MANUAL DE CAPACITACIÓN PARA LA PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DEL PODER EJECUTIVO Coordinación Junio de 2014 General de 0 Transparencia DIRECTORIO María Catalina Daza Hernández y solución Encargada de Despacho de Contraloría del Estado de Puebla la Secretaría de la Josefina Buxadé Castelán Coordinadora General de Transparencia COORDINADOR Julio Carballo Galindo Director de Transparencia y Protección Personales de la Secretaría de la Contraloría de Datos EQUIPO TÉCNICO Andrea Gómez Chargoy Departamento de Protección de Datos Personales de la Secretaría de la Contraloría María Fernanda Sánchez Anaya Departamento de Protección de Datos Personales de la Secretaría de la Contraloría En colaboración con el Instituto de Administración Pública del Estado de Puebla Contacto: Secretaría de la Contraloría Coordinación General de Transparencia Teléfono: 3.03.46.00 ext. 3437 Dirección: Centro Integral de Servicios (CIS), Edificio Ejecutivo, tercer piso Boulevard Atlixcáyotl No. 1101 Col. Concepción Las Lajas, C.P. 72190 Puebla, Puebla. 1 ÍNDICE ÍNDICE ............................................................................................................................................................. 2 ABREVIATURAS ........................................................................................................................................... 4 GLOSARIO...................................................................................................................................................... 5 DOCUMENTOS DE IMPLEMENTACIÓN .............................................................................................. 8 CAPÍTULO 1: INTRODUCCIÓN A LA PROTECCIÓN DE DATOS PERSONALES ...................... 9 1.1 ¿Qué son los datos personales y por qué es importante su protección? ........................................ 9 1.2 Principios .............................................................................................................................................. 10 1.3 Categorías de datos personales ......................................................................................................... 13 1.4 Datos personales y datos personales sensibles ............................................................................... 14 ACTIVIDADES .......................................................................................................................................... 15 CAPÍTULO 2: FUNCIONES DE LOS SUJETOS OBLIGADOS .......................................................... 17 2.1 Titular del Sujeto Obligado ................................................................................................................ 17 2.2 Titular de la Unidad Administrativa de Acceso a la Información ............................................... 19 2.3 Responsable del SDP .......................................................................................................................... 26 2.4 Encargado del SDP.............................................................................................................................. 30 2.5 Coordinación General de Transparencia de la Secretaría de la Contraloría ............................... 32 2.6 Infracciones .......................................................................................................................................... 34 ACTIVIDADES .......................................................................................................................................... 35 CAPÍTULO 3: SISTEMAS DE DATOS PERSONALES ........................................................................ 37 3.1 Creación, modificación y eliminación de SDP ................................................................................ 37 3.2 Obtención de datos personales por medios electrónicos ............................................................... 41 3.3 Medidas de seguridad ........................................................................................................................ 41 3.4 Tratamiento .......................................................................................................................................... 43 3.5 Transmisión ......................................................................................................................................... 45 3.6 SDP en materia de salud .................................................................................................................... 