Manual de Capacitación para la Protección de

Anuncio
MANUAL DE CAPACITACIÓN
PARA LA PROTECCIÓN DE
DATOS PERSONALES EN
POSESIÓN DEL PODER
EJECUTIVO
Coordinación
Junio de 2014
General de
0
Transparencia
DIRECTORIO
María Catalina Daza Hernández y solución
Encargada de Despacho de
Contraloría del Estado de Puebla
la
Secretaría
de
la
Josefina Buxadé Castelán
Coordinadora General de Transparencia
COORDINADOR
Julio Carballo Galindo
Director de Transparencia y Protección
Personales de la Secretaría de la Contraloría
de
Datos
EQUIPO TÉCNICO
Andrea Gómez Chargoy
Departamento de Protección de Datos Personales de la
Secretaría de la Contraloría
María Fernanda Sánchez Anaya
Departamento de Protección de Datos Personales de la
Secretaría de la Contraloría
En colaboración con el Instituto de Administración
Pública del Estado de Puebla
Contacto:
Secretaría de la Contraloría
Coordinación General de Transparencia
Teléfono: 3.03.46.00 ext. 3437
Dirección: Centro Integral de Servicios (CIS), Edificio Ejecutivo, tercer piso
Boulevard Atlixcáyotl No. 1101 Col. Concepción Las Lajas, C.P. 72190
Puebla, Puebla.
1
ÍNDICE
ÍNDICE ............................................................................................................................................................. 2
ABREVIATURAS ........................................................................................................................................... 4
GLOSARIO...................................................................................................................................................... 5
DOCUMENTOS DE IMPLEMENTACIÓN .............................................................................................. 8
CAPÍTULO 1: INTRODUCCIÓN A LA PROTECCIÓN DE DATOS PERSONALES ...................... 9
1.1 ¿Qué son los datos personales y por qué es importante su protección? ........................................ 9
1.2 Principios .............................................................................................................................................. 10
1.3 Categorías de datos personales ......................................................................................................... 13
1.4 Datos personales y datos personales sensibles ............................................................................... 14
ACTIVIDADES .......................................................................................................................................... 15
CAPÍTULO 2: FUNCIONES DE LOS SUJETOS OBLIGADOS .......................................................... 17
2.1 Titular del Sujeto Obligado ................................................................................................................ 17
2.2 Titular de la Unidad Administrativa de Acceso a la Información ............................................... 19
2.3 Responsable del SDP .......................................................................................................................... 26
2.4 Encargado del SDP.............................................................................................................................. 30
2.5 Coordinación General de Transparencia de la Secretaría de la Contraloría ............................... 32
2.6 Infracciones .......................................................................................................................................... 34
ACTIVIDADES .......................................................................................................................................... 35
CAPÍTULO 3: SISTEMAS DE DATOS PERSONALES ........................................................................ 37
3.1 Creación, modificación y eliminación de SDP ................................................................................ 37
3.2 Obtención de datos personales por medios electrónicos ............................................................... 41
3.3 Medidas de seguridad ........................................................................................................................ 41
3.4 Tratamiento .......................................................................................................................................... 43
3.5 Transmisión ......................................................................................................................................... 45
3.6 SDP en materia de salud .................................................................................................................... 46
3.7 SDP en materia de seguridad pública .............................................................................................. 48
3.8 Proceso de tratamiento de SDP ......................................................................................................... 50
ACTIVIDADES .......................................................................................................................................... 54
CAPÍTULO 4: DERECHOS ARCO ........................................................................................................... 56
4.1 Introducción a los derechos ARCO .................................................................................................. 56
4.2 Proceso de solicitud de derechos ARCO .......................................................................................... 61
2
ACTIVIDADES .......................................................................................................................................... 67
CAPÍTULO 5: RECOMENDACIONES PARA PUBLICAR DATOS PERSONALES CUANDO
EXISTEN OBLIGACIONES DE TRANSPARENCIA Y SOLICITUDES DE INFORMACIÓN .... 68
5.1 Protección de datos personales vs máxima publicidad ................................................................. 68
5.2 El “nombre propio” como dato personal y atributo de la personalidad ..................................... 68
5.3 La publicidad de la información gubernamental ........................................................................... 69
5.4 Recomendaciones generales para publicar o no el “nombre propio” ante una solicitud de
acceso o una responsabilidad de transparencia .................................................................................... 70
REFERENCIAS ............................................................................................................................................. 71
Referencias bibliográficas......................................................................................................................... 71
Referencias electrónicas............................................................................................................................ 71
Referencias jurídicas ................................................................................................................................. 71
3
ABREVIATURAS
ARCO: Acceso, rectificación, cancelación y oposición
CAIP: Comisión para el Acceso a la Información Pública y Protección de Datos Personales
del Estado
IFAI: Instituto Federal de Acceso a la Información y Protección de Datos
Infodf: Instituto de Acceso a la Información Pública y Protección de Datos Personales del
Distrito Federal
SDP: Sistema de Datos Personales
4
GLOSARIO
Archivo: Conjunto de documentos.
Automatización: Operaciones efectuadas con ayuda de procedimientos mecanizados
dentro de un Sistema de Datos Personales, siendo éstas las siguientes: registro de datos,
aplicación de operaciones lógicas aritméticas, modificación, borrado, extracción o difusión.
Bloqueo de datos personales: Impedimento para difundir y tratar datos personales.
Consulta directa: Derecho que tiene toda persona de revisar sus datos personales en
posesión de los Sujetos Obligados, previa solicitud de acceso. También se le conoce como
consulta in situ.
Criterio de máximo alcance: Es el medio y periodo de difusión que resulte más eficiente
para dar a conocer el Aviso de Protección de Datos Personales y abarcar al mayor número
posible de titulares cuando se implemente una medida compensatoria.
Datos personales: Información numérica, alfabética, gráfica, acústica o de cualquier otro
tipo concerniente a una persona física identificada (que se sabe de quién se trata) o
identificable (que se puede saber de quién se trata), por ejemplo: el origen étnico; las
características físicas, morales o emocionales; la vida afectiva y familiar; el domicilio y el
teléfono particular; el correo electrónico personal y que no haya sido establecido como
oficial por alguna regulación; los bienes que conforman el patrimonio; la ideología; las
opiniones políticas; las creencias, las convicciones filosóficas, morales y religiosas; el
estado de salud físico o mental; la preferencia u orientación sexual; la huella digital; la
información genética; el número de afiliación a cualquier organismo de seguridad social,
entre otros.
Datos personales sensibles: Los datos personales que atañen a la esfera más íntima de su
titular, o cuyo uso indebido propicie discriminación o conlleve un riesgo grave para su
titular.
Derecho de Acceso: El derecho que tiene toda persona para solicitar y obtener información
de sus datos sometidos a tratamiento.
Derecho de Cancelación: Aquél que posee el titular de los datos personales para que se
eliminen los que resulten ser inadecuados o excesivos, o cuando el tratamiento no se ajuste
a lo dispuesto por las leyes.
5
Derecho de Oposición: Aquél que posee el titular de negarse al tratamiento de los datos
que le conciernan en caso de que hayan sido recabados sin su consentimiento, o cuando
existan motivos fundados para ello, siempre y cuando la Ley no disponga lo contrario.
Derecho de Rectificación: Aquél que posee el titular de solicitar la corrección de datos que
resulten inexactos o incompletos.
Disociación: Proceso a través del cual los datos de una persona son desvinculados, para
evitar que se identifique al propietario. En otras palabras, los datos se vuelven anónimos.
Encargado: Integrante del Sujeto Obligado facultado para tratar los datos personales para
cumplir con la finalidad para la que fueron recabados.
Información confidencial: La información que contiene datos personales y se encuentra
en posesión de los Sujetos Obligados, susceptible de ser tutelada por el derecho a la vida
privada, el honor y la propia imagen; la información protegida por el secreto comercial,
industrial, bancario, fiduciario, fiscal y profesional; la información protegida por la
legislación en materia de derechos de autor, propiedad intelectual y la relativa al
patrimonio de una persona.
Medida compensatoria: Prevención temporal, tomada por los Sujetos Obligados, para
difundir el Aviso de Protección de Datos Personales, de manera generalizada y masiva
entre los titulares cuyos datos fueron recabados antes de la entrada en vigor de la Ley o, en
su caso, de aquellos datos obtenidos de forma indirecta a través de la transmisión de datos
personales.
Procedimiento de disociación: Todo tratamiento de datos personales que impida que la
información que se obtenga pueda asociarse a una persona.
Recurso de revisión: Medio de impugnación interpuesto ante la Comisión de Acceso a la
Información Pública y Protección de datos personales, por la inconformidad ante una
respuesta del Sujeto Obligado o la ausencia de ésta, derivada de una solicitud de acceso,
rectificación, cancelación u oposición de datos personales;
Responsable: Persona facultada para decidir sobre el contenido y finalidad de un SDP, así
como la protección y tratamiento de los datos que lo integran.
Sistema de Datos Personales (SDP): Todo conjunto organizado de archivos, registros,
bases o banco de datos personales de los Sujetos Obligados, cualquiera que sea la forma o
modalidad de su creación, almacenamiento, organización y acceso.
6
Sistemas de Datos Personales Automatizados: Aquellos Sistemas cuyos datos están
contenidos en una herramienta tecnológica.
Sistemas de Datos Personales Físicos: Aquellos Sistemas cuyos datos están contenidos en
registros manuales, impresos, sonoros, magnéticos, visuales u holográficos, estructurado
conforme a criterios específicos.
Sistemas de Datos Personales Mixtos: Aquellos Sistemas cuyos datos se encuentran en
soportes físicos y automatizados.
Solicitante: Titular de los datos personales, o su representante legal, que ejerce los
derechos de acceso, rectificación, cancelación u oposición.
Titular: La persona física a quien hacen referencia o pertenecen los datos personales.
Transmisión de datos personales: Toda consulta o tratamiento de datos realizada por una
persona física o moral autorizada distinta al titular, así como la transferencia o
comunicación de datos realizada entre Sujetos Obligados.
Tratamiento: Cualquier operación aplicada a los SDP; relacionada con la obtención,
registro, organización, conservación, elaboración, utilización, transmisión, difusión,
interconexión, transferencia o cualquier otra en que se utilicen los datos personales.
Unidad de Acceso: Unidad Administrativa de Acceso a la Información.
Usuario externo: Persona física o moral, externa al Sujeto Obligado, autorizada por un
instrumento jurídico para el tratamiento de datos personales.
7
DOCUMENTOS DE IMPLEMENTACIÓN
Nota: Un formato general de estos documentos se entregará a todos los Sujetos
Obligados del Ejecutivo del Estado.
8
CAPÍTULO 1: INTRODUCCIÓN A LA PROTECCIÓN DE
DATOS PERSONALES
1.1 ¿Qué son los datos personales y por qué es
importante su protección?
Los datos personales son cualquier información relativa a una persona física identificada
(que sabemos quién es) o identificable (que fácilmente podemos determinar quién es).
Algunos datos personales se consideran sensibles, ya sea porque atañen a la esfera más
íntima de la persona, porque su uso indebido puede propiciar discriminación, porque son
datos cuya difusión conlleva un riesgo grave1 para el titular o porque se relacionan con la
dignidad de la persona. Algunos ejemplos son: el origen étnico, la ideología, la religión y
la orientación sexual.
Los órganos de gobierno recaban y utilizan los datos personales de los ciudadanos para el
cumplimiento de sus objetivos, que pueden ser: proporcionar los trámites que la sociedad
requiere para su funcionamiento o realizar programas y políticas públicas, por mencionar
algunos.
El hecho de que nuestros datos estén en posesión de organizaciones gubernamentales ha
generado la necesidad de proteger el derecho que tenemos todos los individuos a la
privacidad. Esto quiere decir que nadie puede entrometerse arbitrariamente en nuestra
vida privada, familiar, domicilio o correspondencia, tal como lo establece la Declaración
Universal de Derechos Humanos proclamada en 1948. “La protección constitucional de la
vida privada implica poder conducir parte de la vida de uno protegido de la mirada y las
injerencias de los demás” (SCJN, 2009).
En México, a partir de 2009 entró en vigor la reforma al artículo 16 de la Constitución
Mexicana para incluir el derecho a la protección de datos personales, que establece el
derecho de toda persona a la protección de sus datos personales y al acceso, rectificación y
cancelación de los mismos, así como a manifestar su oposición a su tratamiento; y en el
estado de Puebla se encuentra regulado por la Ley de Protección de Datos Personales en
Posesión de los Sujetos Obligados del Estado de Puebla.
Estas nuevas normas tienen la finalidad de regular el tratamiento legítimo, controlado e
informado de cualquier información concerniente a una persona física identificada o
Un riesgo grave es cualquier situación que coloque al titular en una posición de vulnerabilidad en su contexto
social o familiar.
1
9
identificable (Tenorio, 2012). Esto se traduce en que los Sujetos Obligados en posesión de
datos personales tengan que observar principios y cumplir con obligaciones, al tiempo que
los ciudadanos puedan ejercer derechos sobre sus datos” (IFAI, 2012).
1.2 Principios
Los principios que rigen la protección de datos personales son once:
PRINCIPIOS QUE RIGEN LA PROTECCIÓN DE DATOS
PERSONALES
CALIDAD
Los datos personales deben ser exactos (veraces) y estar actualizados (puestos al día).
CONFIDENCIALIDAD
Solamente el titular, el responsable, el
encargado y el usuario externo (en su
caso) pueden acceder a los datos
personales, según la Ley.




En caso de emergencia
Por seguridad pública
Por seguridad nacional
Por salud pública
Excepciones de confidencialidad:
 Por resolución judicial
10
CONSENTIMIENTO
El tratamiento de datos personales requiere de la anuencia informada, libre, inequívoca,
específica y expresa del titular. Los integrantes de los Sujetos Obligados no podrán
difundir datos personales, salvo disposición legal o consentimiento expreso del titular
por escrito.
¿Cuándo no es necesario el consentimiento expreso del titular?







