Anda di halaman 1dari 34

Ley Federal de Proteccin de Datos Personales en Posesin de los Particulares y su Reglamento

Una nueva Ley

Para ser un puerto Seguro


PwC

Antecedentes: Modelos de proteccin: UE vs. APEC

Marco de privacidad del foro de cooperacin econmica Asia Pacifico (APEC, 2005)
PwC

Mexico: LFPDPPP

Directivas Europeas 95/56/EC y 97/66/EC, 2002/58 EC

Un poco de antecedentes
Aspectos que pueden impactar en la organizacin
Habeas data

Convencin de Estrasburgo Protocolo 108 de la comisin de Europa


Modelo de la APEC Otros modelos desarrollados por Alemania, Espaa , Argentina y Brasil

PwC

Evolucin del derecho a la proteccin de datos: Mxico


Reformas constitucionales y anteproyectos de Ley Reforma Constitucional al Art. 73 Constitucional en Materia de Datos Personales (DOF el 30 de abril del 2009)

Reforma Constitucional al artculo 16


(1 de junio de 2009) Toda persona tiene derecho a la proteccin de sus datos personales, al acceso, rectificacin y cancelacin de los mismos, as como a manifestar su oposicin, en los trminos que fije la ley, la cual establecer los supuestos de excepcin a los principios que rijan el tratamiento de datos, por razones de seguridad nacional, disposiciones de orden pblico, seguridad y salud pblicas o para proteger los derechos de terceros

Ley Federal de Proteccin de Datos Personales en Posesin de los Particulares (DOF 6 de julio de 2010)
Reglamento (DOF 21 de diciembre de 2011)
PwC

Qu ha entrado en vigor? Se encuentra el marco jurdico completo?


Fecha Lmite para que los

Responsables expidan los avisos de privacidad


Fecha lmite para designar

A partir de esta fecha los Titulares de los datos podrn ejercer sus derechos ARCO frente a los Responsables

a la persona y/o departamento encargado del tratamiento de los datos Entra en vigor La LFPDPPP

Entra en vigor el Reglamento de la LFPDPPP

6 de Julio 2010

6 de Julio 2011

22 de diciembre 2011

Enero de 2012

A partir de Enero de 2012 cualquier reclamacin por parte de los Titulares de los datos podr seguir el procedimiento para la Proteccin de Derechos del Titular de los Datos.
31 PwC

Conceptos LFPDPPP

Conceptos utilizados: Titular Responsable Tratamiento Aviso de privacidad Consentimiento Canal

Tipos de datos: Datos personales Datos personales sensibles

Derechos Arco (en trminos de la Ley): Acceso Rectificacin Cancelacin Oposicin

PwC

Conceptos LFPDPPP
En el ciclo de vida de los datos (en trminos de la Ley):

Obtencin

Almacenamiento

Bloqueo

Uso

Divulgacin

Cancelacin / Supresin

PwC

mbito de aplicacin
Son sujetos regulados todas las personas morales de carcter privado. Excepcin 1: Sociedades de Informacin crediticia Excepcin 2: Recoleccin y tratamiento: (i) para uso exclusivamente personal; (ii) sin fines de divulgacin o utilizacin comercial. Excepcin 3: Proveedores (Artculo 5 del Reglamento)

Uso exclusivamente personal: Si la recoleccin tiene como finalidad el cumplir con una obligacin derivada de una relacin jurdica, no se considera para uso exclusivamente personal .
PwC

Impacto de la LFPDPPP en la organizacin


Aspectos que pueden impactar en la organizacin
Nuevas obligaciones

Nuevas multas Nuevo delitos


Publicidad negativa

Acciones legales por dao moral


Prdida de la confianza de clientes y empleados

PwC

Impacto en las diversas reas de la organizacin


reas de la organizacin impactadas por la LFPDPPP
CEO: Dao a la reputacin y a la marca

CFO: Crecimiento de costos; costos vs. beneficios Ventas/Mercadotecnia: Metas de venta; servicio a clientes
Legal/Control Interno: Mayor carga administrativa; demandas; auditoras por parte del IFAI RH: Intercambio de carteras; plazos de conservacin de datos Director de TI: Necesidad de incorporar medidas tcnicas, administrativas y fsicas para proteger la informacin
PwC

Por dnde empezar?


Necesidad de crear un Programa de cumplimiento
Resulta indispensable realizar un diagnstico multidisciplinario -Aspectos legales -Aspectos de seguridad -Aspectos de tecnologa (TI) -Aspectos de procesos Un diagnostico adecuado permite desarrollar una estrategia de gobierno de los datos y disear un programa de cumplimiento en torno a la estrategia.

