2. NORMATIVIDAD
•Ley Federal de Protección de Datos Personales
en Posesión de los Particulares (LFPDPPP)
-sector privado –
•Ley General de Protección de Datos Personales
en Posesión de Sujetos Obligados (LGPDPPSO)
- sector público -
•Leyes locales o estatales de protección de datos
personales en posesión de sujetos obligados,
armonizadas u homologadas con las
disposiciones de la LGPDPPSO, como la Ley de
Protección de Datos Personales en Posesión de
Sujetos Obligados del Estado de Chiapas
(LPDPPSOCHIS).
3. Ley de Protección de Datos
Personales en Posesión de Sujetos
Obligados
Prevé
Conceptos, figuras y
principios de acuerdo con
los estándares
nacionales e
internacionales.
Estándares mínimos que
permitan uniformar el
derecho a la protección
de datos personales en el
país en el sector público
4. ¿Qué es el derecho a la
protección de los datos
personales?
Poder de disposición y control que faculta al titular de los
datos personales a
• Decidir cuáles de sus datos proporciona a un tercero
• Saber quién posee esos datos y para qué
• Oponerse a esa posesión o uso.
5. El derecho a la protección
de los datos personales
Le confiere a las personas
físicas control sobre su propia
información personal.
Surge como un derecho
autónomo e independiente
del derecho de acceso a la
información.
Faculta al individuo a decidir
quién, cómo, cuándo y hasta que
punto utilizará su información
personal.
Protege la dimensión
informativa de nuestra vida
privada
6. Derecho a la
protección de
datos
personales
Ar tículo 16 Constitucional.
“Toda persona tiene derecho a la protección
de sus datos personales, al acceso,
rectificación y cancelación de los mismos, así
como a manifestar su oposición, en los
términos que fije la ley.…”
Derechos ARCO
7. Derechos ARCO
L P D P P S O C H I S
•Acceso
El titular tendrá derecho de acceder a sus
datos personales que obren en posesión del
responsable, así como a conocer la
información relacionada con las condiciones,
generalidades y particularidades de su
tratamiento. Artículo 60.
II. Sus datos personales sean objeto
de un tratamiento automatizado, el
cual le produzca efectos jurídicos
no deseados o afecte de manera
significativa sus intereses, derechos
o libertades, y estén destinados a
evaluar, sin intervención humana,
determinados aspectos personales
del mismo o analizar o predecir, en
particular, su rendimiento
profesional, situación económica,
estado de salud, preferencias
sexuales, fiabilidad o
comportamiento. Artículo 64
•Rectificación
El titular tendrá derecho a solicitar al
responsable la rectificación o corrección
de sus datos personales, cuando éstos
resulten ser inexactos, incompletos o no
se encuentren actualizados. Artículo 61
•Cancelación
El titular tendrá derecho a
solicitar la cancelación de sus
datos personales de los
archivos, registros, expedientes
y sistemas del responsable, a fin
de que los mismos ya no estén
en su posesión. Artículo 62
•Oposición
El titular podrá oponerse al
tratamiento de sus datos personales
o exigir que se cese en el mismo,
cuando:
I. Exista una causa legítima y su
situación específica así lo requiera,
lo cual implica que aun siendo lícito
el tratamiento, el mismo debe cesar
para evitar que su persistencia
cause un daño o perjuicio al titular,
o
8. Ley De
Protección de
Datos Personales
en Posesión de
Sujetos
Obligados del
Estado de
Chiapas
G a ra n t i z a r e l d e r e c h o d e l as p e r s o n as a l a
p r o t e c c i ó n d e s u s d a t os p e r s o n a l e s q u e
e s t é n e n p o d e r o p os e s i ó n d e t o d o e n t e
p ú b l i c o d e l os t r e s ó r d e n e s y n i v e l e s d e
g o b i e r n o , as í c o m o d e l os p a r t i d os p o l í t i c os
y o t r os s u j e t os o b l i g a d os .
Ayuntamientos
El poder Ejecutivo
9. Es toda información concerniente a una
persona física identificada o identificable.