Cuando el tratamiento de los datos esté previsto en una ley.
Para la realización de las funciones propias de la administración pública.
Cuando exista una orden judicial.
Cuando por motivos de salud, el titular no pueda consentir.
Cuando sea una transmisión de datos entre organismos gubernamentales para
fines históricos, estadísticos o científicos.
Cuando se den a conocer al usuario externo para su tratamiento.
Cuando los datos figuren en registros públicos.
DISPONIBILIDAD
Los datos personales serán almacenados de modo que permitan ejercer los derechos de
acceso, rectificación, cancelación y oposición (derechos ARCO).
FINALIDAD
Los SDP no pueden tener propósitos contrarios a las leyes o a la moral pública y no
pueden usarse para fines distintos o incompatibles con el motivo de su obtención.
No podrán existir SDP que contengan exclusivamente datos sensibles, a menos que esté
contemplado en una ley, que sea por razones de interés público, que exista un
consentimiento expreso por escrito de los titulares o que sea para fines estadísticos,
científicos o históricos.
La información de los Sistemas que tengan la finalidad exclusiva de almacenar datos
personales sensibles deberá someterse a un procedimiento de disociación, excepto
cuando se trate de fines históricos, científicos o de salud pública.
INFORMACIÓN
A través del Aviso de Protección de Datos Personales los Sujetos Obligados deben hacer
del conocimiento de las personas, de manera completa, precisa y previa a su obtención:
1.
2.
3.
4.
5.
La existencia del Sistema de Datos Personales (SDP) y su finalidad
El carácter obligatorio u optativo de la información que se requiere
Las consecuencias del suministro de los datos
Las consecuencias de no suministrar los datos o de hacerlo de manera inexacta
La posibilidad de ejercer los derechos de acceso, rectificación, cancelación y
oposición
6. La identidad y dirección de la Unidad de Acceso.
LICITUD
Los Sujetos Obligados sólo podrán poseer los SDP que les permitan sus atribuciones
legales o reglamentarias.
PERTINENCIA
Los Sujetos Obligados sólo pueden recabar y utilizar datos personales con fines oficiales
y lícitos, y deberán ser adecuados y no excesivos en relación con su ámbito y finalidad.
RESPONSABILIDAD
Los datos personales no serán divulgados o puestos a disposición de terceros para usos
diferentes a los especificados por quien los obtuvo, excepto en casos previstos por las
leyes.
SEGURIDAD
Únicamente el responsable, el encargado, o en su caso, los usuarios externos autorizados
pueden llevar a cabo el tratamiento de los datos personales.
TEMPORALIDAD
El tiempo de conservación de los datos será el necesario para el cumplimiento de su
finalidad. Cuando dejen de ser necesarios, deberán ser destruidos, disociados o
conservados para fines históricos, previa valoración documental.
12
1.3 Categorías de datos personales
De acuerdo con la clasificación que emitió la CAIP, los datos personales se dividen en las
siguientes categorías, pero pueden existir otras cuando éstas no sean suficientes para
incluir todos los datos personales que existen.
DATOS DE IDENTIFICACIÓN
Ejemplos: Nombre, domicilio, teléfono particular, teléfono celular, firma, Registro Federal de
Contribuyentes (RFC), Clave Única de Registro de Población (CURP), Cartilla Militar, número
de Pasaporte, lugar y fecha de nacimiento, nacionalidad, edad, fotografía.
DATOS ELECTRÓNICOS
Ejemplos: Correo electrónico, dirección IP (Protocolo de Internet), dirección MAC (dirección
Media Access Control o dirección de control de acceso al medio), nombre de usuario,
contraseñas, firma electrónica.
Todos los funcionarios públicos deben utilizar el correo electrónico oficial, pues éste es el
que se publica como información de contacto y no se considera dato personal.
DATOS LABORALES
Ejemplos: Documentos de reclutamiento y selección, nombramiento, incidencia, capacitación,
actividades extracurriculares, referencias laborales, referencias personales, solicitud de empleo,
hoja de servicio.
DATOS PATRIMONIALES
Ejemplos: Bienes muebles e inmuebles, información fiscal, historial crediticio, ingresos y
egresos, cuentas bancarias, seguros, fianzas, servicios contratados, referencias personales o
crediticias.
DATOS SOBRE PROCEDIMIENTOS ADMINISTRATIVOS Y/O JURISDICCIONALES
Ejemplos: Información relativa a una persona que se encuentre sujeta a un procedimiento
administrativo seguido en forma de juicio o jurisdiccional en materia laboral, civil, penal, fiscal,
administrativa o de cualquier otra rama del Derecho.
DATOS ACADÉMICOS
Ejemplos: Trayectoria educativa, calificaciones, títulos, cédula profesional, certificados,
reconocimientos.
DATOS DE TRÁNSITO Y MOVIMIENTOS MIGRATORIOS
Ejemplos: Información relativa al tránsito de las personas dentro y fuera del país.
DATOS SENSIBLES
13