46 3.7 SDP en materia de seguridad pública .............................................................................................. 48 3.8 Proceso de tratamiento de SDP ......................................................................................................... 50 ACTIVIDADES .......................................................................................................................................... 54 CAPÍTULO 4: DERECHOS ARCO ........................................................................................................... 56 4.1 Introducción a los derechos ARCO .................................................................................................. 56 4.2 Proceso de solicitud de derechos ARCO .......................................................................................... 61 2 ACTIVIDADES .......................................................................................................................................... 67 CAPÍTULO 5: RECOMENDACIONES PARA PUBLICAR DATOS PERSONALES CUANDO EXISTEN OBLIGACIONES DE TRANSPARENCIA Y SOLICITUDES DE INFORMACIÓN .... 68 5.1 Protección de datos personales vs máxima publicidad ................................................................. 68 5.2 El “nombre propio” como dato personal y atributo de la personalidad ..................................... 68 5.3 La publicidad de la información gubernamental ........................................................................... 69 5.4 Recomendaciones generales para publicar o no el “nombre propio” ante una solicitud de acceso o una responsabilidad de transparencia .................................................................................... 70 REFERENCIAS ............................................................................................................................................. 71 Referencias bibliográficas......................................................................................................................... 71 Referencias electrónicas............................................................................................................................ 71 Referencias jurídicas ................................................................................................................................. 71 3 ABREVIATURAS ARCO: Acceso, rectificación, cancelación y oposición CAIP: Comisión para el Acceso a la Información Pública y Protección de Datos Personales del Estado IFAI: Instituto Federal de Acceso a la Información y Protección de Datos Infodf: Instituto de Acceso a la Información Pública y Protección de Datos Personales del Distrito Federal SDP: Sistema de Datos Personales 4 GLOSARIO Archivo: Conjunto de documentos. Automatización: Operaciones efectuadas con ayuda de procedimientos mecanizados dentro de un Sistema de Datos Personales, siendo éstas las siguientes: registro de datos, aplicación de operaciones lógicas aritméticas, modificación, borrado, extracción o difusión. Bloqueo de datos personales: Impedimento para difundir y tratar datos personales. Consulta directa: Derecho que tiene toda persona de revisar sus datos personales en posesión de los Sujetos Obligados, previa solicitud de acceso. También se le conoce como consulta in situ. Criterio de máximo alcance: Es el medio y periodo de difusión que resulte más eficiente para dar a conocer el Aviso de Protección de Datos Personales y abarcar al mayor número posible de titulares cuando se implemente una medida compensatoria. Datos personales: Información numérica, alfabética, gráfica, acústica o de cualquier otro tipo concerniente a una persona física identificada (que se sabe de quién se trata) o identificable (que se puede saber de quién se trata), por ejemplo: el origen étnico; las características físicas, morales o emocionales; la vida afectiva y familiar; el domicilio y el teléfono particular; el correo electrónico personal y que no haya sido establecido como oficial por alguna regulación; los bienes que conforman el patrimonio; la ideología; las opiniones políticas; las creencias, las convicciones filosóficas, morales y religiosas; el estado de salud físico o mental; la preferencia u orientación sexual; la huella digital; la información genética; el número de afiliación a cualquier organismo de seguridad social, entre otros. Datos personales sensibles: Los datos personales que atañen a la esfera más íntima de su titular, o cuyo uso indebido propicie discriminación o conlleve un riesgo grave para su titular. Derecho de Acceso: El derecho que tiene toda persona para solicitar y obtener información de sus datos sometidos a tratamiento. Derecho de Cancelación: Aquél que posee el titular de los datos personales para que se eliminen los que resulten ser inadecuados o excesivos, o cuando el tratamiento no se ajuste a lo dispuesto por las leyes. 