PwC

Programa de Proteccin de Datos: Tres pilares


Datos Personales Datos Personales Sensibles
Principio de Licitud

Funcin de Tratamiento de datos


Generacin Obtencin Uso Acceso, manejo, divulgacin, aprovechamiento, transferencia, disposicin Guarda Bloqueo Cancelacin /supresin

Principio de Responsabilid ad

Principio de Lealtad

Principio de Proporcionali dad

Primer pilar: Principios jurdicos del Tratamiento

Principio de Consentimien to

Segundo pilar: Seguridad de la informacin

Principio de Finalidad Principio de Calidad

Principio de Informacin

Tercer pilar: Garanta al ejercicio de derechos ARCO (Departamento Datos Personales)


PwC

Situacin actual en las organizaciones


Variedad de canales para captar informacin y de polticas internas de tratamiento.
Internet Solicitudes de trabajo Consulta a bases de datos Adquisicin de informacin Desconocimiento sobre transferencias de datos a terceros; falta de contratos; poco control sobre informacin transferida.

Datos inexactos Fines imprecisos Informacin desproporcionada conforme al fin Ineficiencia de TI Falta de consentimiento del titular Finalidades poco claras Finalidades especficas por rea Polticas diversas de tratamiento No se tiene evidencia del consentimiento de los titulares; falta de procesos para dar curso a solicitudes de derechos arco.

PwC

Un ejemplo que puede pasar en la realidad

Data center India Call Center

Matriz en EUA

Tercero: Persona fsica o moral nacional o extranjera. Responsable: Persona fsica o moral que trata los datos. Informacin concerniente a una persona.

Encargado: Persona fsica o jurdica que trate datos personales por cuenta del responsable.

Empresa de ventas telefnica

Datos personales y datos personales sensibles Privacy disclaimer

Datos de origen racial, tnico, estado de salud, preferencia sexual.


PwC

Titular: Dueo de los datos.

Situacin objetivo de la LFPDPPP


Determinar claramente responsabilidades del tratamiento Canales de obtencin
Aviso de Privacidad completo Aviso de Privacidad simplificado Aviso de Privacidad de espacios limitados

Canales de transferencia
Contratos de procesamiento Obligaciones y clusulas apropiadas al tipo de relacin

Tratamiento de la informacin
Plazos de conservacin Finalidades actuales; nuevos productos y reutilizacin Bloqueo Respuesta a solicitudes de derechos ARCO Seguridad TI Medidas administrativas

PwC

Pilares del Programa


Primer pilar: principios jurdicos para el tratamiento
Necesidad de contar con anlisis slidos a fin de:
Determinar polticas para el tratamiento Aprovechar las excepciones que nos brinda la legislacin para evitar costos operativos Identificar responsables y garantizar el que la organizacin logre efectivamente incidir en la conducta de proveedores y socios comerciales Generar una cultura en la organizacin que permita generar evidencia de cumplimiento a fin de limitar riesgos de sanciones o demandas.
Principio de Licitud Principio de Responsabilid ad Principio de Lealtad

Principio de Proporcionalid ad

Principio de Consentimient o

Principio de Finalidad Principio de Calidad

Principio de Informacin

PwC

Pilares del Programa


Segundo Pilar: Medidas de Seguridad
El Responsable o aquel que lleve a cabo el tratamiento de datos personales tiene ciertas obligaciones con la finalidad de proteger los datos personales contra (a) dao, (b) prdida; (c) alteracin; (d) destruccin; (e) uso, acceso o tratamiento no autorizado. La obligacin consiste en: establecer y mantener ciertas medidas de seguridad. Las medidas de seguridad son de 3 tipos:

Administrativas

Tcnicas

Fsicas

PwC

Pilares del Programa


Tercer pilar: Proteccin de derechos ARCO
El Departamento de Proteccin de Datos tiene dos funciones crticas:

Dar trmite a las solicitudes de los titulares.


Necesidad de analizar la procedencia de solicitudes de acceso, cancelacin , rectificacin y oposicin al tratamiento Los datos personales deben ser resguardados de tal manera que permitan el ejercicio sin dilacin de estos derechos (20 + 15) Procesos consecuenciales: La cancelacin de datos personales dar lugar a un periodo de bloqueo tras el cual se proceder a la supresin del dato

Fomentar la proteccin de datos personales al interior de la organizacin.