Se considera identificable a una persona
cuando su identidad puede ser determinada
directa o indirectamente a través de cualquier
información
Se expresan de forma numérica, alfabética,
alfa numérica, fotográfica, acústica o de
cualquier otra manera.
DATOS
PERSONALES
12. DATOS PERSONALES DE
CARÁCTER SENSIBLE
•Refieren la esfera más íntima de su
titular
•Su utilización indebida puede
•Dar origen a discriminación o
•Representar un riesgo grave para la
persona.
Origen étnico o racial
Información genética
Estado de
salud
Creencias
religiosas
13. O p e ra c i o n e s l l e v a d as a c a b o
d u ra n t e e l c i c l o d e v i d a d e l os
d a t os p e r s o n a l e s , d e s d e e l
m o m e n t o d e s u o b t e n c i ó n ,
p as a n d o p o r s u e x p l o t a c i ó n o
a p r o v e c h a m i e n t o , h as t a s u
s u p r e s i ó n o e l i m i n a c i ó n
Tratamiento de
datos personales
14. La persona física propietaria que
proporciona sus datos personales
a terceros de los sectores público
y privado para acceder a un
servicio o realizar un trámite.
TITULAR DE LOS DATOS PERSONALES
15. ESTADISTICAS
MENSUALES DE
PROGRESO
L P D P P S O :
C u a l q u i e r a u t o r i d a d , d e p e n d e n c i a ,
e n t i d a d , o r g a n i s m o u ó r g a n o d e
l os p o d e r e s E j e c u t i v o , L e g i s l a t i v o
y J u d i c i a l ; o r g a n i s m os u ó r g a n os
a u t ó n o m os ; f i d e i c o m i s os y f o n d os
p ú b l i c os y p a r t i d os p o l í t i c os .
Responsable
S o n i n s t a n c i a s p ú b l i c a s , n o
p e r s o n a s f í s i c a s .
• T i e n e n e l p o d e r d e d e c i s i ó n
r e s p e c t o a l t r a t a m i e n t o d e l o s
d a t o s p e r s o n a l e s .
• R e c i b e n s o l i c i t u d e s p a r a e j e r c i c i o
d e l o s d e r e c h o s A R C O .
El poder Ejecutivo
Ayuntamientos
A r t í c u l o 5 , f r a c c i ó n X X X
16. El oficial de protección
de datos personales
Para aquellos responsables que en el ejercicio de sus
funciones sustantivas lleven a cabo tratamientos de
datos personales relevantes o intensivos, podrán
designar a un oficial de protección de datos personales,
el cual formará parte de la Unidad de Transparencia.
Artículo 109
17. ESTADISTICAS
MENSUALES DE
PROGRESO
El Oficial de
Protección de
datos Personales
La LPDPPSO y los compromisos que
adquiera en torno a la protección de
datos personales puedan ser atendidos
debidamente por una sola persona.
El tipo y cantidad de
datos personales que
trata
La naturaleza e
intensidad del
tratamiento
Número potencial de
solicitudes de titulares de
datos personales que
podrá recibir o recibe
El valor que tengan los
datos personales para el
sujeto obligado
18. Atribuciones:
I. Asesorar al Comité de Transparencia respecto a los temas que sean
sometidos a su consideración en materia de protección de datos
personales.
II. Proponer al Comité de Transparencia políticas, programas, acciones y
demás actividades que correspondan para el cumplimiento de la presente
Ley y demás disposiciones que resulten aplicables en la materia.
III. Implementar políticas, programas, acciones y demás actividades que
correspondan para el cumplimiento de la presente Ley y demás
disposiciones que resulten aplicables en la materia, previa autorización
del Comité de Transparencia;
IV. Asesorar permanentemente a las áreas adscritas al responsable en
materia de protección de datos personales, y;
V. Las demás que determine la normatividad aplicable. Artículo 110
El oficial de
protección de
datos
personales
19. Funciones y Atribuciones de
La Unidad de Transparencia
Auxiliar y orientar al titular que lo requiera con relación al ejercicio del derecho a la
protección de datos personales
Gestionar las solicitudes para el ejercicio de los derechos ARCO.