5 Derecho de Oposición: Aquél que posee el titular de negarse al tratamiento de los datos que le conciernan en caso de que hayan sido recabados sin su consentimiento, o cuando existan motivos fundados para ello, siempre y cuando la Ley no disponga lo contrario. Derecho de Rectificación: Aquél que posee el titular de solicitar la corrección de datos que resulten inexactos o incompletos. Disociación: Proceso a través del cual los datos de una persona son desvinculados, para evitar que se identifique al propietario. En otras palabras, los datos se vuelven anónimos. Encargado: Integrante del Sujeto Obligado facultado para tratar los datos personales para cumplir con la finalidad para la que fueron recabados. Información confidencial: La información que contiene datos personales y se encuentra en posesión de los Sujetos Obligados, susceptible de ser tutelada por el derecho a la vida privada, el honor y la propia imagen; la información protegida por el secreto comercial, industrial, bancario, fiduciario, fiscal y profesional; la información protegida por la legislación en materia de derechos de autor, propiedad intelectual y la relativa al patrimonio de una persona. Medida compensatoria: Prevención temporal, tomada por los Sujetos Obligados, para difundir el Aviso de Protección de Datos Personales, de manera generalizada y masiva entre los titulares cuyos datos fueron recabados antes de la entrada en vigor de la Ley o, en su caso, de aquellos datos obtenidos de forma indirecta a través de la transmisión de datos personales. Procedimiento de disociación: Todo tratamiento de datos personales que impida que la información que se obtenga pueda asociarse a una persona. Recurso de revisión: Medio de impugnación interpuesto ante la Comisión de Acceso a la Información Pública y Protección de datos personales, por la inconformidad ante una respuesta del Sujeto Obligado o la ausencia de ésta, derivada de una solicitud de acceso, rectificación, cancelación u oposición de datos personales; Responsable: Persona facultada para decidir sobre el contenido y finalidad de un SDP, así como la protección y tratamiento de los datos que lo integran. Sistema de Datos Personales (SDP): Todo conjunto organizado de archivos, registros, bases o banco de datos personales de los Sujetos Obligados, cualquiera que sea la forma o modalidad de su creación, almacenamiento, organización y acceso. 6 Sistemas de Datos Personales Automatizados: Aquellos Sistemas cuyos datos están contenidos en una herramienta tecnológica. Sistemas de Datos Personales Físicos: Aquellos Sistemas cuyos datos están contenidos en registros manuales, impresos, sonoros, magnéticos, visuales u holográficos, estructurado conforme a criterios específicos. Sistemas de Datos Personales Mixtos: Aquellos Sistemas cuyos datos se encuentran en soportes físicos y automatizados. Solicitante: Titular de los datos personales, o su representante legal, que ejerce los derechos de acceso, rectificación, cancelación u oposición. Titular: La persona física a quien hacen referencia o pertenecen los datos personales. Transmisión de datos personales: Toda consulta o tratamiento de datos realizada por una persona física o moral autorizada distinta al titular, así como la transferencia o comunicación de datos realizada entre Sujetos Obligados. Tratamiento: Cualquier operación aplicada a los SDP; relacionada con la obtención, registro, organización, conservación, elaboración, utilización, transmisión, difusión, interconexión, transferencia o cualquier otra en que se utilicen los datos personales. Unidad de Acceso: Unidad Administrativa de Acceso a la Información. Usuario externo: Persona física o moral, externa al Sujeto Obligado, autorizada por un instrumento jurídico para el tratamiento de datos personales. 7 DOCUMENTOS DE IMPLEMENTACIÓN Nota: Un formato general de estos documentos se entregará a todos los Sujetos Obligados del Ejecutivo del Estado. 