Datos sobre la salud:
Ejemplos: Expediente clínico de cualquier atención médica, referencias o descripción de
sintomatologías, detección de enfermedades, incapacidades médicas, discapacidades,
intervenciones quirúrgicas, vacunas, consumo de estupefacientes, uso de aparatos
oftalmológicos, ortopédicos, auditivos, prótesis, el estado físico o mental de la persona, métodos
anticonceptivos, datos relacionados con la sexualidad.
 Datos de características físicas:
Ejemplos: Color de piel, color de iris, color de cabello, señas particulares, estatura, peso,
complexión, tatuajes.
 Datos de características personales o biométricas:
Ejemplos: Huella digital, tipo de sangre, ADN, geometría de la mano, características de iris y
retina.
 Otros datos sensibles: cualquier dato que se considere susceptible de mayor protección por
sus características y que no entre en alguna de las subcategorías mencionadas.
Otras posibles categorías:
DATOS FAMILIARES
Ejemplos: datos sobre las relaciones familiares o afectivas, dependientes económicos, situación
familiar específica, estado civil.
1.4 Datos personales y datos personales sensibles
Los datos personales, como ya se ha dicho, son cualquier información relativa a una
persona física, pero existen datos que se consideran parte de la esfera más íntima de las
personas y se denominan datos personales sensibles. Son aquéllos cuyo uso indebido
puede propiciar discriminación o riesgo grave para su titular, tal y como son, por
mencionar
origen
algunos:
étnico;
características
físicas
emocionales;
la
el
las
o
DISCRIMINACIÓN POR VIH EN UNA UNIVERSIDAD
vida
El 24 de febrero de 2014, SDP Noticias expuso el caso de,
afectiva y familiar; el estado
Fernanda Díaz, una mujer que entró a trabajar a una
de salud físico o mental; la
información
genética;
la
universidad donde le realizaron estudios de laboratorio. Los
resultados arrojaron que Fernanda tenía VIH. A partir de
ello, ella reporta que hubo distintos actos de discriminación
ideología; las creencias, las
en su contra que culminaron con su despido tan solo 2 meses
convicciones; las opiniones
después de haber sido contratada, por lo que inició un
políticas y la preferencia u
proceso judicial para reportar los hechos.
orientación sexual.
La información relativa al estado de salud de una persona
es un Dato Personal Sensible, cuya divulgación puede
causar un perjuicio grave.
14
ACTIVIDADES
1. Clasificación de datos personales en categorías
Instrucciones: A continuación se muestra una lista de datos. Léalos con cuidado y determine a
qué categoría pertenecen. El primero está respondido a manera de ejemplo.
DATOS PERSONALES A CLASIFICAR
Mujer
Índice de Masa Corporal de 25
Sangre O+
Embarazada
Heterosexual
Arquitecta
Sufre de violencia doméstica
Originaria de Perú
emilia200@gmail.com
Tiene un negocio propio
Emilia Fuentes Castro
Con ingresos de 10 mil pesos mensuales
Aracnofóbica
Multada por no presentar declaración patrimonial
Hospitalizada en 2010 por apendicitis
Con tatuaje en la pierna derecha
Beneficiaria de un programa social
Con casa propia
Propensa a una enfermedad hereditaria
Con diversas parejas sexuales
Vive en 4 norte 203 Col. Centro
Hija única
CATEGORÍAS DE DATOS PERSONALES
DATOS DE IDENTIFICACIÓN
DATOS ELECTRÓNICOS
DATOS LABORALES
DATOS PATRIMONIALES
Mujer
DATOS ACADÉMICOS
DATOS FAMILIARES
DATOS DE TRÁNSITO
DATOS SOBRE PROCEDIMIENTOS
ADMINISTRATIVOS Y/O
JURISDICCIONALES
DATOS SENSIBLES
SOBRE SALUD
CARACTERÍSTICAS FÍSICAS
CARACTERÍSTICAS
PERSONALES O
BIOMÉTRICAS
OTROS DATOS
SENSIBLES
15
2. Preguntas de repaso
a. ¿Qué son los datos personales?
b. ¿Qué son los datos personales sensibles?
c. ¿Qué significa que una persona sea identificada o identificable?
d. ¿Cuál es el principio de calidad y en qué consiste?
e. ¿Cuál es el principio de confidencialidad y en qué consiste?
f.
¿Cuál es el principio de consentimiento y en qué consiste?
g. ¿Cuál es el principio de disponibilidad y en qué consiste?
h. ¿Cuál es el principio de finalidad y en qué consiste?
i.
¿Cuál es el principio de información y en qué consiste?
j.
¿Cuál es el principio de licitud y en qué consiste?
k. ¿Cuál es el principio de pertinencia y en qué consiste?
l.
¿Cuál es el principio de responsabilidad y en qué consiste?
m. ¿Cuál es el principio de seguridad y en qué consiste?
n. ¿Cuál es el principio de temporalidad y en qué consiste?
o. ¿Cuáles son las categorías de datos personales?
3. Preguntas para la reflexión
a. ¿Por qué es importante proteger los datos personales?
b. ¿Qué riesgos puede conllevar el no proteger correctamente los datos personales
sensibles de una persona?
16
CAPÍTULO 2: FUNCIONES DE LOS SUJETOS
OBLIGADOS
Existen seis actores involucrados en la protección de datos personales: el titular de los
datos personales (la persona de quien son los datos), el titular del Sujeto Obligado, el
titular de la Unidad de Acceso, el responsable del SDP, el encargado del SDP y el usuario
externo. Sólo los últimos cinco tienen responsabilidades expresas en la Ley, ya que el
titular de los datos personales sólo tiene la obligación de que los datos que proporcione
sean de calidad (exactos y actualizados), cuando son requeridos por los Sujetos Obligados
para el desempeño de sus funciones.
En este capítulo se abordan de manera específica las responsabilidades de los cinco
actores, así como de la Coordinación General de Transparencia, y se describen las
sanciones en caso de que se incumpla con las disposiciones de la Ley.
2.1 Titular del Sujeto Obligado
CUADRO RESUMEN
RESUMEN DE FUNCIONES
1.
Designar al responsable de cada SDP
2.
Aprobar la creación y eliminación de
SDP
DOCUMENTOS QUE
MANEJA
1.
2.
3.
4.
3.
Conocer sobre las transmisiones de SDP
que se realicen
5.
Acuerdo de Creación
Acuerdo de Creación
Acuerdo de
Eliminación
Cláusula para la
transmisión de datos a
usuarios externos
Documento de
Seguridad
ARTÍCULOS DE LA
LEY DE DATOS
PERSONALES
Art. 34
Art. 17 fracción II
Art. 33
El titular del Sujeto Obligado es la persona que supervisa el correcto funcionamiento de
todos los SDP, que designa a los responsables, crea y elimina formalmente los Sistemas y
observa el cumplimiento de las disposiciones legales cuando existe transmisión de
Sistemas.
17
1. Designar al responsable de cada Sistema
El titular del Sujeto Obligado debe designar, a través del Acuerdo de Creación, al
responsable de cada SDP. Para dicho acuerdo, que debe estar fundado y motivado, se
emiten las siguientes:
RECOMENDACIONES PARA LA DESIGNACIÓN DE RESPONSABLES DE LOS SDP
EN POSESIÓN DE LOS SUJETOS OBLIGADOS
1. El responsable de un SDP deberá tener rango de director o su equivalente, con la
finalidad de que se encuentre expresamente facultado por la Ley para dirigir y firmar
documentos.
2. Cuando existan cambios en los responsables de los SDP, deberá crearse un nuevo
Acuerdo de Desginación que actualice las responsabilidades del personal. Este
documento será la base para completar la información de la ficha técnica y su
Documento de Seguridad, donde debe quedar plasmado el responsable del SDP.
2. Aprobar la creación y eliminación de Sistemas
Los titulares de los Sujetos Obligados, de acuerdo con las Políticas y Lineamientos de la
CAIP, serán los únicos competentes para crear y eliminar SDP del Sujeto Obligado a su
cargo. Para ello, deberán signar el Acuerdo de Creación, un documento, fundado y
motivado, que contenga, por lo menos:
1. Exposición de motivos
2. Fundamentación jurídica
3. Lista de SDP que crean o eliminan, con todas las características especificadas en la
fracción II del artículo 17 de la Ley (toda la información contenida en la Ficha Técnica)
por cada Sistema:
a. Denominación
g. Modo de tratamiento
b. Finalidad
h. Transmisiones de las que puede ser
c. Población de quien se recaban los
datos
d. Procedimiento de recolección
e. Estructura básica
f.
Categoría de los tipos de datos
objeto
i.
Responsable
j.
Unidad Administrativa de Acceso a
la Información
k. Nivel de protección
Para ello se deberán anexar las Fichas Técnicas al Acuerdo.
4. Fecha y firma del titular del Sujeto Obligado
18
Se podrá elaborar un acuerdo de creación o eliminación por todos los SDP que sean
identificados al momento de la emisión del mismo.
3. Conocer sobre las transmisiones de Sistemas
Cuando exista transmisión de SDP, el titular del Sujeto Obligado que posee los Sistemas
transmitidos deberá ser informado sobre la identidad del usuario externo, así como las
razones que motivaron la solicitud de los datos, por lo menos treinta días antes de que se
realice la transmisión.
La información sobre la transmisión deberá quedar asentada en el Documento de
Seguridad, como lo establece el artículo 26 de la Ley.
2.2 Titular de la Unidad Administrativa de Acceso a la
Información
CUADRO RESUMEN
RESUMEN DE FUNCIONES
1.
Vigilar la transmisión de datos a usuarios
externos
2.
Difundir los formatos necesarios dentro
del Sujeto Obligado, en los casos en que
se requieran
3.
Recibir, dar trámite y responder las
Solicitudes ARCO
4.
Proveer al Titular del Sujeto Obligado el
Acuerdo de Reserva para proteger la
información sobre los tipos de seguridad
de los SDP que estén en su posesión
Ser el vínculo entre la CAIP y el Sujeto
Obligado en el trámite de recursos de
revisión
5.
DOCUMENTOS QUE
MANEJA
1.
ARTÍCULOS DE LA
LEY DE DATOS
PERSONALES
Cláusula para la
transmisión de datos a
usuarios externos
Art. 18
2.
Todos los formatos
Art. 8 y 9
3.
4.
5.
6.
Solicitud ARCO
Acta de improcedencia
Acta circunstanciada
Comprobante ARCO
Art. 44, 45, 51, 52,
53, 54 y 57
7.
Formato de acuerdo de
reserva
Art. 28
Ninguno
Art. 58
19
La Unidad Administrativa de Acceso a la Información es el área de cada Sujeto Obligado
que da cumplimiento a las obligaciones de transparencia y acceso a la información pública,
tal como lo establece la Ley de Transparencia y Acceso a la Información Pública del Estado
de Puebla. Con la nueva Ley de Datos Personales, esta Unidad adquiere responsabilidades
en materia de protección de datos personales.
1. Vigilar la transmisión de datos a usuarios externos
Los Sujetos Obligados pueden transmitir los SDP a usuarios externos, es decir, a personas
físicas o morales distintas a quien obtuvo los datos, cuando se requiera para los fines de la
administración pública. En estos casos, el instrumento jurídico por el que se autoriza el
tratamiento (convenio, contrato, etc.) deberá establecer el plazo durante el cual el usuario
externo conservará los datos personales, las medidas de seguridad que deberá aplicar, así
como la disposición expresa de que al término del plazo, los datos personales deberán ser
devueltos en su totalidad al Sujeto Obligado, sin conservar ninguna copia total o parcial en
ningún soporte.
Para cumplir con esta obligación, la Unidad de Acceso deberá proporcionar al área
correspondiente, antes de la transmisión de los datos, la Cláusula para transmisión de
datos a usuarios externos, que deberá ser incluida en el instrumento jurídico que se
celebre entre el Sujeto Obligado y el usuario externo.
2. Difundir los formatos necesarios
La Unidad de Acceso debe difundir entre las áreas que lo requieran los formatos
necesarios para el cumplimiento de la Ley: Aviso de Protección de Datos Personales,
Formato de Consentimiento Expreso, etc.
El Formato de Consentimiento Expreso es el documento donde consta que el titular de los
datos personales conoce y acepta los términos en que se realizará el tratamiento de sus
datos. No es necesario para todos los casos.
El consentimiento expreso del titular sí será necesario cuando:
a. Se lleve a cabo la difusión de datos personales.
b. Se trate de datos personales sensibles.
20
Los encargados de la recolección de datos personales no necesitan obtener el
consentimiento expreso de los titulares cuando:
a. La obtención de los datos se encuentre previsto en una Ley
b. Los datos que se recaban sean necesarios para la realización de las funciones propias
de la administración pública
c. Exista una orden judicial
d. El titular no esté en posibilidad de otorgar su consentimiento por motivos de salud y
el tratamiento de sus datos resulte necesario
e. La transmisión se produzca entre organismos gubernamentales y tenga por objeto el
tratamiento posterior de los datos con fines históricos, estadísticos o científicos
f. Se den a conocer al usuario externo para la prestación de un servicio cuya finalidad
sea el tratamiento de datos personales
g. Los datos figuren en registros públicos
h. En emergencias, casos que involucren seguridad pública, seguridad nacional o salud
pública
La Unidad de Acceso deberá proporcionar los formatos necesarios a los responsables de
los SDP, que deberán suministrarlos a su vez a las personas encargadas de recabar los
datos, para requerir el consentimiento expreso del titular, en los casos señalados.
3. Recibir, dar trámite y responder las Solicitudes ARCO
Las solicitudes ARCO son todas aquéllas que las personas presentan ante los Sujetos
Obligados para ejercer su derecho de acceso, rectificación, cancelación u oposición de
datos personales.
La Unidad de Acceso es la encargada de recibir y registrar las solicitudes, turnarlas a los
responsables de los SDP, dar seguimiento a su proceso y emitir una respuesta dentro de
los plazos establecidos por la Ley.
a. Recepción y registro de la solicitud:
La Unidad de Acceso, al recibir la solicitud, deberá vigilar que ésta cuente con los
siguientes requisitos:
i. Nombre del Sujeto Obligado a quien se dirige
ii. Nombre completo del titular o de su representante legal, en su caso
21
iii. Descripción clara y precisa de los datos personales respecto de los que se busca
ejercer alguno de los derechos ARCO, así como cualquier otro elemento que facilite
su localización
iv. Domicilio en el estado de Puebla, o correo electrónico para recibir cualquier tipo de
notificaciones
v. Opcionalmente, la modalidad en la que prefiera tener acceso a los datos personales
(consulta directa, vía electrónica, copias simples o certificadas)
vi. Para rectificación: Cuando se realicen solicitudes de rectificación de datos
personales deberán indicar el dato que es erróneo y la corrección que debe
realizarse, junto con la documentación probatoria que sustente su petición, salvo
que dependa exclusivamente del consentimiento del titular
vii. Para cancelación: En el caso de solicitudes de cancelación de datos personales, el
titular o su representante legal deberán señalar las razones por las cuales
consideran que el tratamiento de los datos no se ajusta a lo dispuesto en la Ley
viii. Para oposición: En el caso de solicitudes de oposición de datos personales, el
titular o su representante legal deberán señalar el tratamiento específico al que se
opone
En todos los casos el titular deberá acreditar su identidad y personalidad al momento de
solicitar la información. Esto quiere decir que la persona deberá presentarse con una
identificación oficial al momento de presentar la solicitud.
Si al ser presentada, la solicitud no es precisa, no contiene todos los datos requeridos o
los detalles proporcionados no bastan para localizar la información, el Sujeto Obligado,
en los siguientes 5 días hábiles a su presentación, orientará al solicitante para que
subsane las deficiencias. Si el solicitante no lo hiciera en los siguientes 3 días hábiles, la
solicitud se considerará como no presentada.
Deberá entregarse un acuse de recibo con el sello institucional, la fecha y hora de
recepción para todos los casos.
b. Turno de la solicitud al responsable del SDP:
La Unidad de Acceso deberá turnar la solicitud al responsable del SDP, que deberá
buscar la información y comunicársela a la Unidad.
22
c. Seguimiento al proceso:
La Unidad de Acceso será la responsable de cuidar que la solicitud se responda en
tiempo y forma, por lo que deberá dar seguimiento al proceso por el cual se turna y da
respuesta.
d. Respuesta a las solicitudes:
La respuesta a cualquiera de los derechos mencionados deberá ser proporcionada en
forma legible y entendible, por escrito o mediante el correo electrónico proporcionado
para tal fin. Deberá notificarse en un plazo máximo de quince días hábiles contados
desde la presentación, que podrá ser prorrogado por una sola vez, si existieran causas
que así lo justifiquen.
Los medios por los cuales el solicitante podrá recibir notificaciones y acuerdos de trámite
serán: correo electrónico, notificación personal en su domicilio2 o en la propia Unidad de
Acceso que corresponda, o notificación por lista.
Si no se encontró la información:
Cuando los datos personales respecto de los cuales se ejerzan los derechos ARCO no
sean localizados en los SDP del Sujeto Obligado, se hará del conocimiento del titular a
través de Acta Circunstanciada, en la que se indiquen los SDP en los que se realizó la
búsqueda. Dicha acta deberá estar firmada por el encargado y el responsable del SDP.
Si la solicitud es procedente, se notificará al solicitante:
-
Acceso: Se enviará la información solicitada al domicilio o correo electrónico
establecido en la solicitud. Si la consulta es directa, es decir, en el mismo lugar donde
se encuentran almacenados los datos, se le comunicará a la persona para que acuda al
sitio donde se encuentran almacenados los datos, quien tendrá 60 días hábiles para
acudir. Al acudir, el encargado deberá entregar el Comprobante ARCO y conservar
una copia.
-
Rectificación: Se enviará la información rectificada, exponiendo claramente la
corrección realizada al domicilio o correo electrónico establecido en la solicitud. Si la
La notificación personal al domicilio sólo podrá hacerse en los casos en que la Unidad Administrativa de
Acceso a la Información se encuentre en el mismo lugar de residencia, es decir, en el mismo municipio que el
domicilio del solicitante.
2
23
consulta es directa, se informará a la persona para que acuda al sitio para recibir el
Comprobante ARCO de que el cambio fue realizado.
-
Cancelación u Oposición: Se enviará el Comprobante ARCO informando que los
datos fueron cancelados o bloqueados, al domicilio o correo electrónico establecido en
la solicitud. Si la consulta es directa, se le comunicará a la persona para que acuda a
recibir el Comprobante.
La única persona que podrá hacer entrega de la información, vía electrónica o por
consulta directa, al titular de los datos o representante legal será el encargado del SDP,
no el responsable, ni el titular de la Unidad de Acceso.
Se proveerá del Comprobante ARCO al encargado para que lo entregue a la persona, ya
sea vía electrónica, a domicilio o personalmente, y se deberá conservar como evidencia
del cumplimiento de la obligación del Sujeto Obligado.
Si la solicitud no es procedente:
En el supuesto de que los datos personales a que se refiere la solicitud se encuentren en
los SDP del Sujeto Obligado y éste considere improcedente la solicitud de acceso,
rectificación, cancelación u oposición, se deberá emitir una resolución fundada y
motivada al respecto, denominada Acta de improcedencia.
e. Notificación de costos
La Unidad de Acceso, en la respuesta a la solicitud, deberá notificar al solicitante el costo
de reproducción de la información requerida (en caso de pedir la información en copia
simple o copia certificada), quien tendrá veinte días hábiles para realizar el pago y
presentar el comprobante ante la Unidad de Acceso.
A partir de que el solicitante compruebe haber realizado el pago, el Sujeto Obligado
deberá entregar la información dentro de los 60 días hábiles siguientes, en horario de
oficina. Agotado este plazo, el Sujeto Obligado no tendrá la obligación de entregar la
información.
5. Reserva de la información sobre los tipos de seguridad de los
SDP
Los tipos de seguridad de los SDP se consideran información reservada, por lo que no
pueden publicarse ni comunicarse mediante una respuesta de solicitud de información a
24
ningún ciudadano. Esto con la finalidad de que los datos personales se encuentren
protegidos. Por otro lado, el nivel de seguridad sí se considerará información pública.
Para cumplir con todos los requisitos previstos en las leyes, cada Sujeto Obligado deberá
realizar un Acuerdo de Reserva, por el cual se funda y motiva la reserva de esta
información (los tipos de seguridad).
De acuerdo con la Ley de Transparencia y Acceso a la Información Pública, el plazo de
reserva no podrá ser mayor a 7 años, pero podrá prorrogarse por otros 5. Cumplido el
plazo, deberá realizarse un nuevo Acuerdo que proteja la información, dado que las
causas de la reserva no se extinguen en ningún momento.
6. Recursos de revisión
La Unidad de Acceso, al momento de dar respuesta a la solicitud ARCO, orientará al
titular o a su representante legal sobre su derecho a interponer un recurso de revisión y el
modo de hacerlo. El recurso de revisión procederá en los siguientes casos:
a. Ante la negativa de acceso, rectificación, cancelación u oposición de los datos
personales.
b. Si la información está incompleta, no corresponde con la solicitud, o se entrega en
una modalidad distinta a la solicitada o en un formato incomprensible o ilegible.
c. Cuando la rectificación o cancelación sea incorrecta o no se realice en los términos
solicitados.
d. Cuando exista un tratamiento inadecuado de los datos personales.
e. Ante la negativa de bloqueo de datos personales.
f. Por inconformidad con los costos o tiempos de entrega de la información.
La Unidad de Acceso atenderá los requerimientos de información que realice la CAIP, en
cumplimiento a los procedimientos para la resolución de recursos de revisión. El recurso
procede de la misma forma que el de transparencia.
25
2.3 Responsable del SDP
CUADRO RESUMEN
RESUMEN DE FUNCIONES
1. Decidir sobre la disociación de los datos,
cuando así se requiera.
2. Adoptar las medidas de seguridad, de
acuerdo con los requisitos de la Ley.
3. Vigilar el cumplimiento de solicitudes de
derechos ARCO que recaigan en los SDP
a su cargo.
4. Vigilar la protección de datos personales
cuando exista transmisión a usuarios
externos.
5. Asegurarse de que el titular de los datos
se encuentre informado al momento de
recabar su información.
6. Establecer las medidas compensatorias
necesarias.
DOCUMENTOS QUE
MANEJA
Ninguno
ARTÍCULOS DE LA
LEY DE DATOS
PERSONALES
Art. 3 fracc. XVII
Art. 12, 15, 16, 18 y
41
Art. 14, 25, 26, 27,
28 y 34
1.
Documento de
Seguridad
2.
3.
Acta de improcedencia
Acta circunstanciada
4.
Cláusula de
transmisión de datos a
usuarios externos
Art. 18, 30, 31 y 32
5.
Aviso de Protección de
Datos Personales
Art. 7 fracc. VI
Art. 20 y 34
6.
Acuerdo de medidas
compensatorias
El responsable es la persona física facultada para decidir sobre el contenido y finalidad de un SDP;
así como la protección y tratamiento de datos que lo integran. El responsable de cada SDP
deberá ser designado por el titular de cada Sujeto Obligado a través del Acuerdo de
Creación.
Otras obligaciones de los responsables son:
1. Guardar plena confidencialidad sobre los datos personales a su cargo.
2. Cumplir con las políticas y lineamientos.
3. Coordinar y supervisar a los encargados de los SDP.
4. Adoptar los procedimientos adecuados para dar trámite a las solicitudes ARCO y su
transmisión.
5. Capacitar a los integrantes del Sujeto Obligado en materia de protección de datos
personales.
6. Utilizar los datos personales sólo para los fines para los que fueron recabados.
7. Establecer criterios de manejo, mantenimiento, seguridad y protección de los SDP.
26
8. Coordinar y supervisar las medidas de seguridad de los SDP.
1. Decidir sobre la disociación de datos
En algunas ocasiones, en el tratamiento de los SDP es necesario llevar a cabo la
disociación, es decir, el proceso por el cual los datos se desvinculan para evitar que se
pueda identificar al titular. Por ejemplo, se separa el nombre de la dirección y del teléfono.
La disociación es obligatoria cuando un SDP ya no se utiliza para los fines originales, pero
se busca conservarlo con fines históricos, estadísticos o científicos. En el caso de que sean
fines históricos, se podrá evitar la disociación cuando exista un dictamen que establezca la
necesidad de que así suceda.
DISOCIACIÓN DE DATOS PERSONALES SENSIBLES
En algunos lugares donde se manejan Sistemas de Datos Personales Sensibles los encargados
y responsables adoptan un sistema de código para sustituir el nombre de las personas. De
esta forma, aunque el dato sigue estando vinculado a la persona, se encuentra protegido,
pues sólo el responsable puede descifrar el código. Esto se aplica, por ejemplo, para bases de
datos de donantes de sangre o de órganos.
Aunque el sector salud tiene procesos distintos a los de los demás sectores, las experiencias
recolectadas sirven para que otros actores que manejan datos sensibles puedan adoptar
algunas de estas prácticas.
La disociación también es obligatoria cuando se tratan datos personales sensibles. Esto
quiere decir que se debe desvincular el nombre de los datos para evitar riesgos para el
titular.
2. Adoptar las medidas de seguridad
El responsable del SDP debe analizar el tipo de datos que se encuentran en su Sistema
para determinar qué medidas de seguridad debe adoptar y asentarlas en el Documento de
Seguridad. La descripción precisa de las medidas de seguridad se encuentra en el
Apartado 4.3 de este Manual.
27
3. Vigilar el cumplimiento de solicitudes ARCO que recaigan en los
SDP a su cargo
La Unidad Administrativa de Acceso a la Información es la encargada de recibir y dar
trámite a las solicitudes ARCO. Sin embargo, los responsables y encargados de los SDP
deben localizar la información solicitada, determinar la procedencia de las solicitudes y
ejecutar los cambios necesarios para hacer efectivos los derechos ARCO.
Si la información no existe
Cuando la información solicitada no exista en los SDP en que se realizó la búsqueda, se
deberá realizar un Acta Circunstanciada donde se especifiquen los detalles de la
búsqueda y se establezca la inexistencia de los datos. Esta Acta deberá firmarse por los
responsables y encargados de los SDP que participaron en la búsqueda.
Si la solicitud resulta improcedente
Los responsables podrán negar los derechos ARCO en función de los peligros que
pudieran derivarse para la defensa de la seguridad pública, la protección de los derechos y
libertades de terceros o las necesidades de las investigaciones que se estén realizando, así
como cuando se obstaculice la actuación de la autoridad durante el cumplimiento de sus
atribuciones. En este caso, se deberá responder al solicitante con una Acta de
improcedencia, donde se fundamente la decisión de negar la solicitud.
4. Vigilar la protección de datos personales cuando exista
transmisión
Cuando el Sujeto Obligado transfiera los datos personales a usuarios externos nacionales o
extranjeros, deberá establecer claramente la finalidad para la cual entrega los datos y el
tratamiento que se les debe dar, a través de la Cláusula de transmisión de datos a usuarios
externos, que le proporcionará la Unidad de Acceso.
La transmisión de datos personales sólo podrá realizarse cuando el usuario externo
garantice por escrito un nivel de protección similar al empleado en el SDP. No se
considerará transmisión de datos el acceso que un tercero tenga a los datos personales con
motivo de la prestación de un servicio de mantenimiento o funcionamiento al archivo o
banco de datos.
28
En el supuesto de que los datos personales sean rectificados, cancelados o se haya ejercido
el derecho de oposición, y éstos hubieran sido transmitidos previamente, el responsable
deberá notificar la rectificación o cancelación a quien haya sido transmitidos.
5. Proporcionar el conocimiento necesario a los titulares de los datos
Cuando se obtienen los datos de las personas, es necesario poner a disposición de los
titulares un documento en que se expresen todos los detalles acerca del tratamiento que se
dará a sus datos, los derechos que tienen, entre otras cosas. A este documento se le conoce
como Aviso de Protección de Datos Personales, y sus características se describen en el
Capítulo 5.1 de este Manual.
En los casos descritos en el apartado
3.2 del Manual también se especifican las
circunstancias bajo las cuales será obligatorio obtener el consentimiento expreso del titular
para el tratamiento de sus datos.
6. Adoptar las medidas compensatorias necesarias
Una medida compensatoria es una prevención temporal, tomada por los Sujetos
Obligados, para difundir el Aviso de Protección de Datos Personales de manera
generalizada y masiva entre los titulares cuyos datos fueron recabados antes de la entrada
en vigor de la Ley o, en su caso, de aquellos datos obtenidos de forma indirecta a través de
la transmisión de datos personales.
El objetivo de las medidas compensatorias es salvaguardar el derecho de los titulares de
decidir de manera libre e informada sobre el uso, destino y comunicación que se da a sus
datos.
Las medidas compensatorias implementadas deberán ser aprobadas mediante el Acuerdo
de Medidas Compensatorias signado por el titular del Sujeto Obligado. Este acuerdo
deberá estar fundado y motivado y deberá establecer lo siguiente:
a) Número de titulares al que va dirigido
b) Antigüedad de los datos
c) Ámbito territorial
d) Capacidad económica del Sujeto Obligado
e) Medida compensatoria a utilizar
f) Que la medida compensatoria cumpla con el principio de información
29
La medida compensatoria que se adopte se considerará implementada con la difusión de
un Aviso de Protección de Datos Personales, que se debe difundir en cualquiera de los
siguientes medios:
1. Diarios de circulación nacional
2. Diarios locales o revistas especializadas
3. Páginas o sitios de Internet
4. Carteles informativos
5. Cápsulas informativas radiofónicas
6. Otros medios alternos de comunicación masiva determinados por el Sujeto
Obligado
La elección del medio deberá sustentarse en el criterio de máximo alcance, que establece
que se deberá buscar el medio y periodo de difusión que resulte más eficiente para dar a
conocer el Aviso de Protección de Datos Personales y abarcar al mayor número posible de
titulares cuando se implemente una medida compensatoria.
2.4 Encargado del SDP
CUADRO RESUMEN
RESUMEN DE FUNCIONES
1.
2.
3.
4.
DOCUMENTOS QUE
MANEJA
Atender las solicitudes ARCO que le
1. Ninguno
turne la Unidad de Acceso.
Firmar el Acta Circunstanciada cuando
no se encuentre la información solicitada 1. Acta circunstanciada
por algún ciudadano.
Realizar la entrega de la información de
2. Comprobante ARCO
una Solicitud ARCO.
Tratar los SDP con apego a las medidas
3. Documento
de
de seguridad establecidas por el
Seguridad
responsable del SDP.
ARTÍCULOS DE LA
LEY DE DATOS
PERSONALES
Art. 52
Art. 53 y 54
Art. 26 y 27
El encargado del SDP es la persona que directamente realiza el tratamiento de los datos.
Otras responsabilidades del encargado en materia de protección de datos personales son:
1. Entregar los datos personales de las solicitudes ARCO que se consideren procedentes,
en el formato establecido por el solicitante; entregar el Comprobante ARCO y
conservar copia; y turnar el acuse a la Unidad de Acceso.
30
2. Informar a la Unidad de Acceso de la existencia de la información solicitada.
3. Asegurarse de que nadie que no se encuentre expresamente autorizado por la Ley
acceda a los SDP.
4. Cumplir con las medidas de seguridad dispuestas por la Ley y establecidas por el
responsable para cada caso en la Ficha Técnica.
¿QUIÉNES SON ENCARGADOS DE UN SDP?
Los encargados son las personas que algún ordenamiento (ley, reglamento, manual, etc.)
faculta (o que el responsable directamente designa en el Documento de Seguridad) para
tratar los datos de un Sistema. En el Documento de Seguridad deben quedar plasmados
todos los encargados de un SDP independientemente de que sus facultades para ello se
encuentren en un ordenamiento. El número de encargados de un SDP varía de acuerdo
con las características de cada Sistema.
1. Atender Solicitudes ARCO
El encargado de los SDP es responsable de realizar la búsqueda de información requerida
por los titulares a través de las solicitudes ARCO, ya sea para entregar, rectificar, bloquear
o eliminar datos del Sistema.
Cuando tenga la respuesta, deberá notificarla a la Unidad de Acceso, que a su vez
notificará al titular. No obstante, la Unidad sólo funge como enlace, pues el verdadero
responsable de ejecutar los derechos ARCO es el encargado del SDP.
2. Firmar el Acta Circunstanciada
El encargado de un SDP tiene la obligación de colaborar para la resolución de las
solicitudes ARCO que presenten los ciudadanos ante el Sujeto Obligado. Dado que es la
persona que tiene acceso al SDP, cuando la información de una solicitud ARCO no se
localice, deberá hacerlo constar por escrito en un Acta Circunstanciada, que deberá estar
firmada por ambos: responsable y encargado.
3. Realizar la entrega de información
31
El encargado del SDP es la única persona facultada por la Ley para hacer entrega de los
datos de una solicitud ARCO. Esto quiere decir que:

