De $6230 a $9972800
Incumplir deber de confidencialidad
cambiar la finalidad o realizar transferencias sin dar aviso de ello o vulnerar la seguridad de las bases de datos
Multa de 200 a 320000 VSM DF
De $12466 a $19945600
51
Trataacutendose de datos
personales sensibles
Provocar una vulneracioacuten de
seguridad a las bases de
datos bajo su custodia
3 meses a 3 antildeos
Tratamiento de DP
mediante el engantildeo
aprovechaacutendose del error
del titular o del
responsable
6 meses a 5 antildeos
Penas
anteriores
Delitos llevados
a cabo con
aacutenimo de lucro
Delito Prisioacuten
52
53
Beatriz Vargas
Director Comercial
beatrizvbsconsultingcommx
Tel 6380 5705 Cel 551071 9446
Ricardo Rangel
Director de Proyectos Estraacutetegicos
ricardorbsconsultingcommx
Tel 6380 5705 Cel 554453 4778
wwwBSConsultingcommx
51
Trataacutendose de datos
personales sensibles
Provocar una vulneracioacuten de
seguridad a las bases de
datos bajo su custodia
3 meses a 3 antildeos
Tratamiento de DP
mediante el engantildeo
aprovechaacutendose del error
del titular o del
responsable
6 meses a 5 antildeos
Penas
anteriores
Delitos llevados
a cabo con
aacutenimo de lucro
Delito Prisioacuten
52
53
Beatriz Vargas
Director Comercial
beatrizvbsconsultingcommx
Tel 6380 5705 Cel 551071 9446
Ricardo Rangel
Director de Proyectos Estraacutetegicos
ricardorbsconsultingcommx
Tel 6380 5705 Cel 554453 4778
wwwBSConsultingcommx
52
53
Beatriz Vargas
Director Comercial
beatrizvbsconsultingcommx
Tel 6380 5705 Cel 551071 9446
Ricardo Rangel
Director de Proyectos Estraacutetegicos
ricardorbsconsultingcommx
Tel 6380 5705 Cel 554453 4778
wwwBSConsultingcommx
53
Beatriz Vargas
Director Comercial
beatrizvbsconsultingcommx
Tel 6380 5705 Cel 551071 9446
Ricardo Rangel
Director de Proyectos Estraacutetegicos
ricardorbsconsultingcommx
Tel 6380 5705 Cel 554453 4778
wwwBSConsultingcommx
Beatriz Vargas
Director Comercial
beatrizvbsconsultingcommx
Tel 6380 5705 Cel 551071 9446
Ricardo Rangel
Director de Proyectos Estraacutetegicos
ricardorbsconsultingcommx
Tel 6380 5705 Cel 554453 4778
wwwBSConsultingcommx