Establecer mecanismos para asegurar que los datos personales solo se entreguen a su
titular o su representante debidamente acreditados;
Informar al titular o su representante el monto de los costos a cubrir por la
reproducción y envío de los datos personales, con base en lo establecido en las
disposiciones normativas aplicables;
Proponer al Comité de Transparencia los procedimientos internos que aseguren y
fortalezcan mayor eficiencia en la gestión de las solicitudes para el ejercicio de los
derechos ARCO;
Aplicar instrumentos de evaluación de calidad sobre la gestión de las solicitudes para
el ejercicio de los derechos ARCO
Asesorar a las áreas adscritas al responsable en materia de protección de datos
personales.
20. Garantizado por 33 Organismos
Autónomos (1Nacional y 32
Estatales)
Otorga al individuo control sobre
su información personal
(Derechos ARCO: Acceso,
Rectificación, Cancelación,
Oposición)
Excepciones: seguridad nacional,
disposiciones de orden público,
seguridad y salud públicas y
derechos de terceros
Derecho a la
protección de
datos personales
Derecho fundamental,
autónomo e independiente del
derecho a la privacidad y al
DAI
22. DEBER DE
SEGURIDAD
Medidas de seguridad de
carácter administrativo, físico y
técnico
Protegerlos contra daño,
pérdida, alteración, destrucción
o su uso, acceso o tratamiento
no autorizado, así como
garantizar su confidencialidad,
integridad y disponibilidad
En apego a la Ley y los
Lineamientos Generales de
Protección de Datos Personales
para el Sector Público.
Artículo 45
23. Medidas de seguridad
Artículo 46
Considerar:
Las posibles consecuencias de la
vulneración para los titulares
El riesgo inherente a los datos
tratados
La sensibilidad de
los datos
El número de
titulares
Las vulneraciones
previas ocurridas
El desarrollo tecnológico
Las transferencias de
datos que se realicen
24. MEDIDAS DE
SEGURIDAD
FÍSICAS
Conjunto de acciones y mecanismos para
proteger el entorno físico de los datos
personales y de los recursos involucrados
en su tratamiento
a) Prevenir que el acceso no autorizado;
b) Prevenir el daño a las instalaciones;
c) Proteger los recursos móviles, portátiles y
cualquier soporte físico o electrónico
d) proveer a los equipos un
mantenimiento eficaz que asegure
su disponibilidad e integridad;
25. MEDIDAS DE
SEGURIDAD TÉCNICAS
Conjunto de acciones y
mecanismos que se valen de
la tecnología relacionada
con hardware y software
para proteger el entorno
digital de los datos
personales y los recursos
involucrados en su
tratamiento.
a) Prevenir que el acceso a las
bases de datos o a la
información;
b) Generar un esquema de
privilegios;
c) Revisar la configuración de
seguridad
d) Gestionar las
comunicaciones, operaciones
y medios de almacenamiento;
26. Políticas y Procedimientos
La identificación y clasificación de la
información
Sensibilización y capacitación del personal
Documentos necesarios para la seguridad
de la información
Medidas de
seguridad
administrativas
27. Funciones y
obligaciones de
quienes tratan datos
personales
• Establecer y documentar los roles y
responsabilidades
• Es necesario establecer los mecanismos el
conocimiento de
• Sus funciones para el cumplimiento de los objetivos del
sistema de gestión,
• Consecuencias de su incumplimiento.
• Diseñar e implementar programas a corto,
mediano y largo plazo para capacitar a los
involucrados internos y externos,
considerando:
• Roles y responsabilidades
• El perfil de sus puestos.
28. SISTEMA DE GESTIÓN
Conjunto de elementos y actividades
interrelacionadas para
• Establecer
• Implementar
• Operar
• Monitorear
• Revisar
• Mantener y
• Mejorar el tratamiento y seguridad
de los datos personales
(LPDPPSOCH Artículo 48.)
Documenta y contiene las acciones relacionadas con las
medidas de seguridad para el tratamiento de los datos
30. Acciones implicadas
Crear políticas para la
gestión y tratamiento de
los datos personales.
