Diapositiva 1 - Instituto Veracruzano de Acceso a la Información y

Anuncio
Taller para la elaboración
de los Sistemas de Datos
Personales
Mtra. Irma Rodríguez Ángel
Directora de Datos Personales
DDP-IRA
Deber
Promover
Respetar
Proteger
Garantizar
seguridad
Instrumentos de protección
DDP-IRA
Instrumentos de protección
1) Acuerdo de creación, modificación
supresión de Sistemas de datos personales
y
Conjunto organizado de datos de carácter personal,
dinámicamente relacionados, que se obtienen de personas,
con el objeto de ser procesados para el cumplimiento de una
finalidad determinada, para formar una actividad, cualquiera
que sea su soporte, organización o acceso, vinculados de
forma inseparable al ejercicio de competencias legales y a la
ejecución de funciones administrativas.
Implicaciones:
• Determinado por titular o área
correspondiente del E.P.
• Publicado en G.O. E., internet o
mesa o tablero
• Registro en plataforma del IVAI
DDP-IRA
Sistemas de Datos Personales
ARCHIVOS
Modalidad
acceso, creación,
almacenamiento
REGISTROS
CONJUNTO
ORGANIZADO
FICHEROS
BANCO
BASES
Sistemas de Datos
Personales. ART. 10 LTDP
•
•
•
•
•
•
•
•
•
¿Para qué?
¿De quién?
¿Cómo se obtienen?
¿Cuáles tipos de datos?
¿A quién los comparto?
¿Quién es el responsable de ellos?
¿Dónde ejerzo los derechos ARCO?
¿Cuánto tiempo los conservo?
¿Qué nivel de protección le aplica?
DD
PIR
A
Involucrados
Responsable de los
Sistemas
de
Datos
Personales
Responsable
Sistema de Datos
del
Encargado
del
tratamiento de los datos
personales
Titular de la Unidad de
Acceso (coordinador interno
y enlace ante el IVAI)
Titular-persona física de la
Instancia
responsable
(unidad,
área,
departamento, oficina o nivel
administrativo
con
capacidad
jurídica
de
decisión)
Servidor
Público
que
realiza tratamiento cotidiano
de los datos personales
DDP-IRA
Identificación de SDP
Archivos, registros, ficheros, bases o bancos de datos
personales de los entes públicos.
Recopilar formatos de trámites o servicios ofrecidos
por el ente público a la sociedad en general.
Revisión de la normatividad interna que establezca
como requisitos la inclusión o entrega de datos
identificativos, electrónicos, biométricos, de salud,
académicos u otros de una persona.
Los sistemas de datos personales
deberán reflejar el ejercicio de las
funciones o atribuciones de cada ente
público.
DDP-IRA
¿Cómo elaboro los Sistemas
de Datos Personales?
¿En qué procedimientos, función o servicio
solicito o pido datos personales en
cumplimiento de atribuciones legales?
FORMATO DE TRAMITE O SERVICIO
NORMATIVIDAD
Artículo 56 LTAIP
1. Cualquier persona, directamente o a través de su representante legal, podrá ejercer su
derecho de acceso a la información ante el sujeto obligado que corresponda. La solicitud se hará
mediante escrito libre o en los formatos diseñados por el Instituto ante la Unidad de Acceso
respectiva. Este requerimiento deberá contener:
I. Nombre del solicitante, domicilio para recibir notificaciones o, en su caso, correo
electrónico;
II. …
Artículo 55. LTDP
La solicitud de acceso, rectificación, cancelación u oposición de los datos personales deberá
contener, cuando menos, los requisitos siguientes:
I…
II. Nombre completo del titular y, en su caso, el de su representante legal;
III. Descripción clara y precisa de los datos personales respecto de los que se busca ejercer
alguno de los derechos antes mencionados;