Cuando una persona quiera acceder a sus datos, el encargado deberá ser quien
directamente le muestre la información, la envíe por correo electrónico o le entregue
las copias simples o certificadas al solicitante; y deberá hacer entrega y guardar copia
del Comprobante ARCO.

Cuando una persona haga una solicitud de rectificación, cancelación u oposición, el
encargado deberá entregar el Comprobante ARCO, describiendo las modificaciones
realizadas.
4. Tratar los SDP con apego a las medidas de seguridad
Las medidas de seguridad son los tipos y niveles de seguridad que se utilizan para
proteger los datos personales. Cada SDP tiene niveles distintos y tipos distintos,
dependiendo de sus propias características. Es obligación del encargado apegarse a estas
medidas y garantizar que ninguna persona no autorizada viole la confidencialidad de los
datos.
2.5 Coordinación General de Transparencia de la
Secretaría de la Contraloría
CUADRO RESUMEN
RESUMEN DE FUNCIONES
1.
Brindar asesoría en
materia de protección de
datos personales y
2.
atención a las solicitudes
ARCO
DOCUMENTOS QUE MANEJA
Ninguno
1.
2.
2.
Elaboración y distribución
de documentos para la
protección de los SDP
entre las dependencias y
entidades
ARTÍCULOS DE LA
LEY DE DATOS
PERSONALES
3.
4.
5.
6.
7.
8.
9.
Formato de Consentimiento Expreso
Aviso de Protección de Datos
Personales
Acuerdo de Creación
Acuerdo de Eliminación
Acuerdo de Medidas Compensatorias
Ficha Técnica
Documento de Seguridad
Formato de Acuerdo de Reserva
Cláusula para la transmisión de datos
Art. 7 fracc. VI
Art. 8 y 9
Art. 17 fracc. II
Art. 18, 26, 28, 32 y
33
32
3.
4.
Elaboración y distribución
de documentos para la
atención de solicitudes
ARCO
Recopilación periódica de
información
9.
10.
11.
12.
13.
14.
a usuarios externos
Formato de Solicitud ARCO
Resolución de Improcedencia
Acta Circunstanciada
Comprobante ARCO
Ficha Técnica
Documento de Seguridad
Art. 18, 32, 33, 45,
51 y 52
Art. 17 fracc. II
Art. 26
La Coordinación General de Transparencia de la Secretaría de la Contraloría tiene, entre
otras, las siguientes atribuciones en materia de protección de datos personales:
1. Coordinar la operación del sistema electrónico.
2. Coordinar asesorías y capacitación a las unidades administrativas de acceso a la
información pública de las dependencias y entidades de la Administración Pública
Estatal, en materia de protección y tratamiento de datos personales, así como en la
atención y seguimiento de los recursos de revisión que se interpongan contra éstas.
3. Proponer al Secretario esquemas de mejora a los procedimientos de protección y
tratamiento de datos personales y clasificación de información.
4. Solicitar a las dependencias y entidades de la Administración Pública Estatal, la
información que se requiera para el ejercicio de sus atribuciones.
La unidad administrativa a través de la cual se realizan estas atribuciones es el
Departamento de Protección de Datos Personales de la Dirección de Transparencia y
Protección de Datos Personales.
¿Cómo participa la Secretaría de la Contraloría en el proceso de
protección de SDP?
En este proceso, la Secretaría de la Contraloría participa de tres maneras, en conjunto con
los Sujetos Obligados:
ASESORAMIENTO: Brinda asesoría para la implementación y seguimiento de las
disposiciones que deben cumplir los Sujetos Obligados del Ejecutivo del Estado en
relación con la protección de datos personales, a través de capacitaciones, orientación
continua y creación de material de utilidad.
ELBORACIÓN Y DISTRIBUCIÓN DE DOCUMENTOS: Crea y distribuye los
documentos necesarios para el cumplimiento del proceso de implementación y
seguimiento.
33
RECOPILACIÓN PERIÓDICA DE INFORMACIÓN: Solicitar a las dependencias y
entidades de la Administración Pública Estatal, por lo menos cada seis meses, la
información acerca de la creación, modificación o eliminación de sus SDP, en cualquiera
de los rubros contemplados en la Ficha Técnica y/o el Documento de Seguridad, para
enviar a la CAIP esta información.
¿Cómo participa la Secretaría de la Contraloría en el proceso de
Solicitudes ARCO?
En este proceso, la Secretaría de la Contraloría participa de dos maneras, en conjunto con
los Sujetos Obligados:
ASESORAMIENTO: Brindar orientación para la atención de solicitudes ARCO, a través
de capacitaciones, orientación continua y creación de material de utilidad.
ELBORACIÓN Y DISTRIBUCIÓN DE DOCUMENTOS: Crear y distribuir los
documentos necesarios para la atención de las solicitudes:
2.6 Infracciones
Las infracciones serán sancionadas en términos de lo dispuesto por la Ley de
Responsabilidades de los Servidores Públicos del Estado de Puebla, con independencia de
las responsabilidades penales o civiles que en su caso procedan. Se consideran infracciones
a la Ley de Protección de Datos Personales:
1.
Impedir, obstaculizar o negar el ejercicio de los derechos ARCO, cuando no exista una razón
legal para ello.
2. Recabar datos personales sin cumplir con la Ley.
3. Crear Sistemas de Datos Personales que no cumplan con los requisitos establecidos.
4. Obtener datos sin el consentimiento expreso del titular, salvo en las excepciones previstas, o de
manera engañosa o fraudulenta.
5. Cometer irregularidades en la atención de solicitudes de acceso, rectificación, cancelación u
oposición de datos personales.
6. Omitir total o parcialmente el cumplimiento de las resoluciones realizadas por la Comisión, así
como obstruir las funciones de la misma.
7. Omitir o presentar de manera extemporánea, injustificadamente, los informes establecidos por
la Ley.
8. Transmitir datos personales fuera de los casos permitidos, particularmente cuando la
transmisión haya tenido fines de lucro.
9. Impedir u obstaculizar la inspección ordenada por la Comisión o su instrucción de bloqueo de
SDP.
10. Destruir, alterar, modificar, transmitir datos personales, archivos o SDP sin autorización.
ACTIVIDADES
1. Clasificación de funciones
Instrucciones: Escriba en la columna del lado izquierdo el número que corresponda de acuerdo
con el cargo en que recae esa función. El primero está respondido a manera de ejemplo.
1. Titular del
Sujeto Obligado
2. Titular de la
UAAI
3. Responsable
del SDP
4.
Encargado del
SDP
5. Coordinación
General de
Transparencia
FUNCIÓN
2

Difundir los formatos necesarios dentro del Sujeto Obligado.

Ser el vínculo entre la CAIP y el Sujeto Obligado en el trámite de recursos de revisión.

Designar al responsable de cada SDP.


Vigilar el cumplimiento del Sujeto Obligado cuando exista transmisión de datos personales a
usuarios externos.
Atender las solicitudes ARCO que le turne la Unidad de Acceso.

Aprobar la creación y eliminación de SDP.


Brindar asesoría en materia de protección de datos personales y atención a las solicitudes
ARCO.
Elaboración y distribución de documentos para la protección de los SDP entre las
dependencias y entidades.
Vigilar la protección de datos personales cuando exista transmisión a usuarios externos.

Recibir, dar trámite y responder las Solicitudes ARCO.

Conocer sobre las transmisiones de SDP.

Establecer las medidas compensatorias necesarias.

Decidir sobre la disociación de los datos.

Proveer al Titular del Sujeto Obligado del Acuerdo de Reserva sobre los tipos de seguridad.

Elaboración y distribución de documentos para la atención de solicitudes ARCO.


Asegurarse de que el titular de los datos se encuentre informado al momento de recabar su
información.
Realizar la entrega de la información de una Solicitud ARCO.