8 CAPÍTULO 1: INTRODUCCIÓN A LA PROTECCIÓN DE DATOS PERSONALES 1.1 ¿Qué son los datos personales y por qué es importante su protección? Los datos personales son cualquier información relativa a una persona física identificada (que sabemos quién es) o identificable (que fácilmente podemos determinar quién es). Algunos datos personales se consideran sensibles, ya sea porque atañen a la esfera más íntima de la persona, porque su uso indebido puede propiciar discriminación, porque son datos cuya difusión conlleva un riesgo grave1 para el titular o porque se relacionan con la dignidad de la persona. Algunos ejemplos son: el origen étnico, la ideología, la religión y la orientación sexual. Los órganos de gobierno recaban y utilizan los datos personales de los ciudadanos para el cumplimiento de sus objetivos, que pueden ser: proporcionar los trámites que la sociedad requiere para su funcionamiento o realizar programas y políticas públicas, por mencionar algunos. El hecho de que nuestros datos estén en posesión de organizaciones gubernamentales ha generado la necesidad de proteger el derecho que tenemos todos los individuos a la privacidad. Esto quiere decir que nadie puede entrometerse arbitrariamente en nuestra vida privada, familiar, domicilio o correspondencia, tal como lo establece la Declaración Universal de Derechos Humanos proclamada en 1948. “La protección constitucional de la vida privada implica poder conducir parte de la vida de uno protegido de la mirada y las injerencias de los demás” (SCJN, 2009). En México, a partir de 2009 entró en vigor la reforma al artículo 16 de la Constitución Mexicana para incluir el derecho a la protección de datos personales, que establece el derecho de toda persona a la protección de sus datos personales y al acceso, rectificación y cancelación de los mismos, así como a manifestar su oposición a su tratamiento; y en el estado de Puebla se encuentra regulado por la Ley de Protección de Datos Personales en Posesión de los Sujetos Obligados del Estado de Puebla. Estas nuevas normas tienen la finalidad de regular el tratamiento legítimo, controlado e informado de cualquier información concerniente a una persona física identificada o Un riesgo grave es cualquier situación que coloque al titular en una posición de vulnerabilidad en su contexto social o familiar. 1 9 identificable (Tenorio, 2012). Esto se traduce en que los Sujetos Obligados en posesión de datos personales tengan que observar principios y cumplir con obligaciones, al tiempo que los ciudadanos puedan ejercer derechos sobre sus datos” (IFAI, 2012). 1.2 Principios Los principios que rigen la protección de datos personales son once: PRINCIPIOS QUE RIGEN LA PROTECCIÓN DE DATOS PERSONALES CALIDAD Los datos personales deben ser exactos (veraces) y estar actualizados (puestos al día). CONFIDENCIALIDAD Solamente el titular, el responsable, el encargado y el usuario externo (en su caso) pueden acceder a los datos personales, según la Ley. En caso de emergencia Por seguridad pública Por seguridad nacional Por salud pública Excepciones de confidencialidad: Por resolución judicial 10 CONSENTIMIENTO El tratamiento de datos personales requiere de la anuencia informada, libre, inequívoca, específica y expresa del titular. Los integrantes de los Sujetos Obligados no podrán difundir datos personales, salvo disposición legal o consentimiento expreso del titular por escrito. ¿Cuándo no es necesario el consentimiento expreso del titular? Cuando el tratamiento de los datos esté previsto en una ley. Para la realización de las funciones propias de la administración pública. Cuando exista una orden judicial. Cuando por motivos de salud, el titular no pueda consentir. Cuando sea una transmisión de datos entre organismos gubernamentales para fines históricos, estadísticos o científicos. Cuando se den a conocer al usuario externo para su tratamiento. Cuando los datos figuren en registros públicos. DISPONIBILIDAD Los datos personales serán almacenados de modo que permitan ejercer los derechos de acceso, rectificación, cancelación y oposición (derechos ARCO). FINALIDAD Los SDP no pueden tener propósitos contrarios a las leyes o a la moral pública y no pueden usarse para fines distintos o incompatibles con el motivo de su obtención. No podrán existir SDP que contengan exclusivamente datos sensibles, a menos que esté contemplado en una ley, que sea por razones de interés público, que exista un consentimiento expreso por escrito de los titulares o que sea para fines estadísticos, científicos o históricos. La información de los Sistemas que tengan la finalidad exclusiva de almacenar datos personales sensibles deberá someterse a un procedimiento de disociación, excepto cuando se trate de fines históricos, científicos o de salud pública. INFORMACIÓN A través del Aviso de Protección de Datos Personales los Sujetos Obligados deben hacer del conocimiento de las personas, de manera completa, precisa y previa a su obtención: 1. 2. 3. 4. 