1. Ley Federal de Protección
de Datos Personales en
posesión de los Particulares
Lina Ornelas Núñez
Directora General de Clasificación y Datos
Personales IFAI
Agosto 2010
2. Periodos de implementación de la Ley
Federal de Protección de Datos
Personales
La Ley Federal de Protección de Datos Personales en posesión de los
Particulares se publicó en el Diario Oficial de la Federación el 5 de
julio de 2010.
2010.
A partir de su publicación su régimen transitorio comienza a ser
aplicable para su debida observancia de la siguiente manera:
manera:
6 de julio de 2010
La Ley entra en vigor.
vigor.
Julio de 2011
El Ejecutivo Federal deberá expedir su Reglamento.
Reglamento.
Las empresas designarán a una persona o departamento de datos
personales para atender las solicitudes de derechos ARCO.
ARCO.
Las empresas deberán expedir los avisos de privacidad.
privacidad.
3. Periodos de implementación de la Ley
Federal de Protección de Datos
Personales
Enero de 2012
Toda persona podrá ejercer sus derechos ARCO ante
los responsables designados por las empresas.
empresas.
Febrero de 2012
Toda persona podrá interponer su queja ante el IFAI,
en caso de que considere que cualquiera de sus
derechos ARCO ejercido ha sido vulnerado por el
responsable de que se trate.
trate.
4. En materia de seguridad de
las bases de datos…
Para garantizar la integridad, confidencialidad y disponibilidad de los
datos personales, la Ley prevé lo siguiente:
siguiente:
Todo responsable deberá establecer y mantener medidas de seguridad
de carácter administrativo, técnico y físico que permitan proteger los
datos personales contra daño, pérdida, alteración, destrucción o el uso,
acceso, o tratamiento no autorizado.
autorizado.
Los responsables no deberán adoptar medidas de seguridad menores a
aquellas que mantengan para el manejo de su información.
información.
Para la implementación de dichas medidas éstos deberán tomar en
cuenta factores como riesgo existente y posibles consecuencias para
los titulares, la sensibilidad de los datos personales y el desarrollo
tecnológico.
tecnológico.
5. En materia de promoción de una
cultura de la seguridad de las bases
de datos
El Instituto cuenta con la atribución de
divulgar estándares y mejores prácticas
internacionales en materia de seguridad
de la información, en atención a la
información,
naturaleza de los datos, las finalidades
del tratamiento y las capacidades
técnicas y económicas del responsable.
responsable.
6. En materia de vulneraciones
de seguridad
Las vulneraciones de seguridad ocurridas en cualquier fase del
tratamiento que afecten de forma significativa los derechos
patrimoniales o morales de los titulares, serán informadas de
forma inmediata por el responsable al titular, a fin de que este
titular,
último pueda tomar las medidas correspondientes a la defensa de
sus derechos.
derechos.
Considera como infracción vulnerar la seguridad de las bases de
datos locales, programas o equipos, cuando resulte imputable la
responsable, cuya sanción va de los 200 a 320,000 días de salario
320,
mínimo general vigente en el Distrito Federal.
Federal.
7. Mecanismos de
autorregulación
La Ley faculta a los particulares a convenir entre ellos o con
organizaciones civiles o gubernamentales, nacionales o
extranjeras, esquemas de autorregulación vinculante en la
materia, que tengan por objeto:
objeto:
o Complementar y adaptar a tratamiento específicos o concretos las
disposiciones de la Ley.
Ley.
o Desarrollar reglas o estándares específicos que permitan armonizar
los tratamientos de datos efectuados por los adheridos y facilitar el
ejercicio de los derechos ARCO.
ARCO.
o Incluir mecanismos para medir su eficacia en la protección de los
datos, consecuencias y medidas correctivas eficaces en caso de
incumplimiento.
incumplimiento.
Dichos esquemas serán notificados de manera simultánea a las
autoridades sectoriales correspondientes y al IFAI.
IFAI.
8. Modelo de seguridad
El modelo de seguridad que se adoptó es el siguiente:
siguiente:
En el Reglamento se establecerán las medidas de
seguridad transversales, exigibles y aplicables a todas las
bases de datos sin importar el tipo o sensibilidad de la
información personal.
personal.
En un instrumento ad hoc y específico se desarrollarán las
medidas y controles de seguridad concretos tomando en
consideración dos factores:
factores:
La sensibilidad de la información personal (nivel básico,
medio y alto).
alto).
El tipo de soporte de las bases de datos (físico,
automatizado o mixto).
mixto).
9. Modelo de seguridad
Este modelo se fundamenta en dos premisas:
premisas:
o El establecimiento de medidas y controles
que no generen costos excesivos de
implementación, mantenimiento y monitoreo
para los particulares y en la línea del
cumplimiento de otros estándares.
estándares.
o Garantizar una protección eficaz y viable
que permita disminuir riesgos o ataques a las
bases de datos que custodian los particulares
10. Medidas de seguridad que
debe prever el sector
privado
Transferencias.
Transferencias.
Gestión y resguardo de soportes físicos y/o de soportes electrónicos.
electrónicos.
Bitácoras para accesos y operación cotidiana.
cotidiana.
Gestión de incidentes.
incidentes.
Acceso a las instalaciones.
instalaciones.
Identificación y autenticación.
autenticación.
Procedimientos de respaldo y recuperación de datos.
datos.
Plan de contingencia.
contingencia.
Auditorías.
Auditorías.
Cancelación de bases de datos y destrucción de los soportes físicos y/o electrónicos.
electrónicos.
Lo anterior resulta conveniente documentarlo junto con las políticas, normas,
procedimientos y controles a implementar en cada caso.
caso.
Lo anterior permite la continuidad de las operaciones ante cualquier eventualidad,
evitar vulneraciones de seguridad, proteger el activo mas importante: la
importante:
información
11. Las medidas de seguridad
deberán atender:
• La sensibilidad de la información
personal (nivel básico, medio y alto).
alto).
• El tipo de soporte de las bases de
datos (físico, automatizado o mixto).
mixto).
12. Mecanismos de certificación
Se prevé que el Reglamento permita los
particulares la posibilidad de certificarse en
materia de seguridad, a fin de acreditar ante el
IFAI, y a su vez ante los titulares y el público en
general que sus prácticas de privacidad cumplen
con las obligaciones y disposiciones previstas en
la Ley y éste.
éste.
La certificación generará confianza en aquellas
empresas certificadas.
certificadas.