Adoptar las medidas de seguridad, de acuerdo con la Ley.

Tratar los SDP con apego a las medidas de seguridad establecidas por el responsable del
SDP.
Recopilación periódica de información sobre los Sistemas de Datos Personales.


35
2. Preguntas de repaso
a. ¿Cuál es el papel que desempeña cada uno de los actores que participan en la
protección de datos personales?
b. Enliste al menos tres infracciones a la Ley de Protección de Datos Personales en
Posesión de los Sujetos Obligados del Estado de Puebla.
c. Mencione dos documentos de implementación relacionados con los Sistemas de
Datos Personales y dos relacionados con los derechos ARCO.
3. Preguntas de reflexión
a. ¿Cuál es la importancia de la participación de la Unidad de Acceso en la protección
de datos personales?
b. ¿Qué responsabilidad ética conlleva el tener acceso a un Sistema de Datos
Personales y cuáles son los riesgos que existen si no se toma esa responsabilidad
con seriedad?
c. ¿Por qué es importante que la Administración Pública Estatal implemente la política
de protección de datos personales?
36
CAPÍTULO 3: SISTEMAS DE DATOS PERSONALES
Un Sistema de Datos Personales (SDP) es cualquier conjunto organizado de archivos cuyo
objetivo es almacenar, para su tratamiento, los datos personales, ya sea de manera física,
automatizada o mixta.
TIPO DE SISTEMA
O MODO DE
TRATAMIENTO
FÍSICO
AUTOMATIZADO
CARACTERÍSTICAS
Conjunto ordenado de datos de carácter personal que para su
tratamiento están contenidos en registros manuales, impresos,
sonoros, magnéticos, visuales u holográficos, estructurado
conforme a criterios específicos.
Conjunto ordenado de datos de carácter personal que estén
contenidos o que para su tratamiento se utilice una herramienta
tecnológica.
MIXTO
Cuando los datos contenidos en los Sistemas se encuentran en
soportes físicos y automatizados.
3.1 Creación, modificación y eliminación de SDP
Creación de SDP
Se deberá crear un SDP por cada finalidad o propósito por el que se recaben datos
personales. Los Sujetos Obligados deberán contar al menos con los siguientes SDP:
a) SDP de los integrantes del Sujeto Obligado (empleados, funcionarios, etc.).
b) SDP de los proveedores, en su caso.
c) SDP de aquéllos que realicen trámites y servicios, en su caso.
Estos tres Sistemas son el piso mínimo del que partimos, sin embargo, una dependencia o
entidad puede tener la cantidad de SDP que requiera para la realización de sus funciones.
37
EJEMPLOS DE SISTEMAS DE DATOS PERSONALES
El Distrito Federal es una de las entidades con mayor avance en la implementación de su
política de protección de datos personales. Algunos de los SDP que se pueden encontrar en el
portal del Infodf son:
SALUD
Expediente Clínico Hospital General Balbuena
EDUCACIÓN
Sistema De datos personales Del Programa ASISTENTES EDUCATIVOS
FINANZAS
Sistema de Control del Impuesto sobre Espectáculos Públicos
DESARROLLO SOCIAL
Beneficiarios de los Comedores Públicos
Cuando se crea un SDP, se deben crear tres documentos: la Ficha Técnica, el Documento
de Seguridad y el Acuerdo de Creación.
Información que debe contener la Ficha Técnica:
INFORMACIÓN
Denominación
DESCRIPCIÓN
Nombre que se da a un SDP.
Finalidad y usos previstos
Población de la cual se
recaban los datos personales
Procedimiento de recolección
de los datos
Estructura básica del SDP, que
incluye la categoría de los
datos
y
el
modo
de
tratamiento.
Transmisiones de las que
pueden ser objeto los datos.
Responsable del tratamiento
Datos de la Unidad de Acceso
Propósito a que sirve un conjunto de datos
Las personas o grupos de personas sobre los que se
pretendan obtener datos.
Puede ser de manera personal, escrita, telefónica o
electrónica.
Las categorías de datos se abordaron de manera detallada en
el apartado 1.3 de este Manual.
El modo de tratamiento se refiere al tipo de Sistema, que
puede ser físico, automatizado o mixto.
Determinar si se prevé transmitir los datos a algún usuario
externo.
El cargo y la persona responsable del SDP.
El titular, correo electrónico, teléfono y dirección de la
Unidad de Acceso del Sujeto Obligado.
Existen tres niveles de seguridad, que se aplican
dependiendo del tipo de datos contenidos en el SDP y que se
abordan a detalle en el apartado 3.3 de este Manual.
Nivel de protección
38
Información que debe contener el Documento de Seguridad:
a) Medidas de seguridad adoptadas.
b) Nombre y cargo del responsable. Si el nivel de seguridad es alto, se deberán poner
también las funciones.
c) Nombre y cargo de los encargados. Si el nivel de seguridad es alto, se deberán poner
también las funciones.
d) Usuarios externos, en su caso, y los datos del acto jurídico.
e) Consecuencias del incumplimiento de las medidas de seguridad.
Información que debe contener el Acuerdo de Creación:
Es un documento fundado y motivado, que debe firmar el titular del Sujeto Obligado y
que deberá especificar qué Sistemas se crean, incluyendo la denominación y estructura
básica, que incluye las categorías de los datos y el modo de tratamiento. A través de este
acuerdo se podrá designar el cargo responsable del Sistema y podrán crearse uno o más
Sistemas mediante un solo acuerdo.
¿CÓMO DETERMINAR CUÁNTOS SDP DEBE TENER UNA DEPENDENCIA O
ENTIDAD?
Cada Sujeto Obligado debe tener un SDP por cada finalidad para la que los ocupe. Esta
finalidad está ligada a alguna competencia establecida en la ley o algún otro
ordenamiento. Entonces, las funciones y atribuciones de cada dependencia o entidad,
cuando establezcan que se recabe información personal, nos dirán que existe un SDP y
cuál es su finalidad. Como se ha dicho, todas las dependencias y entidades cuentan con,
al menos, tres SDP: un SDP sobre las personas que laboran ahí; un SDP de los
proveedores; los SDP de los trámites y servicios que realicen.
¿CÓMO DETERMINAR LA FINALIDAD DE LOS SDP?
La finalidad se determina ubicando el propósito a que sirve un conjunto de
datos. Los entes gubernamentales cumplen con diversos propósitos. Por ejemplo, si
una dependencia brinda atención médica a domicilio, probablemente tendrá un SDP
con los datos de las personas beneficiarias y sus domicilios, entre otros datos. Si esa
misma dependencia tiene un programa de apoyo a madres solteras, tendrá un SDP con
los datos de las madres solteras a quienes entrega el apoyo, posiblemente con números
de cuenta bancaria, teléfono, etcétera. Los requerimientos de cada uno de estos
programas o servicios son distintos, por lo que los datos que se soliciten a las personas
será diferente y se almacenará en bases distintas.
Fuente: Instituto de Acceso a la Información Pública del Distrito Federal (sf)
39
Modificación de un SDP
Cuando un SDP sufra cambios en la información establecida en la Ficha Técnica o en el
Documento de Seguridad, se realizarán las modificaciones correspondientes y se informará
a la Secretaría de la Contraloría a través del medio que se establezca para ello. A partir de
estas actualizaciones, se integrará la información que se entregará a la CAIP, como parte
de las obligaciones de los Sujetos Obligados establecidas en el artículo 19 de la Ley, que es:
1. Denominación y finalidad del SDP
2. El Sujeto Obligado que tiene a su cargo el SDP
3. Cargo del responsable
4. Nombre, teléfono, dirección y correo electrónico oficial, si lo hubiere, de la unidad
administrativa ante la que podrán ejercerse los derechos de acceso, rectificación,
cancelación u oposición
5. Fecha de creación del SDP
6. Nivel de seguridad
Si alguno de los elementos mencionados es modificado, se hará del conocimiento de la
CAIP para su registro, en un plazo no mayor a seis meses después de la modificación. Para
ello, la Coordinación General de Transparencia de la Secretaría de la Contraloría requerirá
la información a las dependencias y entidades de la Administración Pública Estatal, la cual
deberá ser entregada con las debidas actualizaciones.
Eliminación de un SDP
Los SDP deberán ser destruidos o eliminados, según sea el caso, cuando dejen de ser
necesarios para los fines para los cuales fueron creados y una vez que concluyan los plazos
y términos de conservación establecidos por las disposiciones aplicables. Para eliminar o
destruir un Sistema, deberá realizarse un Acuerdo de Eliminación, fundado y motivado,
signado por el titular del Sujeto Obligado, que establezca alguna de estas tres opciones:
1. Si el SDP se destruye o elimina sin conservar ninguna copia.
2. Si los datos se someterán a disociación para conservarse con fines históricos,
estadísticos o científicos.
3. Si el SDP se envía al Archivo General del Estado por contener información de valor
histórico (de acuerdo con la Ley de Archivos).
40
De la destrucción de los datos personales podrán ser excluidos aquéllos que, con fines
estadísticos, científicos o históricos sean previamente sometidos al procedimiento de
disociación.
3.2 Obtención
electrónicos
de
datos
personales
por
medios
Cuando se utilicen cuestionarios o formatos, ya sean impresos o por medios electrónicos,
para la obtención de los datos personales, a través plataformas electrónicas, deberá
incluirse el Aviso de Protección de Datos Personales con todas las características
establecidas en el principio de información.
3.3 Medidas de seguridad
Las medidas de seguridad se componen de dos dimensiones: el tipo de seguridad y el
nivel de seguridad. Cada Sujeto Obligado deberá establecer las medidas necesarias para
garantizar la integridad de cada uno de los SDP que estén bajo su posesión o tratamiento.
Las medidas de seguridad serán adoptadas en relación con el menor o mayor grado de
protección que ameriten los datos personales y deberán constar por escrito en la Ficha
Técnica en el Documento de Seguridad. Éste último deberá contener:
1. Medidas de seguridad, que incluyen el nivel de protección y el tipo, con su
descripción.
2. Nombre y cargo del responsable. Para los SDP con nivel medio y alto de seguridad, se
deberán especificar también sus funciones y obligaciones relativas al Sistema.
3. Nombre y cargo de los encargados. Para los SDP con nivel medio y alto de seguridad,
se deberán especificar también sus funciones y obligaciones relativas al Sistema.
4. Nombre o razón social de los usuarios externos del SDP, en su caso.
5. Datos del acto jurídico mediante el cual el Sujeto Obligado otorgó el tratamiento del
SDP al usuario externo, en su caso.
6. Consecuencias del incumplimiento a las medidas de seguridad.
Los tipos de seguridad serán clasificados como información reservada y no constituirán
información pública bajo ninguna circunstancia. Para ello, el titular del Sujeto
Obligado deberá firmar un Acuerdo de Reserva, hasta por 7 años y prorrogable por 5
más. Cuando hayan transcurrido los 12 años, deberá renovarse el Acuerdo, dado que las
causas que motivan la reserva no se extinguen.
41
Tipos de Seguridad
Existen cuatro tipos de seguridad para los SDP:
Física: Se refiere a toda medida destinada a la protección de instalaciones, equipos, soportes o
sistemas de datos para la prevención de riesgos.
Lógica: Se refiere a las medidas de protección que permitan la identificación y autentificación
de cualquier persona o usuario externo autorizado para el tratamiento de los datos personales
de acuerdo con su función.
De cifrado: Consiste en la implementación de claves y contraseñas, así como dispositivos de
protección, que garanticen la integridad y confidencialidad de la información.
De comunicaciones y redes: Conjunto de restricciones preventivas y/o de riesgos que
deberán observar los Sujetos Obligados y los usuarios externos de los SDP para acceder a
dominios o cargar programas autorizados, así como para el manejo de telecomunicaciones.
Niveles de Seguridad
Existen tres niveles de seguridad, que se aplican dependiendo del tipo de datos contenidos
en el SDP:
NIVELES DE SEGURIDAD
BÁSICO
MEDIO
ALTO
MEDIDAS DE SEGURIDAD QUE INCLUYE
a) Responsable de seguridad
b) Registro del personal que
intervenga en el tratamiento de los
SDP (en el Documento de
Seguridad)
c) Mecanismos que impidan
acceder a información diferente a
la autorizada
d) Restricción de acceso a los
archivos físicos
E) Establecimiento de contraseñas
BÁSICO +
a) Cambio semestral de
contraseñas
b) Registro de funciones del
personal que intervenga en el
tratamiento del SDP (en
Documento de Seguridad)
c) Revisiones internas
d) Limitación de la posibilidad
de intentar reiteradamente el
acceso no autorizado
BÁSICO + MEDIO +
a) Identificación y autentificación
del responsable, encargado y
usuario externo
b) Protección contra escritura y
modificación de documentos salvo
consentimiento expreso del
responsable
c) Auditorías realizadas por el
Órgano Interno de Control
d) Autorización expresa del
responsable para el tratamiento de
datos fuera de sus instalaciones.
42
SISTEMAS QUE DEBEN ADOPTARLO
Todos
Para SDP relativos a la comisión
de infracciones administrativas,
hacienda pública, servicios
financieros, datos patrimoniales o
que permitan obtener una
evaluación de la personalidad del
individuo.
Para SDP concernientes a datos
personales sensibles o datos
recabados para fines de salud,
seguridad, prevención,
investigación y persecución de
delitos.
Las medidas de seguridad constituyen los mínimos exigibles, por lo que se deberán
adoptar las medidas adicionales que se estimen necesarias para brindar mayores garantías
en la protección y resguardo de los SDP.
3.4 Tratamiento
Se considera como tratamiento de los SDP a cualquier operación o conjunto de
operaciones relacionadas con la obtención, registro, organización, conservación,
utilización, transmisión, difusión, interconexión, transferencia de los datos personales.
Obtención de datos
Al llevar a cabo la obtención de datos, a través de cualquier medio, existen algunos casos
en que se requiere del consentimiento expreso de las personas y otros en que no:
Casos en que el consentimiento expreso no es requerido:
a. Si se encuentra previsto en una Ley.
b. Cuando impliquen datos necesarios para la realización de las funciones propias de la
administración pública.
c. Cuando exista una orden judicial.
d. Si el titular no está en posibilidad de otorgar su consentimiento por motivos de salud
y el tratamiento de sus datos resulte necesario.
e. Cuando se transmitan datos entre organismos gubernamentales y se tenga por
objeto el tratamiento posterior de los datos con fines históricos, estadísticos o
científicos.
f. Cuando los datos se den a conocer al usuario externo para la prestación de un
servicio cuya finalidad sea el tratamiento de datos personales.
g. Cuando los datos figuren en registros públicos.
h. En emergencias, casos que involucren seguridad pública, seguridad nacional o salud
pública.
43
Aunque el consentimiento expreso no sea requerido, para todos los casos, el encargado de
recabar datos personales deberá hacer del conocimiento de los individuos sobre su
tratamiento y derechos, a través del Aviso de Protección de Datos Personales.
Casos en que el consentimiento sí es requerido:
a. Cuando se trate de datos personales sensibles.
b. Cuando se difundan datos personales.
El consentimiento es recabado a través de Formato de Consentimiento Expreso.
Utilización de datos
Solamente los responsables y encargados de cada SDP podrán tener acceso y utilizar los
datos. Los usuarios externos también podrán hacerlo, siempre y cuando cumplan con
todos los requisitos de la Ley. Todos estos actores deberán cuidar que se cumplan las
medidas de seguridad previstas en el Documento de Seguridad.
Conservación de datos:
De acuerdo con el principio de temporalidad, los SDP sólo podrán conservarse durante el
tiempo que sean necesarios para el cumplimiento de sus finalidades, como lo establece el
principio de temporalidad. Una vez cumplido este plazo, deberán destruirse o eliminarse a
través de un Acuerdo de Eliminación o Destrucción, dependiendo del tipo de archivo que
los contenga. El responsable deberá vigilar que esto se cumpla, de acuerdo con las
disposiciones aplicables.
Disociación:
El procedimiento de disociación es todo tratamiento de datos personales que impida que
la información que se obtenga pueda asociarse a una persona. Cuando los datos
personales no permiten la identificación de una persona concreta pierden el carácter de
personales, quedando al margen de la normativa sobre protección de datos.
La disociación debe llevarse a cabo en alguno de los siguientes casos:
1.
Cuando el SDP ya no es necesario para los fines establecidos, pero se buscan conservar
con fines históricos, estadísticos o científicos.
2.
Cuando el SDP tiene la finalidad exclusiva de recabar datos personales sensibles.
44
¿CUÁNDO SE DISOCIAN Y CUÁNDO NO LOS SDP?
SISTEMA DE DATOS PERSONALES QUE
YA CUMPLIÓ CON SU FINALIDAD
SISTEMA DE DATOS PERSONALES
EXCLUSIVAMENTE SENSIBLES
¿Cuándo se disocia?
¿Cuándo no se
disocia?
¿Cuándo se
disocia?
¿Cuándo no se
disocia?
Cuando en lugar de ser
destruido, se utilice
para fines históricos,
estadísticos o
científicos.
Cuando en lugar de ser
destruido, se utilice
para fines históricos,
que requieren que los
datos permanezcan
íntegros, si así lo
determina un
especialista.
Siempre, si el
hecho de
disociarlo no
perjudica a
nadie ni
entorpece a la
autoridad.
Cuando los
datos deban
conservarse
íntegros para
estudios
científicos o de
salud pública.
EJEMPLO DE DISOCIACIÓN
Una persona acude para recibir tratamiento médico y se le otorga una clave
o número de usuario (001023). Esto implica que no asociamos el nombre a
la persona que estamos visualizando y cuyos datos estamos tratando.
Exclusivamente la persona autorizada para asociar esos datos, es decir, el
responsable (por ejemplo, en una clínica, el médico) conoce a quién
corresponde el número de usuario asociado a una determinada persona.
Fuente: López-Vidriero y Santos (2005)
3.5 Transmisión
La transmisión de datos personales es toda comunicación de datos realizada a una persona
física o moral autorizada distinta al titular, que pueden ser organismos nacionales o
internacionales, así como la transferencia o comunicación de datos realizada entre Sujetos
Obligados. La transmisión de la que puedan ser objeto los datos personales debe quedar
asentada en la Ficha Técnica. A la persona u organización a quien se transmiten datos se le
conoce como usuario externo.
45
No se considera transmisión de datos el acceso que un tercero tenga a un SDP para darle
servicio de mantenimiento.