5. La existencia del Sistema de Datos Personales (SDP) y su finalidad El carácter obligatorio u optativo de la información que se requiere Las consecuencias del suministro de los datos Las consecuencias de no suministrar los datos o de hacerlo de manera inexacta La posibilidad de ejercer los derechos de acceso, rectificación, cancelación y oposición 6. La identidad y dirección de la Unidad de Acceso. LICITUD Los Sujetos Obligados sólo podrán poseer los SDP que les permitan sus atribuciones legales o reglamentarias. PERTINENCIA Los Sujetos Obligados sólo pueden recabar y utilizar datos personales con fines oficiales y lícitos, y deberán ser adecuados y no excesivos en relación con su ámbito y finalidad. RESPONSABILIDAD Los datos personales no serán divulgados o puestos a disposición de terceros para usos diferentes a los especificados por quien los obtuvo, excepto en casos previstos por las leyes. SEGURIDAD Únicamente el responsable, el encargado, o en su caso, los usuarios externos autorizados pueden llevar a cabo el tratamiento de los datos personales. TEMPORALIDAD El tiempo de conservación de los datos será el necesario para el cumplimiento de su finalidad. Cuando dejen de ser necesarios, deberán ser destruidos, disociados o conservados para fines históricos, previa valoración documental. 12 1.3 Categorías de datos personales De acuerdo con la clasificación que emitió la CAIP, los datos personales se dividen en las siguientes categorías, pero pueden existir otras cuando éstas no sean suficientes para incluir todos los datos personales que existen. DATOS DE IDENTIFICACIÓN Ejemplos: Nombre, domicilio, teléfono particular, teléfono celular, firma, Registro Federal de Contribuyentes (RFC), Clave Única de Registro de Población (CURP), Cartilla Militar, número de Pasaporte, lugar y fecha de nacimiento, nacionalidad, edad, fotografía. DATOS ELECTRÓNICOS Ejemplos: Correo electrónico, dirección IP (Protocolo de Internet), dirección MAC (dirección Media Access Control o dirección de control de acceso al medio), nombre de usuario, contraseñas, firma electrónica. Todos los funcionarios públicos deben utilizar el correo electrónico oficial, pues éste es el que se publica como información de contacto y no se considera dato personal. DATOS LABORALES Ejemplos: Documentos de reclutamiento y selección, nombramiento, incidencia, capacitación, actividades extracurriculares, referencias laborales, referencias personales, solicitud de empleo, hoja de servicio. DATOS PATRIMONIALES Ejemplos: Bienes muebles e inmuebles, información fiscal, historial crediticio, ingresos y egresos, cuentas bancarias, seguros, fianzas, servicios contratados, referencias personales o crediticias. DATOS SOBRE PROCEDIMIENTOS ADMINISTRATIVOS Y/O JURISDICCIONALES Ejemplos: Información relativa a una persona que se encuentre sujeta a un procedimiento administrativo seguido en forma de juicio o jurisdiccional en materia laboral, civil, penal, fiscal, administrativa o de cualquier otra rama del Derecho. DATOS ACADÉMICOS Ejemplos: Trayectoria educativa, calificaciones, títulos, cédula profesional, certificados, reconocimientos. DATOS DE TRÁNSITO Y MOVIMIENTOS MIGRATORIOS Ejemplos: Información relativa al tránsito de las personas dentro y fuera del país. DATOS SENSIBLES 13 Datos sobre la salud: Ejemplos: Expediente clínico de cualquier atención médica, referencias o descripción de sintomatologías, detección de enfermedades, incapacidades médicas, discapacidades, intervenciones quirúrgicas, vacunas, consumo de estupefacientes, uso de aparatos oftalmológicos, ortopédicos, auditivos, prótesis, el estado físico o mental de la persona, métodos anticonceptivos, datos relacionados con la sexualidad. Datos de características físicas: Ejemplos: Color de piel, color de iris, color de cabello, señas particulares, estatura, peso, complexión, tatuajes. Datos de características personales o biométricas: Ejemplos: Huella digital, tipo de sangre, ADN, geometría de la mano, características de iris y retina. Otros datos sensibles: cualquier dato que se considere susceptible de mayor protección por sus características y que no entre en alguna de las subcategorías mencionadas. Otras posibles categorías: DATOS FAMILIARES Ejemplos: datos sobre las relaciones familiares o afectivas, dependientes económicos, situación familiar específica, estado civil. 