Programas de capacitacin a empleados Sensibilizacin de clientes, proveedores y socios de negocios

PwC

Aspectos metodolgicos para el diagnstico


Analizar las necesidad de la empresa
Revisar documentacin legal Identificar si la organizacin ha llevado a cabo los anlisis jurdicos que la ley requiere

Frente legal

PwC

Aspectos metodolgicos para el diagnstico


Identificar las reas involucradas Confirmar el alcance en cuanto al flujo, ciclo y tratamiento de datos Verificar si la operacin actual establece la evidencia adecuada y suficiente para brindar confort sobre la proteccin de datos.

Frente procesos

PwC

Aspectos metodolgicos para el diagnstico


Verificar las medidas de seguridad especficas para la proteccin de datos en los procesos de negocio y en las Tecnologas de informacin Verificar el estado de las instalaciones involucradas en el tratamiento y ciclo de los datos personales.

Frente seguridad

Analizar las posibles amenazas y vulnerabilidades, as como los riesgos. Analizar los mecanismos para el tratamiento de riesgos en la organizacin

PwC

Actividades Inmediatas

1
Estrategia de proteccin de datos

2
Diagnstico del nivel de cumplimiento

Estrategia de proteccin de datos

3
Plan de accin

PwC

15

Actividades Inmediatas

1 Plan de difusin,
capacitacin, gestin, del cambio de proteccin de datos

4 Acciones sobre las


medidas de seguridad

2 Acciones sobre los datos


personales y personales sensibles agnstico del nivel de cumplimiento

5 Acciones sobre los


Estrategia de proteccin de datos
principios jurdicos de tratamiento

3 Acciones sobre el
tratamiento sobre los datos personales y personales sensibles (datos arco)

3
Plan de accin

PwC

15

Actividades Inmediatas

1
Estrategia de proteccin de datos

2
Diagnstico del nivel de cumplimiento

Estrategia de proteccin de datos

4
Implementacin

3
Plan de accin

PwC

15

Actividades Inmediatas

1 Tablero de control de
tratamiento de datos a nivel organizacin y por unidad de negocio

3 Implementacin de
acciones sobre datos personales sensibles

2 Implementacin de la
funcin y rol de los responsables de tratamiento de datos

4 Implementacin sobre
Estrategia de proteccin de datos
los procedimientos arco (manual de operaciones)

4
Implementacin

5 Implementacin sobre
las medidas de seguridad

PwC

15

Actividades Inmediatas

5
Validacin del nivel de cumplimiento

Estrategia de proteccin de datos

2
Diagnstico del nivel de cumplimiento

Estrategia de proteccin de datos

4
Implementacin

3
Plan de accin

PwC

15

Actividades Inmediatas

Auditorias internas
Asesora en el manejo de incidencias
Estrategia de proteccin de datos

5
Validacin del nivel de cumplimiento

Validacin y monitoreo de la implementacin.

Operacin, monitoreo y mejora continua Asesora en nuevas regulaciones

Servicios de soporte, calidad y mejora continua.


PwC
15

Las facultades del IFAI Avisos de privacidad y Autoregulacin Dra. Lina Ornelas

PwC

Conclusiones

La empresa enfrenta nuevos retos y nuevas obligaciones y hay un trmino para cumplir con las disposiciones

La empresa debe contar con una estrategia que sostenga su Programa de proteccin de datos; un diagnstico proporciona la informacin necesaria para disear una estrategia y el Programa

Resulta importante generar

evidencia del cumplimiento

PwC

Conclusiones

El marco jurdico se ir desenvolviendo en el tiempo, situacin que demanda un

sistema continuado de control y mejora

Esencial crear una cultura de proteccin de datos dentro de la organizacin a fin de que el programa de proteccin de datos sea conocido, compartido y aplicado por toda la organizacin

Resulta esencial

revisar las relaciones con terceros y


asegurarse que los terceros han sido efectivamente vinculados al Programa

PwC

Qu hacer cuando soy titular y tengo una queja?

PwC

Recuerde

Es importante revisar la congruencia de sus Avisos de Privacidad.


PwC

Gracias

2012 PricewaterhouseCoopers S.C. Todos los derechos reservados. En este documento PwC se refiere a PricewaterhouseCoopers S.C., la cual es una firma miembro de PricewaterhouseCoopers International Limited, cada firma miembro constituye una entidad legal independiente. MPC: 021209_AM_PresWebcastDatos

Anda mungkin juga menyukai