IV…
V. El domicilio, mismo que debe encontrarse dentro de la capital del Estado, o medio
electrónico para recibir notificaciones; y
VI. ….
TRANSITO Y TRATAMIENTO AUTORIZADO
DE LOS DATOS PERSONALES
Recibe DP
AREA 4
AREA 7
AREA 1
UTILIZA
ARCHIVA
AREA 2
AREA 5
REGISTRA
CREA BASE
AREA 3
REVISA
AREA 6
COBRA
AREA 8
AREA 9
NO SIGNIFICA QUE CADA UNA TENGA
CREAR UN SISTEMA
A
Contenido de los SDP
El contenido de los sistemas de datos
personales está definido por el artículo 10 de
la Ley 581 y se complementan en su alcance
por el dispositivo 7 de los Lineamientos para la
Tutela de Datos Personales
NOMBRE DEL SISTEMA: Debe aludir al
procedimiento o función, y considerar la
unificación de sistemas que compartan la
misma finalidad
OBSERVACIONES
1.
2.
3.
4.
5.
El nombre o identificación del sistema no es igual al nombre
del área administrativa, porque un área de acuerdo a sus
atribuciones puede darle tratamiento a varios sistemas o a
ninguno
No se crea un sistema por cada acción que se realice con los
datos personales
Considerar la unificación de sistemas cuando así lo permita su
operación y tratamiento
Desde la identificación se debe visualizar la creación de la
declarativa y el documento de seguridad
El nombre es importante porque los sistemas son una
herramienta para ejercitar los derechos ARCO
Ejemplos de Sistemas de Datos
Personales
1)
2)
3)
4)
5)
6)
7)
Del Padrón Catastral
De los beneficiarios del Programa de Adulto Mayor
De la expedición de constancias
De asistencia médica del DIF
Para la expedición de la Cartilla de Servicio Militar
De beneficiarios del programas asistenciales
De beneficiarios de programas de Fomento
agropecuario
8) Del registro de audiencias
9) De los expedientes de solicitudes de información
10) Del fichero de control de acceso a las instalaciones
11) De la declaración patrimonial
Sistemas de Datos Personales del
Padrón Catastral
1) Art. 72 fracción XIX. LOML. En materia de Catastro
y de conformidad con los convenios que al efecto se
celebren: a) Recabar la información necesaria de las
autoridades, dependencias y entidades de carácter
federal, estatal o municipal y de los particulares,
para la formación y conservación del banco de
datos; …
2) Art. 4 fracción XLII. Ley de Catastro. Padrón
Catastral: Base de datos que contiene información
de los predios inscritos en los Registros Catastrales
(Datos gráficos, administrativos, estadísticos,
legales y técnicos con que se inscribe un bien
inmueble en el catastro estatal)
Sistemas de Datos Personales del
Padrón Catastral
3) Artículo 20. Reglamento Ley de Catastro El Registro Alfanumérico es el
conjunto de datos contenidos en el padrón técnico que describen un predio, a
saber:….
e) Clave Única de Registro de Población (CURP) del propietario o poseedor. y en su
caso el Registro Federal de Contribuyentes por lo que hace a personas morales:
f) Nombre del propietario o poseedor;
g) Ubicación del predio
1. Calle;
2. Número Postal;
3. Colonia o Fraccionamiento
h) Destino del predio;
i) Domicilio para oír y recibir notificaciones:
1. Calle;
2. Número oficial;
3. Código postal;
4. Colonia o fraccionamiento;
5. Municipio y Estado;
I.Finalidad y uso previsto (para qué recopilo DP)
Finalidad: propósito legal para la recopilación de la
información personal
Uso previsto: empleo o destino que se le da a los
datos personales obtenidos
Ejemplo:
La finalidad en el sistema de datos personales de solicitudes de
información es verificar el cumplimiento de los requisitos que
establece el artículo 56.1 de la LTAIP
El uso previsto es para identificación del solicitante, notificación
de la respuesta, tramite interno, entrega de la información,
generación de informes o estadísticas.