Definir las funciones y
obligaciones.
Realizar un análisis
de riesgo de los
datos personales
Elaborar un inventario de
datos personales y de los
sistemas de tratamiento.
Realizar un
análisis de
brecha. Diseñar y aplicar
capacitación del
personal.
Monitorear y revisar
medidas de seguridad
implementadas.
Elaborar un plan de
trabajo para la
implementación de las
medidas de seguridad.
31. Documento de seguridad
Instrumento que describe y da cuenta de
manera general sobre las medidas de
seguridad técnicas, físicas y administrativas
adoptadas por el responsable para garantizar
la confidencialidad, integridad y disponibilidad
de los datos personales que posee
Será de observancia obligatoria para los responsables y demás personas
que realizan algún tipo de tratamiento de datos personales.
Artículo 49
32. Documento de seguridad
El inventario de datos personales y de los sistemas de tratamiento
Las funciones y obligaciones de las personas que traten datos personales
El análisis de riesgos
El análisis de brecha
El Plan de trabajo
Los mecanismos de monitoreo y revisión de las medidas de seguridad
El programa general de capacitación
33. Actualización del
documento de seguridad
Cuando:
• Se produzcan modificaciones sustanciales al
tratamiento de datos personales que
deriven en un cambio en el nivel de riesgo;
• Como resultado de un proceso de mejora
continua, derivado del monitoreo y revisión
del sistema de gestión;
• Como resultado de un proceso de mejora
para mitigar el impacto de una vulneración
a la seguridad ocurrida;
• Se implementen acciones correctivas y
preventivas ante una vulneración de
seguridad
34. TAREA PARA EL
CUMPLIMIENTO DE LA
LPDPPSOCHIS
Desarrollar el Sistema de Gestión y
sistematizarlo construyendo el
Documento de Seguridad
Debe construirse de manera
colegiada y en equipo
interdisciplinario, lo que implica la
participación de representantes de
cada una de las áreas que integran el
sujeto obligado, coordinados por el
oficial de protección de datos
personales y con apoyo de la unidad
de transparencia
Editor's Notes
Una de las leyes que tutelamos en el Instituto de transparencia, acceso a la información y protección de datos personales del estado de Chiapas, es la lpdppso, que busca garantizar a la ciudadanía que sus datos estarán protegidos mientas se encuentran en posesión de una institución a la que ha acudido para hacer un trámite o servicio. Hoy conoceremos un poco acerca de esta ley y del sistema de gestión que permite dar cuenta de las acciones que estamos emprendiendo para proteger los datos personales con los que trabajamos como parte de nuestras atribuciones.
Primeramente, es necesario identificar que existen leyes federales y locales. La Ley federal… , la ley general …. Y las lyes locales
Es decir, nos ofrece las líneas de acción necesarias para garantizar que los datos personales no serán vulnerados mientras se encuentren en nuestra posesión, en observancia del derecho a la protección de nuestros datos personales
Y si bien es cierto, es nuestro derecho, también lo es que la mayoría de veces estamos obligados a dar nuestra información personal para realizar un trámite o acceder a un servicio, lo que nos deja en un estado vulnerable si la institución que recibe nuestra información no se hace responsable. Esto nos pone, como institución, ante un compromiso mucho mas serio y nos reclama mayor cuidado
Es decir, aunque tengo derecho de acceso a la información, este tiene como límite el derecho a la privacidad de las personas. Podemos pedir toda clase de información excepto la que corresponde a la vida privada de las personas
4. sin importar de qué se trate, mi vida privada estará protegida; y eso incluye mis gustos, preferencias, hábitos, costumbres y cualquier cosa relacionada con mi intimidad.