El usuario externo de los datos personales estará obligado a acatar las mismas
disposiciones que los Sujetos Obligados.

Quien obtenga los datos en virtud de liquidación, fusión, escisión u otra figura
jurídica, queda obligado a acatar todas las disposiciones de la Ley.
Requisitos para la transmisión de SDP
1.
Cuando el responsable transfiera los datos personales a usuarios externos
nacionales o extranjeros, deberá establecer claramente la finalidad para la cual entrega
los datos y el tratamiento que se les debe dar.
2. En toda transmisión de SDP, el responsable deberá informar al titular del Sujeto
Obligado la identidad del usuario externo, así como las razones que motivaron el
pedimento de la misma, dentro de los treinta días previos a dicho acto.
3. La transmisión de SDP sólo podrá realizarse cuando el usuario externo garantice
por escrito un nivel de protección similar, y que se haya consignado en el Documento
de Seguridad.
3.6 SDP en materia de salud
La Ley de Protección de Datos Personales es complementaria a los ordenamientos que ya
existen en materia de protección de datos de salud. No sustituye ni contraviene ninguna
disposición existente.
Las disposiciones de la Ley de Datos Personales para los SDP en materia de Salud son las
siguientes:
1. El tratamiento de los SDP en materia de salud se regirá conforme a lo dispuesto en:
a. La Ley General de Salud
b. La Ley Estatal de Salud
c. Las Normas Oficiales Mexicanas: En este sentido, la NOM 168-SSA1-1998 sobre el
Expediente Clínico.
d. Los lineamientos, convenios, acuerdos y demás disposiciones aplicables: La Carta
de los Derechos Generales de los Pacientes y el Reglamento de la Ley General de
Salud en materia de Prestación de Servicios de Atención Médica, son los
principales ordenamientos que lo rigen.
46
2. El tratamiento y transmisión de esta información obliga a preservar los datos de
identificación personal del paciente, separados de los de carácter clínico-asistencial,
salvo que el propio paciente haya dado su consentimiento para no separarlos. Es decir,
los datos personales deben someterse a un proceso de disociación.
Los datos de identificación personal son aquellos que permiten la identificación de la
persona, como el nombre, el domicilio, la CURP, etcétera; los datos de carácter clínicoasistencial son los que se refieren a los padecimientos y tratamientos médicos que
recibe la persona, junto con todos los elementos para el diagnóstico y seguimiento.
3. Cuando se trate de investigación científica, salud pública o procesos judiciales, si fuera
imprescindible, los datos identificativos se podrán conservar sin disociar de los
clínico-asistenciales.
4. El acceso a los datos y documentos relacionados con la salud de las personas queda
limitado estrictamente a los fines específicos de cada caso.
¿Por qué principios se rige la protección de datos personales en materia de Salud?
La protección de datos personales se rige por los mismos 11 principios que el resto de los
SDP, con especial énfasis en la confidencialidad. Tres de estos principios tienen
consideraciones especiales para el caso de Salud:
PRINCIPIO
Confidencialidad
Responsabilidad
Temporalidad
CONSIDERACIONES EN MATERIA DE SALUD
El paciente tiene derecho a que toda la información que exprese su
médico, se maneje con estricta confidencialidad y no se divulgue
más que con la autorización expresa de su parte.(Punto 6 de la
Carta de los Derechos de los Pacientes y fracción X del artículo 77
bis 37 de la LGS)
Se sustenta en el deber del secreto profesional. (NOM 5.6)
Conservación mínima de 5 años. (NOM 5.3 y artículo 32 del
reglamento de la LGS)
Datos personales sensibles
En materia de Salud, el Expediente Clínico contiene, entre otros datos, el estado de salud
físico o mental, las características físicas y/o la información genética del paciente, que son
47
clasificados como datos personales sensibles. Esto quiere decir que el nivel de seguridad
de todos los SDP en materia de Salud deberá ser alto.
Responsabilidades de los Sujetos Obligados
Aunque los SDP en materia de Salud actualmente ya cuentan con algunas de las medidas
previstas en la Ley, los Sujetos Obligados deben asegurarse de que, por lo menos, se
encuentre designado un responsable por cada SDP, que cuenten con las medidas de
seguridad de nivel alto y que los encargados conozcan sus obligaciones.
Creación, modificación y eliminación del Expediente Clínico
El conjunto de Expedientes Clínicos conforman los SDP en materia de Salud. Cada
institución que otorgue bienes y/o servicios de salud, contará con, al menos:
1. Un SDP con todos los Expedientes Clínicos que poseen.
2. Un SDP del personal que labora en la institución
3. Un SDP de proveedores, en su caso
Estos SDP deberán contar con las mismas características que los SDP de otros ámbitos. La
modificación de estos SDP deberá registrarse e informarse también de la misma forma que
el resto de los SDP.
La eliminación de los SDP de Expedientes Clínicos, no podrá hacerse en un plazo menor a
5 años, de acuerdo con la NOM-168-SSA1-1998.
3.7 SDP en materia de seguridad pública
Las dependencias y entidades que manejan datos relacionados con seguridad pública y
procuración de justicia tienen algunas diferencias en el manejo de sus SDP, respecto del
resto.
1. Para los SDP con fines administrativos, se regirán conforme a la Ley de Protección de
Datos Personales, sin que existan excepciones o casos especiales.
2. Los SDP con fines de seguridad pública tendrán algunas excepciones.
Excepciones para el tratamiento de SDP con fines de seguridad pública
Sobre el Consentimiento Expreso y el Aviso de Protección de Datos Personales:
48
Los datos de carácter personal obtenidos para fines de seguridad pública y/o procuración
de justicia podrán ser recabados sin consentimiento de los titulares, pero sólo deberán ser
los necesarios para la prevención de un peligro real para la seguridad pública o para la
prevención, investigación y persecución de delitos. Esto quiere decir que, en casos
especiales, el Aviso de Protección de Datos Personales y el Formato de Consentimiento
Expreso no serán necesarios.
Si no existiera un peligro real para la seguridad pública o los datos no fuera necesarios
para la prevención, investigación y persecución de delitos, el Aviso de Protección de Datos
Personales y el Formato de Consentimiento Expreso deberán aplicarse de manera
ordinaria. Algunos ejemplos son los siguientes:
Casos excepcionales en que no se necesita presentar un Aviso de Protección de Datos
Personales:
-
Cuando una persona es sorprendida en flagrancia cometiendo algún delito, la
autoridad que recabe sus datos personales no necesitará presentar un Aviso de
Protección de Datos Personales.
-
Cuando los datos se recaben fuera de las instalaciones oficiales de la dependencia o
entidad.
Casos excepcionales en que no se necesita recabar el Consentimiento Expreso para el
tratamiento de datos personales sensibles:
-
Cuando una persona es sorprendida en flagrancia cometiendo algún delito, la
autoridad que recabe sus datos personales, no necesitará recabar el Consentimiento
Expreso.
-
Cuando se recaben datos de una persona con la finalidad de investigarla sobre la
comisión de un delito.
-
Cuando se recaben los datos de una víctima si el delito se persigue por oficio. Por el
contrario, cuando se persiga por querella, la autoridad sí deberá recabar el
Consentimiento Expreso de la víctima.
-
Cuando exista una orden judicial o una ley que determine la obligatoriedad para que
se obtengan los datos de una persona.
49
Sobre la protección de los datos personales:
Independientemente de si existe consentimiento por parte del titular de los datos
personales o no, los datos deberán tratarse con apego a las medidas de seguridad y demás
disposiciones que marca la Ley.
Todos los SDP con fines de seguridad pública deberán tener nivel de seguridad alto.
Sobre el Consentimiento Expreso para difusión:
La difusión de datos personales, a diferencia de otros rubros, podrá hacerse sin
consentimiento de los titulares, en casos de emergencia, seguridad pública o seguridad
nacional. Algunos ejemplos son los siguientes:
-
Cuando se difunden los datos personales para la localización de un presunto
delincuente, siempre y cuando no se violente el principio de presunción de inocencia,
el debido proceso o los derechos humanos del implicado.
-
Para la colaboración entre instituciones de seguridad pública.
Sobre las responsabilidades adicionales:
Los datos personales que se recaben en materia de seguridad pública deberán ser los
estrictamente necesarios para los fines de una investigación.
Sobre el ejercicio de los derechos ARCO:
El titular de los datos personales podrá ejercer sus derechos ARCO de la misma forma que
en cualquier otro ámbito. No obstante, el ejercicio de estos derechos podrá ser negado
cuando esto pueda derivar en un peligro para la seguridad pública, la protección de
derechos y libertades de terceros o las necesidades de las investigaciones que se estén
realizando, así como cuando se obstaculice la actuación de la autoridad. Estas causales de
negación no podrán aplicar nunca a SDP con fines administrativos.
3.8 Proceso de tratamiento de SDP
Los SDP son comunes en la Administración Pública. Sin embargo, antes no existía una
normativa acerca de las medidas de seguridad y la manera en que se debían tratar los
datos contenidos en ellos. En este sentido, la Ley de Protección de Datos Personales del
Estado establece una nueva forma de manejarlos.
La protección de los SDP incluye las siguientes etapas:
50
1. Creación del SDP y establecimiento de las medidas de seguridad
1.1 Ficha Técnica
1.2 Documento de Seguridad
1.3 Acuerdo de Creación
2. Obtención y registro de datos
1.1 Aviso de Protección de Datos Personales
1.2 Formato de Consentimiento Expreso
3. Utilización de los datos personales
3.1 Se utilizan los datos para los fines previstos
3.2 Se transmiten los datos a un usuario externo, en su caso
Se establecen las condiciones para el tratamiento al usuario externo
3.3 Se modifica el SDP, en su caso
Se reportan las modificaciones a la CAIP y en la Ficha Técnica y/o
Documento de Seguridad
4. Eliminación del SDP
4.1 Creación de un acuerdo de eliminación
1. Creación del SDP y establecimiento de las medidas de seguridad
requeridas
La creación de un SDP en la Administración Pública forzosamente debe obedecer un
propósito o finalidad. La Ley establece que deberá crearse, entonces, un SDP por cada
finalidad. Esta información debe quedar asentada en la Ficha Técnica, el Documento de
Seguridad y el Acuerdo de Creación. Estos documentos ya se abordaron en el apartado 3.1
del Manual.
La Ficha Técnica y el Documento de Seguridad deberán ser resguardados por el
responsable del SDP, y se deberá enviar una copia de conocimiento a la Coordinación
General de Transparencia.
Medidas de seguridad:
Como ya se mencionó, las medidas de seguridad se componen de dos dimensiones: el tipo
de seguridad y el nivel de seguridad.
Los tipos de seguridad pueden ser: físicos, lógicos, de cifrado y de comunicaciones y
redes. Y los niveles de seguridad son: básico, medio y alto.
51
2. Obtención y registro de datos
Al obtener datos, independientemente del tipo o forma de recabarlos, es necesario contar
con un Aviso de Protección de Datos Personales, donde se establezcan:
1. La existencia del SDP y su finalidad
2. El carácter obligatorio u optativo de la información que se requiere
3. Las consecuencias del suministro de los datos
4. Las consecuencias de no suministrar los datos o de hacerlo de manera inexacta
5. La posibilidad de ejercer los derechos de acceso, rectificación, cancelación y
oposición
6. La identidad y dirección de la Unidad de Acceso
Adicionalmente, en algunos casos, es necesario contar con el consentimiento del titular de
los datos. Cuando es así, se debe utilizar el Formato de Consentimiento Expreso, para
obtener la aprobación del titular para utilizar sus datos personales.
3. Utilización de los datos
Durante el tratamiento de los SDP es posible que se presenten tres situaciones, que
requieren de un procedimiento específico:
1. Transmisión de datos: Se deberán establecer las condiciones para la transmisión al
usuario externo en la Cláusula para la transmisión de datos a usuarios externos, que
deberá quedar asentada en el acto jurídico que se celebre entre el Sujeto Obligado y el
usuario externo.
2. Difusión de datos: Al momento de recabar los datos, se debe solicitar la autorización
del titular, a través del Formato de Consentimiento Expreso.
3. Modificación de las características del SDP: Si alguna de las características enlistadas
en la Ficha Técnica o el Documento de Seguridad sufriera cambios a lo largo de su
tratamiento, deberá reportarse en este mismo documento y enviar copia de la
modificación a la Secretaría de la Contraloría, para que ésta modifique el Registro
General.
4. Eliminación del SDP cuando deje de cumplir con su finalidad
Cuando la finalidad para la que se creó el SDP deja de existir, el Sistema y todos los datos
contenidos en él deberán eliminarse del archivo, se realiza el Acuerdo de Eliminación.
52
DIAGRAMA 5.2.A - PROCESO DE TRATAMIENTO DE SISTEMAS DE DATOS
PERSONALES
53
ACTIVIDADES
1. Creación de Fichas Técnicas y Documentos de Seguridad
Instrucciones: A continuación se describen algunos Sistemas de Datos Personales. Llene los
campos de la Ficha Técnica y el Documento de Seguridad para cada uno de ellos en los formatos
que se proporcionen para ello.
Sistema No. 1

Comenzó a funcionar el 5 de junio de 2013 para registrar a los beneficiarios de un programa de apoyo
para micro, pequeñas y medianas empresas.