DDP-IRA
II. Origen y grupo interesado (De quién recopilo DP)
Corresponde a la procedencia o mecanismo por el que se
obtienen los datos personales (propio interesado,
representante, ente público, etcétera) así como la indicación
de la denominación del grupo o sector del que se realice la
obtención, manejo o tratamiento de los datos personales, o
que resulten obligados a suministrarlos
III. Personas sobre quien se obtiene datos (De quién)
Ejemplo:
Del interesado como solicitante de la información
Ciudadanía en general
DDP-IRA
IV. Procedimiento de recopilación
(Cómo obtengo DP)
Indicar la forma o mecanismo de obtención de los datos
personales (formulario, Internet, transmisión electrónica,
etcétera), si son varias indicarlas todas. (NO SE TRATA
DE DESCRIBIR REQUISITOS)
Ejemplo:
De forma física cuando el solicitante utiliza el escrito
libre o formato de solicitud entregado en Oficialía de
partes del Instituto, y en forma electrónica a través del
correo electrónico institucional, así mismo de acuerdo al
procedimiento de registro y apertura de cuenta de
usuario en el Sistema Infomex-Veracruz, que permite la
formulación electrónica de solicitudes de información.
DDP-IRA
V. Estructura Básica (Que categorías y cuáles
tipos de DP)
Descripción detallada de los datos que contiene
cada sistema a través de las categorías que
establece el dispositivo 5 de estos lineamientos,
y el modo de tratamiento utilizado en su
organización (manual o automatizado)
DDP-IRA
Estructura Básica
Tipos de sistemas de
datos personales
(art. 4 LTDP)
Categorías de
personales
(art. 5 LTDP)
datos
Físicos
Automatizados
1.Identificativos
2.Electrónicos
3.Laborales
4.Patrimoniales
5.Sobre
procedimientos
administrativos
y/o
jurisdiccionales
6.Académicos
7.De tránsito y movimientos
migratorios
8.Salud
9.Biométricos
10.Especialmente
protegidos
(sensibles)
11.Datos
personales
de
naturaleza pública
DDP-IRA
VI. Cesión de la que pueden ser objeto
(A quienes comparto DP)
Indicar los destinatarios o categorías de destinatarios
Destinatario: Persona física o moral, pública o privada,
a la que un ente público proporcionará datos personales
Ejemplo:
Instituto Veracruzano de Acceso a la Información
Si no existe ninguna cesión se deberá colocar NO
APLICA
DDP-IRA
VII. Instancia responsable
Titulares de área con capacidad de decisión
Ejemplo:
Área Administrativa: Unidad de Acceso a la
Información Pública
Cargo del responsable: Titular de la UAIP
NOTA: NO COLOCAR NOMBRES DE SERVIDOR PUBLICO Y
DEBE EXISTIR COMPATIBILIDAD ENTRE EL AREA Y EL
CARGO. EN ALGUNAS OCASIONES SE HA DETECTADO AREA:
DIRECCIÓN…. Y CARGO: SECRETARIA DE..
VIII. Unidad ante quien se ejerce derechos ARCO
(Datos de UAIP)
Domicilio oficial y dirección electrónica de la Unidad de
Acceso a la Información Pública
Ejemplo:
Unidad de Acceso a la Información Pública de:
___________
Domicilio:____________________________
Teléfonos:____________________________
correo electrónico: _______________________
NOTA: ESTABLECER UN CORREO ELECTRONICO
INSTITUCIONAL
DDP-IRA
IX. Plazo de conservación (Tiempo de resguardo de la
información)
Periodo o lapso de preservación de los datos
personales en base a las disposiciones archivísticas
aplicables a cada ente público, y vigencia documental
en los archivos de trámite, concentración e histórico
según su soporte (manual o automatizado)
SUGERENCIA:
Verificar el Catálogo de Disposición Documental
NOTA: S.O. NO HAN CUMPLIDO CON ESTE
INSTRUMENTO Y NO SE TRATA DE UN CALCULO
POR SENTIDO COMUN
CICLO DE VIDA DE DOCUMENTO
ARCHIVO
DE
CONCENTRACIÓN
Recepción o
producción
ARCHIVO
DE TRÁMITE
•Administrativo
•Legal
•Contable
•Fiscal
•Testimonial
•Evidencial
•Informativo
NO
NO
Asignar
tiempo de
conservación
ARCHIVO
HISTÓRICO
BAJA
DOCUMENTAL
CATALOGO DE DISPOSICIÓN DOCUMENTAL
X. Nivel de protección
Indicación del nivel de seguridad que resulte aplicable,
básico, medio o alto
ART. 30 LTDPV
Básico. Es obligatoria para todos los sistemas de datos
personales.