Este es un derecho constitucional, signado en el artículo 6º constitucional que a la letra dice…. Y ello, da cabida a lo que hemos llamado derechos ARCO, por las siglas de estos otros derechos (acceso, rectificación, cancelación y oposición). Lo cual implica que puedo pedir la información que se tiene de mi en una institución y es obligación dármela (mi derecho de acceso); también tengo derecho a rectificar cuando un dato está equivocado o ha cambiado, tenemos derecho a cancelar la posesión o uso de esos datos y a oponerme, por ejemplo a que los compartan, los publiquen o sigan conservándolos una vez concluido el trámite
Es decir, cuando ofrecemos un servicio o recibimos un trámite en la que requerimos información personal, la recopilamos, registramos o integramos un expediente, conservamos dicho expediente, lo almacenamos o archivamos, organizamos por temas, difundimos cuando necesitamos la colaboración de otra área para desarrollar el trámite, la consultamos reiteradas veces; y en ese proceso, tenemos que protegerla de robo, extravío o uso no autorizado hasta su supresión o eliminación; para tranquilidad del titular de los datos personales
Ahora bien, podemos pregruntarnos que son los datos personales. Muchas veces se genera confusión entre lo que es y lo que no es un dato personal. Primeramente tenemos que saber que
Estos datos personales tienen que ver con nuestro origen étnico o racial, las creencias religiosas, información genético o estado de salud, nuestra filiación política, nuestras preferencias sexuales, hábitos, costumbres, prácticas culturales.
A manera de ejemplo sobre como su divulgación puede representar un riesgo grave para las personas, podemos remontarnos al tiempo en que surgió el sida y recordar como las personas eran altamente marginadas cuando se sabía que padecían esta enfermedad, o recientemente cuando empezó la pandemia, que el personal de salud era rechazado en su vecindario por temor al contagio. Las rencillas políticas o religiosas que generan repudio entre los integrantes de una comunidad, el rechazo hacia las personas con preferencias sexuales diferentes a las nuestras, etc.
Es por ello que cuando es necesario trabajar con datos sensibles, los mecanismos de protección deben ser mas seguros durante el tratamiento
Es decir, cuando ofrecemos un servicio o recibimos un trámite en la que requerimos información personal, la recopilamos, registramos o integramos un expediente, conservamos dicho expediente, lo almacenamos o archivamos, organizamos por temas, difundimos cuando necesitamos la colaboración de otra área para desarrollar el trámite, la consultamos reiteradas veces; y en ese proceso, tenemos que protegerla de robo, extravío o uso no autorizado hasta su supresión o eliminación; para tranquilidad del titular de los datos personales
Al respecto, hay que recordar que el titular
Este sistema de gestión responderá al principio de responsabilidad y las acciones que se deriven de su implementación deberán se integradas al documento de seguridad
Esto significa que no puedo dar los datos personales de nadie, excepto cuando es por mandato judicial. Es decir, si yo soy parte de un proceso legal y un juez solicita mi información personal en mi trabajo, no se puede negar porque es un mandato judicial
El contenido del documento de seguridad será:
Cada uno de estos temas serán explicados detenidamente en las próximas sesiones, de tal forma que pueda construirse paso a paso, en apego a la ley
Esto significa que no puedo dar los datos personales de nadie, excepto cuando es por mandato judicial. Es decir, si yo soy parte de un proceso legal y un juez solicita mi información personal en mi trabajo, no se puede negar porque es un mandato judicial
Las acciones relacionadas con las medidas de seguridad para el tratamiento de los datos personales y las responsabilidades de quienes tratan estos datos , deberán estar documentadas y contenidas en un sistema de gestión.
Este sistema de gestión responderá al principio de responsabilidad y las acciones que se deriven de su implementación deberán se integradas al documento de seguridad
Estas acciones serán:
Para dar cuenta de todas estas acciones y del plan de protección de datos personales, se redactará el documento de seguridad, que es un
El contenido del documento de seguridad será:
Cada uno de estos temas serán explicados detenidamente en las próximas sesiones, de tal forma que pueda construirse paso a paso, en apego a la ley
Finalmente, hay que decir que el documento de seguridad será actualizado cuando…
La razón de esto es que cada área conoce los datos personales que utiliza y la manera de trabajar con ellos para los tratamientos que realiza. Por lo tanto, sería muy difícil que una sola persona pudiera desarrollar todo el proceso y elaborar el sistema de gestión y el documento de seguridad