La Unidad Administrativa responsable es la Subdirección de Normas de la Secretaría de Fortalecimiento
Económico, y el subdirector es José Luis Cabrera Méndez, quien opera en su totalidad el programa.

Los datos se recaban de manera presencial en las instalaciones de la dependencia, a través de un formato
impreso.

Los formatos se almacenan en carpetas que se guardan en archiveros con llave y se capturan en una hoja
de Excel protegida y con contraseña.

Los datos que se recaban son: clave de elector, RFC, CURP, domicilio, fecha de nacimiento, fotografía,
nombre, teléfono celular, teléfono particular.

El Sistema podrá ser transmitido al CONEVAL cuando se realice la evaluación del programa, como lo
establece el Convenio de Colaboración 45-LKM-2013

El titular de la Unidad de Acceso es Jaime Rojas Fernández.
o Teléfono oficial: 3-00-11-22 ext. 456.
o Dirección: 10 norte 1010 Col. Centro.
o Correo electrónico: jaime.rojas@gobierno.pue.mx

Miriam Rosas Hernández, quien se desempeña como Analista Especializada “A” es quien captura los
formatos en Excel y hace el análisis estadístico de la información.
Sistema No. 2

El Sistema se creó para integrar el expediente de mujeres beneficiadas por el Programa de Reinserción
Social para analizar y verificar que cumplan con el perfil y requisitos señalados, con el objeto de dirigirlas
a las instancias canalizadores y otorgar los servicios de los programas de reinserción social.

El Sistema es manejado por la Dirección General de Igualdad y Diversidad Social de la Secretaría de
Desarrollo Social. La Directora es Mariana Campos Gutiérrez y es la única persona que tiene acceso al
Sistema. Sus funciones respecto al Sistema consisten en analizar los perfiles de las beneficiarias para
corroborar que corresponden con la población objetivo del Programa.

El Sistema se creó cuando comenzó a operar el programa, en 2010.

Los datos se obtienen directamente de las personas cuando acuden a las instalaciones de la dependencia
y se almacenan en un registro de datos de Microsoft Access con contraseñas que cambian cada seis
meses, sin conservar registro físico.

Los datos que se recaban son los siguientes: características emocionales, domicilio, edad, fecha de
nacimiento, estado civil, firma, nombre, nombres de familiares dependientes y beneficiarios, teléfono
celular, teléfono particular, clave de elector, CURP, lugar de nacimiento, trayectoria educativa, huella
digital.

El Sistema no se transmitirá a ninguna persona u organización.

El titular de la Unidad de Acceso es Fernando Puentes Carreón.
o Teléfono: 3-00-11-22 ext. 1011
o Dirección: 10 norte 121 Col. Centro Histórico
o Correo electrónico: fernando.puentes@gobierno.pue.mx
54
2. Preguntas de repaso
a. ¿Cuáles son los tres SDP mínimos que debe tener una dependencia o entidad?
b. Mencione dos elementos que contenga la Ficha Técnica y dos elementos que
contenga el Documento de Seguridad.
c. ¿Cómo se determina cuántos SDP tiene una dependencia o entidad?
d. ¿Qué documentos se deben realizar cuando se crea un SDP?
e. ¿En qué documento debe quedar asentada la realización de modificaciones a un
SDP?
f.
¿En qué momento del tratamiento de SDP se utiliza el Aviso de Protección de Datos
Personales?
g. ¿Cuáles son las dos dimensiones que componen las medidas de seguridad?
h. Describa los cuatro tipos de seguridad.
i.
Mencione dos elementos que se requieran para el nivel de seguridad básico, dos
para el nivel de seguridad medio y dos para el nivel de seguridad alto.
j.
¿Cuándo debe disociarse un SDP?
k. ¿Cuáles son las cuatro etapas del proceso de tratamiento de SDP?
3. Preguntas para la reflexión
a. ¿Por qué es importante que exista un Aviso de Protección de Datos Personales?
b. ¿Por qué resulta relevante que los SDP de los Sujetos Obligados se encuentren
sistematizados y estandarizados?
55
CAPÍTULO 4: DERECHOS ARCO
4.1 Introducción a los derechos ARCO
De la protección de los datos personales se desprenden cuatro derechos que tiene cada
persona sobre sus datos: acceso, rectificación, cancelación y oposición al tratamiento de
datos personales. Éstos son conocidos como derechos ARCO. Estos derechos se ejercen
presentando una Solicitud ARCO ante la Unidad Administrativa de Acceso a la
Información del Sujeto Obligado.
Cada uno de estos derechos es independiente, por lo que no debe entenderse que el
ejercicio de alguno de ellos sea requisito indispensable o impida el ejercicio de otro.
Derecho de Acceso
Todas las personas tienen derecho de acceder a su información personal que esté en
posesión de los Sujetos Obligados, a fin de conocer cuál es y el estado en que se encuentra,
es decir, si es correcta y actualizada, o para conocer para qué fines se utiliza. Asimismo, a
través del ejercicio del derecho de acceso, se pueden conocer las características generales
del uso al que están sometidos los datos personales. Entre la información a la que se puede
acceder se encuentra la siguiente (IFAI, 2011):
¿Cuáles de mis datos personales tienen?
¿Para qué finalidades los recaban?
¿Quién utiliza mis datos personales?
¿Quiénes pueden ver mi información personal y con qué fines?
¿Qué datos personales comparten con usuarios externos?
¿De qué fuente obtuvieron mis datos personales?
¿Qué cosas no se pueden preguntar a través de una Solicitud ARCO de Acceso?

Una Solicitud de Acceso no puede utilizarse para preguntar información sobre los
datos personales de otras personas, distintas al titular.

No se puede solicitar información sobre los tipos de seguridad del SDP, pues se
considera información reservada.
56
EJEMPLO DE SOLICITUD ARCO DE ACCESO
SOLICITUD DE BECA: Supongamos que una persona aplica a la SEP para una beca
y ésta se la niega argumentando que no cumple con las características
socioeconómicas para ese programa de becas. Esa persona puede realizar una
Solicitud ARCO de Acceso para conocer los datos personales en que se basó la
dependencia para emitir esa decisión y así corroborar que sean correctos. Si no lo
fueran, podría proceder a hacer una Solicitud de Rectificación, que es el derecho que
se aborda a continuación.
Derecho de Rectificación
A través del derecho de rectificación es posible realizar la corrección de datos que sean
inexactos, que hayan cambiado o estén incompletos. La rectificación busca controlar la
calidad de la información para que se corrijan las imperfecciones, errores o defectos de la
misma. (Piñar y Ornelas, 2013)
La rectificación de datos personales es un derecho, pero también constituye una
responsabilidad para el titular, pues debe cerciorarse de que los datos que posee el
gobierno son correctos.
Rectificación de datos contenidos en documentos oficiales
El derecho de rectificación que se ejerce con la finalidad de corregir algún dato contenido
en un documento oficial se ejerce a través del proceso de solicitud ARCO de manera
supletoria. Esto quiere decir que sólo aplicará cuando no exista un procedimiento ya
establecido para la corrección del documento.
EJEMPLOS DE SOLICITUDES ARCO DE RECTIFICACIÓN
Cuando un documento oficial contiene errores en los datos personales del titular,
esto también puede implicar complicaciones, dado que sus documentos no serán
consistentes entre sí. Por ejemplo, si el Certificado de Primaria de una persona tiene
mal escrito el nombre o un error en la fecha de nacimiento, a esa persona le será muy
problemático poder acceder a la Secundaria, ya que el documento no corresponderá
con su acta de nacimiento y demás documentos. Para solucionarlo, la persona debe
seguir el procedimiento establecido para la rectificación de ese tipo de documento.
De no existir, puede ejercer su derecho de rectificación ARCO.
57
Derecho de Cancelación
La cancelación se realiza cuando el titular considere que sus datos personales ya no se
requieren, resulten inadecuados o excesivos, o cuando el tratamiento no se ajuste a las
disposiciones legales:

Inadecuados: Cuando no guardan relación con el ámbito de aplicación y finalidad por
la cual fueron recabados, o bien, si dejaron de ser necesarios con respecto a dicha
finalidad. (infodf, sf)

Excesivos: Si los datos recabados son más de los estrictamente necesarios en relación a
dicha finalidad. (infodf, sf)
La eliminación de los datos personales no siempre procede de manera inmediata, pues a
veces es necesaria la conservación de los mismos con fines legales, de responsabilidades o
contractuales. A este periodo se le denomina bloqueo, y durante el mismo los datos
personales no podrán ser utilizados para ninguna finalidad, y una vez concluido deberán
ser eliminados. (IFAI, 2011)
Además, se puede solicitar la cancelación cuando previamente se haya ejercido el derecho
de oposición y éste haya resultado procedente, lo cual se demuestra presentando el
Comprobante ARCO de Oposición.
¿Cuándo no podrán ser cancelados los datos personales?
Cuando tengan fines estadísticos, científicos o históricos, y sean previamente sometidos al
procedimiento de disociación.
Cuando pudiese causar perjuicios a derechos o afectar intereses legítimos de terceros.
Cuando exista una obligación legal de conservar los datos.
Cuando se refiera a las partes de un contrato y sean necesarios para su desarrollo y cumplimiento.
Cuando se obstaculicen actuaciones judiciales o administrativas vinculadas a obligaciones fiscales,
la investigación y persecución de delitos o la actualización de sanciones administrativas.
Cuando sean necesarios para proteger los intereses jurídicamente tutelados del titular.
Cuando sean objeto de tratamiento para la prevención o para el diagnóstico médico o la gestión de
servicios de salud, siempre que dicho tratamiento se realice por un profesional de la salud sujeto a
un deber de secreto.
58
EJEMPLO DE SOLICITUD DE CANCELACIÓN
BENEFICIARIO DE UN PROGRAMA SOCIAL: Una madre soltera recibe un apoyo
económico por parte de un programa social. Cuando su hijo cumple 18 años, el programa
deja de otorgarle el apoyo, sin embargo, continúa recibiendo notificaciones acerca del
programa por parte de la dependencia encargada. Esta mujer puede ejercer su derecho de
cancelación, ya que los fines para los cuales esa dependencia tenía sus datos ya no
existen.
Derecho de Oposición
El titular podrá oponerse al tratamiento de sus datos para fines específicos, en caso de que
hayan sido recabados sin su consentimiento, o cuando existan motivos fundados para ello,
siempre que se ajuste a la Ley. Los datos serán bloqueados cuando la oposición resulte
procedente, pero no eliminados.
Los titulares de los datos personales tienen derecho a oponerse al uso de su información
personal cuando:
•
•
Por alguna causa legítima sea necesario parar el uso de los datos personales, a fin de
evitar un daño a su persona.
No quieran que su información personal sea utilizada para ciertos fines o por ciertas
personas, empresas, negocios, asociaciones, o cualquier usuario externo.
EJEMPLO DE SOLICITUD DE OPOSICIÓN
REALIZACIÓN DE UN TRÁMITE: Un hombre acude a realizar el trámite
correspondiente para ponerse al corriente en el pago de la verificación vehicular. Para
realizarlo le solicitan algunos datos y, conforme a la ley, le informan a través del Aviso
de Protección de Datos Personales sobre el tratamiento que se dará a sus datos.
Algunos días más tarde, el hombre recibe en su correo electrónico un anuncio en el
que le informan sobre alguna facilidad para el pago de impuestos u otra información
de interés. Aunque el plazo para que la dependencia donde realizó el trámite conserve
sus datos aún se encuentra vigente, este hombre puede sentirse incómodo con los
anuncios que llegan a su correo electrónico, por ello, podrá presentar una Solicitud de
Oposición para que sus datos no se utilicen para enviarle esos correos, aunque
seguirán existiendo en las bases de la dependencia hasta que cumplan con su
finalidad.
59
El titular se puede oponer al tratamiento de sus datos personales, aún si éste se lleva a
cabo de manera legítima, cuando el tratamiento de los datos personales le genere o le
pueda generar algún perjuicio.
El ejercicio del derecho de oposición no procederá en aquellos casos en los que el
tratamiento de los datos personales sea necesario para el cumplimiento de una obligación
legal.
¿Quiénes pueden ejercer los derechos ARCO?
Todas las personas podrán realizar una solicitud ARCO sobre sus datos personales,
debiendo identificarse con un documento oficial original.

Pueden ejercerse por medio de un representante legal, identificándose y presentando
un documento notarial que lo avale.

En el caso de menores de edad, los derechos ARCO los puede ejercer el tutor o quien
tenga legalmente la patria potestad.