Medio. Datos relativos a la comisión de infracciones
administrativas o penales, hacienda pública, servicios financieros,
datos patrimoniales, así como a los sistemas que contengan datos
personales suficientes para obtener una evaluación de la
personalidad del individuo.
Alto. Sistemas de datos concernientes a la ideología, religión,
creencias, afiliación política, origen étnico, salud, biométricos,
genéticos o vida sexual, así como los que contengan datos
recabados para fines policiales, de seguridad, prevención,
investigación y persecución de delitos.
Estructura del acuerdo
El ente público debe tomar en consideración los requisitos que
para la emisión de acuerdos establezca su normatividad interna,
ya sea a través de su titular, o del área correspondiente conforme
el ámbito de competencia, respetando los principios y garantías
en materia de datos personales.
Nombre del acuerdo
Proemio: Descripción de artículos que facultan al ente público
para emitir el acuerdo
Parte considerativa: fundamentación y motivación específica
Resolutivos: descripción detallada de los sistemas datos
personales y las acciones para su implementación y registro
Firmas de quien aprueba
Anexo: Listado de los sistemas de datos personales del ente
público con los requisitos del artículo 10 de la Ley 581
DDP-IRA
Presentación y aprobación
El artículo 10 de la Ley 581, señala que será a través del titular, o del
área correspondiente, la creación, modificación o supresión de los
sistemas de datos personales, conforme al ámbito de su competencia.
Trabajo coordinado del titular de la Unidad de Acceso para la integración
del mismo, como de los responsables o encargados de cada sistema
para la aportación de información por ello es recomendable presentar el
documento preliminar a la totalidad de las áreas involucradas, para su
posterior aprobación en la forma y con los requisitos que establezca su
normatividad interna.
Aprueba
Titular
Órgano de gobierno
Junta Directiva
Órgano Colegiado
Presidente
Cabildo
Etc.
ACLARACIÓN
El artículo 10 de la Ley 581, señala que será a
través del titular, o del área correspondiente, la
creación, modificación o supresión de los sistemas de
datos personales, conforme al ámbito de su
competencia, por lo que NO ES ACTIVIDAD DEL
COMITÉ
DE
INFORMACION
ACCESO
RESTRINGIDO, ya que en materia de datos
personales el CIAR solo se constituye como COMITÉ
PARA LA SEGURIDAD INFORMATICA DE LOS
DATOS PERSONALES, con el objeto de aprobar las
medidas de seguridad aplicables a los sistemas.
Publicación
En cumplimiento al artículo 10 segundo párrafo de la
Ley 581 y 6 de los Lineamientos para la Tutela de los
Datos Personales, el acuerdo debe ser publicado en la
Gaceta Oficial, en la página de internet institucional o
en la mesa o tablero de información municipal.
DDP-IRA
Registro electrónico
Una vez identificados y aprobado los Sistemas de
Datos Personales, los entes públicos deben
registrarlos en la plataforma electrónica del IVAI,
con los elementos y características que define la
ley.
Observaciones:
 Los entes públicos NO entregan al IVAI, las
bases o bancos de datos personales, solo la
descripción del tipo de dato personal que
resguardan
La generación de sistemas de datos personales
no implica la generación de nuevas bases de datos
ni la modificación de su almacenamiento.
DDP-IRA
Cirilo Celis Pastrana s/n. Av. Lázaro
Cárdenas, C.P. 91110, Xalapa, Ver.
01 (228) 842 02 70 ext. 406
01 800 TEL IVAI (835 4824)
www.ivai.org.mx
Mtra. Irma Rodríguez Ángel
Directora de Datos Perosnales
irodriguez@verivai.org.mx
DDP-IRA
Descargar