En caso de que el titular haya fallecido, los derechos ARCO pueden ser ejercidos por
los herederos legítimos o el albacea de su sucesión, previa acreditación de su
personalidad.
Acreditación de identidad
Las personas que realicen solicitudes ARCO pueden ser: el titular de los datos, su
representante legal, el padre o tutor de un menor de edad y el heredero o albacea de una
persona fallecida. Todos deberán presentar una identificación oficial, que puede ser:
1. IFE (vigente)
2. Pasaporte (vigente)
3. Cartilla del Servicio Militar Nacional (liberada)
4. Cédula Profesional
Adicionalmente, si la solicitud la realiza un representante legal, deberá presentar poder
otorgado ante Notario Público.
60
Si la solicitud es para un menor de edad, quien lo represente deberá presentar:
1. De ser padre o madre, se requiere acta de nacimiento original para su corroboración.
2. En caso de ejercer legalmente la patria potestad por otros medios, se requiere
resolución judicial que otorgue la patria potestad del menor.
Si la solicitud es para una persona fallecida se requiere resolución judicial que acredite a
la persona como heredero o albacea de la sucesión.
4.2 Proceso de solicitud de derechos ARCO
Todas las personas tenemos derecho a acceder, rectificar, cancelar u oponernos al
tratamiento de nuestros datos, siempre que no contravenga la Ley. Para hacerlo, el titular
de los datos debe presentar una Solicitud ARCO, a la que le dará trámite la Unidad de
Acceso de cada dependencia o entidad, con el apoyo de las personas responsables y
encargados del SDP.
El procedimiento por el cual los titulares de datos personales ejercen sus derechos ARCO
comprende las siguientes etapas:
1. Presentación de una Solicitud ARCO
2. Recepción y registro de la Solicitud
2.1 Orientación al solicitante para que subsane las deficiencias, en su caso
2.2 Acta de improcedencia, cuando la solicitud no sea posible de atender
3. Turno al área correspondiente
4. Búsqueda de información en el área correspondiente
5. Respuesta a la Unidad Administrativa de Acceso a la Información
4.1 Acta de improcedencia, cuando la solicitud no sea posible de atender
4.2 Acta circunstanciada si la información no se encuentra en los SDP en posesión
del Sujeto Obligado
5. Respuesta a la Solicitud ARCO
5.1 Informe sobre los costos, cuando los haya
6. Entrega o negación de la información
1. Presentación de una Solicitud ARCO
El titular de los datos, o su representante legal, presenta una solicitud ARCO ante la
Unidad de Acceso de la dependencia o entidad que corresponda.
61
2. Recepción y registro de solicitudes:
La Unidad recibe y registra la solicitud y otorga al solicitante un acuse de recibo. La
Unidad debe revisar que la solicitud sea precisa, contenga los datos necesarios y
suficientes para localizar la información.
a. Si la solicitud no es precisa, es errónea, no contiene todo lo que se pide en el formato
de Solicitud ARCO o los detalles que proporciona no bastan para localizar los datos, la
Unidad tendrá un plazo de 5 días hábiles para orientar al solicitante para que aclare o
complete su solicitud. Cuando lo haya hecho, el solicitante tendrá 3 días hábiles para
corregir o complementar la información y presentarla nuevamente ante la Unidad. Si
no lo hiciera, la solicitud se considerará como no presentada.
b. Si la solicitud sí cumple con todo lo necesario, la Unidad deberá determinar si es
procedente o no, es decir, si el derecho que se desea ejercer no contraviene la Ley o
impide el desempeño de las funciones públicas de la organización. Si es improcedente,
la Unidad deberá responder al solicitante, en un máximo de 15 días hábiles a partir de
la presentación de la solicitud, con una resolución fundada y motivada, que se
denomina Acta de Improcedencia.
3. Turno al área correspondiente:
Cuando la solicitud cumpla con todos los requerimientos que la Ley establece y además
resulte procedente, se deberá turnar al área responsable del SDP que contenga los datos
sobre los que se busca ejercer los derechos ARCO.
4. Búsqueda de información en el área correspondiente:
El responsable y los encargados del SDP deberán realizar la búsqueda de los datos.
5. Respuesta a la Unidad de Acceso
El responsable deberá indicar a la Unidad alguna de las siguientes posibilidades:
a. Que la solicitud es improcedente, en cuyo caso se procederá a informar al solicitante a
través de una Acta de Improcedencia.
b. Que la información no se encuentra en el SDP señalado. En este escenario, la Unidad
procederá a buscar en otras áreas o SDP exhaustivamente. Si aun así no se encontraran
62
los datos, la Unidad procederá a levantar un Acta Circunstanciada, en la que se
establecerán los detalles de la búsqueda y que deberá estar firmado también por los
responsables y encargados que hayan participado en la búsqueda.
c. Que la información se encuentra y la solicitud es procedente, a lo cual se procederá a
responder al solicitante.
6. Respuesta a la Solicitud ARCO
La Unidad deberá responder a la Solicitud ARCO en un máximo de 15 días hábiles a partir
de su recepción, plazo que podrá ser prorrogado una sola vez por 15 días hábiles más. En
la respuesta se deberá especificar el trámite realizado y:
En caso de solicitud de acceso: Si el solicitante hubiera determinado que la información se
entregara por copia simple o certificada, se le informarán los costos y detalles para que
realice el pago.
7. Entrega, rectificación, cancelación o bloqueo de datos
Cuando se haya respondido a la solicitud y ésta haya sido procedente, ocurrirá lo
siguiente:
a. En caso de solicitud de acceso:
i. Cuando el solicitante haya determinado que los datos se le enviaran por correo
electrónico se procederá a enviar la información.
ii. Si hubiera determinado una consulta directa, se le informará que tiene 60 días
hábiles a partir de que fuera enterado, para asistir al lugar donde se encuentran los
datos.
iii. Si el solicitante hubiera requerido la información en copias simples o certificadas, ya
habiéndole informado sobre los costos y plazos en la respuesta, tendrá 20 días
hábiles para realizar el pago. Si no lo realiza, la Unidad no tendrá obligación de
entregar la información. Si lo realiza, deberá presentar su comprobante de pago y la
Unidad deberá entregar la información en el formato indicado (en los 5 días hábiles
siguientes).
b. En caso de solicitud de rectificación, cancelación u oposición:
i. La Unidad tendrá 15 días hábiles después de responder a la solicitud para hacer
efectivo el derecho solicitado. Para comprobarlo, deberá enviar al solicitante, en el
63
mismo plazo, un Comprobante ARCO, que servirá como evidencia para el
solicitante y la Unidad de que se llevó a cabo el trámite.
A continuación se muestra este proceso de manera gráfica, identificando las áreas
involucradas en cada etapa y los documentos requeridos.
64
DIAGRAMA 5.2.B - PROCESO DE SOLICITUD DE DERECHOS ARCO
65
TABLA 5.2.A PROCESO DE SOLICITUD DE DERECHOS ARCO CON PLAZOS Y
DOCUMENTOS
66
ACTIVIDADES
1. Atender una Solicitud ARCO
Instrucciones: Organícense en equipos de 3 personas. Cada persona asumirá un rol:

Unidad de Acceso a la Información

Responsable del SDP

Encargado del SDP
Se les entregará una solicitud ARCO que deberán resolver llevando a cabo el procedimiento
señalado y utilizando los formatos correspondientes.
2. Preguntas de repaso
a.
¿En qué consiste el derecho de acceso? Escribe un ejemplo de un caso.
b.
¿En qué consiste el derecho de rectificación? Escribe un ejemplo de un caso.
c.
¿En qué consiste el derecho de cancelación? Escribe un ejemplo de un caso.
d.
¿En qué consiste el derecho de oposición? Escribe un ejemplo de un caso.
e.
¿Cómo se diferencian la cancelación y la oposición?
f.
¿Quiénes pueden ejercer los derechos ARCO?
g.
¿Cuáles son las siete etapas del proceso de solicitud de derechos ARCO?
h.
¿En qué casos se requiere que el titular realice algún pago?
i.
¿En qué casos el derecho de rectificación se utiliza como un procedimiento
supletorio?
3. Preguntas para la reflexión
a. ¿Por qué son importantes los derechos ARCO?
b.¿Qué medidas complementarias podrían tomarse desde la Administración Pública
para facilitar el ejercicio de los derechos ARCO por parte de los ciudadanos?
67
CAPÍTULO 5: RECOMENDACIONES PARA PUBLICAR DATOS
PERSONALES CUANDO EXISTEN OBLIGACIONES DE
TRANSPARENCIA Y SOLICITUDES DE INFORMACIÓN
5.1 Protección
publicidad
de
datos
personales
vs
máxima
La Ley estableció la obligación del gobierno de garantizar la protección de los datos de las
personas físicas. No obstante, estas nuevas obligaciones en ocasiones chocan con el
principio de “máxima publicidad” establecido en la Ley de Transparencia y Acceso a la
Información Pública del Estado de Puebla. Específicamente, existe la cuestión sobre si el
nombre de una persona es considerado como un dato personal y, de ser así, cuándo es
susceptible de protección y cuándo no.
Con la finalidad de proporcionar una respuesta homologada y fundamentada a las
solicitudes de acceso a la información y las obligaciones de transparencia que involucran
datos de personas, se considera necesario realizar criterios generales que permitan a los
Sujetos Obligados que integran la Administración Pública Estatal dar cumplimiento a sus
obligaciones, tanto en materia de transparencia y acceso a la información, como en materia
de protección de datos personales.
5.2 El “nombre propio” como dato personal y atributo de
la personalidad
El nombre es el vocablo que sirve para designar a las personas o a las cosas y para
distinguirlas de las demás. Al emplearlo, se individualiza a la persona de que se trata.
Además, es un atributo de la personalidad útil para señalar a una persona, para
individualizarla y para identificarla frente a terceros. El nombre también nos identifica y
nos hace identificables frente a los demás, por lo que es un signo de identidad.
El nombre es “absoluto”, pues es oponible frente a terceros y se encuentra protegido
contra cualquier acto que constituya una usurpación; es también “imprescindible”, debido
a que no se pierde por dejar de usarse durante un tiempo; indica “adscripción” a un
determinado grupo familiar, impone la obligación de emplearse conforme al acta de
68
nacimiento correspondiente; también es “inmutable”, ya que su función es identificar a la
persona que lo porta.
Por lo tanto, el nombre es inherente a la persona y su divulgación está sujeta a la
protección de las leyes.
5.3 La publicidad de la información gubernamental
Las leyes de transparencia y de acceso a la información consagran el principio de
“publicidad de la información” en posesión o en manos de
organizaciones
gubernamentales. Como regla general, toda información en manos de instancias
gubernamentales o estatales es pública y, los particulares pueden acceder a la misma en
los términos establecidos por las leyes, lugar en el que generalmente se distingue o se
clasifica a la información en dos grandes categorías: pública y de acceso restringido. En
ésta, se engloban dos subtipos, aquélla temporalmente fuera del alcance de los ciudadanos
(reservada) y aquella que por su contenido jamás podrá ser accesible (confidencial).
El nombre, como atributo de la personalidad, constituye información confidencial en
modalidad de dato personal.
69
5.4 Recomendaciones generales para publicar o no el
“nombre propio” ante una solicitud de acceso o una
responsabilidad de transparencia
Las siguientes recomendaciones no constituyen criterios, sino que se proponen como una guía para la solución
de controversias entre el principio de máxima publicidad y el principio de privacidad.
R
E
C
O
M
E
N
D
A
C
I
O
N
E
S
1.
El nombre, de inicio, es un dato personal que puede transmitirse o
difundirse siempre y cuando las circunstancias de cada caso lo permitan.
2.
El “nombre propio” deberá entregarse y no podrá suprimirse de
documentos oficiales siempre que sea el resultado de una obligación
específica de transparencia establecida en alguna ley.
3.
Si en alguna solicitud de acceso se le pide al Sujeto Obligado que entregue
el “nombre propio” de algún ciudadano o funcionario público relacionado, ya
sea con algún dato personal sensible, o con su domicilio personal completo,
éstos últimos deberán negarse.
4.
Cuando la información solicitada sea el “nombre” aparejado con el
domicilio, se deberá ligar sólo con el municipio.
5.
Cuando el “nombre propio” esté ligado a datos que reflejan circunstancias
de interés público será de libre acceso, siempre y cuando en la respuesta
notificada al solicitante se le expliquen las razones de la apertura.
6.
Los nombres de los funcionarios o ex funcionarios públicos que se
encuentren inmersos en procedimientos administrativos de determinación de
responsabilidad serán de acceso público, siempre y cuando exista una
resolución firme en su contra.
7.
Los nombres de los funcionarios públicos que realicen actividades de
seguridad pública, investigación y/o persecución de delitos podrán ser
reservados, siempre y cuando exista acuerdo jurídico previo que cumpla con
las formalidades establecidas en la Ley de Transparencia.
8.
En toda respuesta que autorice o niegue la entrega de “nombres propios”
el funcionario encargado de transmitir la respuesta formal del Sujeto
Obligado deberá fundar y motivar la entrega o la negativa a entregar la
información.
9. Cuando se trate del nombre y la nacionalidad de personas físicas que
integren una empresa concesionaria de un servicio público, estos datos podrán
hacerse públicos.
10. Todas estas recomendaciones quedarán exceptuadas cuando exista
resolución judicial que los contravenga o así lo establezca alguna ley.
70
REFERENCIAS
Referencias bibliográficas
IFAI (2004) Iniciación sobre los modelos de bases de datos. México, D.F.
Infodf (sf) Curso de la Ley de Protección de Datos Personales para el Distrito Federal
Piñar y Ornelas (2013) La Protección de datos personales en México. México, D.F., Tirant lo Blanch,
p. 192
Tenorio, M. (2012) Del derecho al acceso a la información al derecho a la protección de datos, el caso
de México. Revista de Derecho, Comunicaciones y Nuevas Tecnologías, Universidad de los
Andes
CAIP (2014) Políticas y Lineamientos de Observancia General para el Manejo, Tratamiento,
Seguridad y Protección de los datos personales en Posesión de los Sujetos Obligados del
Estado de Puebla
Referencias electrónicas
IFAI (2011) Guía práctica para ejercer el Derecho a la Protección de datos personales. Extraído el 14
de marzo de 2014 de:
http://inicio.ifai.org.mx/Publicaciones/01GuiaPracticaEjercerelDerecho.pdf
Infodf (sf) Registro electrónico de sistemas de datos personales. Extraído el 10 de marzo de 2014 de:
http://201.161.9.70/RSDP/ConsultaPublica.aspx
López-Vidriero, I.; Santos, E. (2005) Protección de datos personales. Manual práctico para empresas.
Extraído el 14 de marzo de 2014 de: http://goo.gl/36L1f9
SDP Noticias (26/02/2014) Discriminación en ULSA. Extraído el 7 de marzo de 2014 de:
http://www.sdpnoticias.com/columnas/2014/02/26/discriminacion-en-ulsa
Referencias jurídicas
Ley de Protección de Datos Personales en Posesión de los Sujetos Obligados del Estado de Puebla
Ley de Transparencia y Acceso a la Información Pública del Estado de Puebla
ONU (1948) Declaración Universal de los Derechos Humanos
SCJN (2009) Tesis aislada emitida por la Primera Sala de la Suprema Corte de Justicia de la Nación
1a. CCXIV/2009, visible en la página 277 del Semanario Judicial de la Federación y su
Gaceta XXX, diciembre de 2009.
71
Descargar