1.4 Datos personales y datos personales sensibles Los datos personales, como ya se ha dicho, son cualquier información relativa a una persona física, pero existen datos que se consideran parte de la esfera más íntima de las personas y se denominan datos personales sensibles. Son aquéllos cuyo uso indebido puede propiciar discriminación o riesgo grave para su titular, tal y como son, por mencionar origen algunos: étnico; características físicas emocionales; la el las o DISCRIMINACIÓN POR VIH EN UNA UNIVERSIDAD vida El 24 de febrero de 2014, SDP Noticias expuso el caso de, afectiva y familiar; el estado Fernanda Díaz, una mujer que entró a trabajar a una de salud físico o mental; la información genética; la universidad donde le realizaron estudios de laboratorio. Los resultados arrojaron que Fernanda tenía VIH. A partir de ello, ella reporta que hubo distintos actos de discriminación ideología; las creencias, las en su contra que culminaron con su despido tan solo 2 meses convicciones; las opiniones después de haber sido contratada, por lo que inició un políticas y la preferencia u proceso judicial para reportar los hechos. orientación sexual. La información relativa al estado de salud de una persona es un Dato Personal Sensible, cuya divulgación puede causar un perjuicio grave. 14 ACTIVIDADES 1. Clasificación de datos personales en categorías Instrucciones: A continuación se muestra una lista de datos. Léalos con cuidado y determine a qué categoría pertenecen. El primero está respondido a manera de ejemplo. DATOS PERSONALES A CLASIFICAR Mujer Índice de Masa Corporal de 25 Sangre O+ Embarazada Heterosexual Arquitecta Sufre de violencia doméstica Originaria de Perú emilia200@gmail.com Tiene un negocio propio Emilia Fuentes Castro Con ingresos de 10 mil pesos mensuales Aracnofóbica Multada por no presentar declaración patrimonial Hospitalizada en 2010 por apendicitis Con tatuaje en la pierna derecha Beneficiaria de un programa social Con casa propia Propensa a una enfermedad hereditaria Con diversas parejas sexuales Vive en 4 norte 203 Col. Centro Hija única CATEGORÍAS DE DATOS PERSONALES DATOS DE IDENTIFICACIÓN DATOS ELECTRÓNICOS DATOS LABORALES DATOS PATRIMONIALES Mujer DATOS ACADÉMICOS DATOS FAMILIARES DATOS DE TRÁNSITO DATOS SOBRE PROCEDIMIENTOS ADMINISTRATIVOS Y/O JURISDICCIONALES DATOS SENSIBLES SOBRE SALUD CARACTERÍSTICAS FÍSICAS CARACTERÍSTICAS PERSONALES O BIOMÉTRICAS OTROS DATOS SENSIBLES 15 2. Preguntas de repaso a. ¿Qué son los datos personales? b. ¿Qué son los datos personales sensibles? c. ¿Qué significa que una persona sea identificada o identificable? d. ¿Cuál es el principio de calidad y en qué consiste? e. ¿Cuál es el principio de confidencialidad y en qué consiste? f. ¿Cuál es el principio de consentimiento y en qué consiste? g. ¿Cuál es el principio de disponibilidad y en qué consiste? h. ¿Cuál es el principio de finalidad y en qué consiste? i. ¿Cuál es el principio de información y en qué consiste? j. ¿Cuál es el principio de licitud y en qué consiste? k. ¿Cuál es el principio de pertinencia y en qué consiste? l. ¿Cuál es el principio de responsabilidad y en qué consiste? m. ¿Cuál es el principio de seguridad y en qué consiste? n. ¿Cuál es el principio de temporalidad y en qué consiste? o. ¿Cuáles son las categorías de datos personales? 3. Preguntas para la reflexión a. ¿Por qué es importante proteger los datos personales? b. ¿Qué riesgos puede conllevar el no proteger correctamente los datos personales sensibles de una persona? 16 CAPÍTULO 2: FUNCIONES DE LOS SUJETOS OBLIGADOS Existen seis actores involucrados en la protección de datos personales: el titular de los datos personales (la persona de quien son los datos), el titular del Sujeto Obligado, el titular de la Unidad de Acceso, el responsable del SDP, el encargado del SDP y el usuario externo. Sólo los últimos cinco tienen responsabilidades expresas en la Ley, ya que el titular de los datos personales sólo tiene la obligación de que los datos que proporcione sean de calidad (exactos y actualizados), cuando son requeridos por los Sujetos Obligados para el desempeño de sus funciones. En este capítulo se abordan de manera específica las responsabilidades de los cinco actores, así como de la Coordinación General de Transparencia, y se describen las sanciones en caso de que se incumpla con las disposiciones de la Ley. 2.1 Titular del Sujeto Obligado CUADRO RESUMEN RESUMEN DE FUNCIONES 1. Designar al responsable de cada SDP 2. Aprobar la creación y eliminación de SDP DOCUMENTOS QUE MANEJA 1. 2. 3. 4. 3. Conocer sobre las transmisiones de SDP que se realicen 5. Acuerdo de Creación Acuerdo de Creación Acuerdo de Eliminación Cláusula para la transmisión de datos a usuarios externos Documento de Seguridad ARTÍCULOS DE LA LEY DE DATOS PERSONALES Art. 34 Art. 17 fracción II Art. 33 El titular del Sujeto Obligado es la persona que supervisa el correcto funcionamiento de todos los SDP, que designa a los responsables, crea y elimina formalmente los Sistemas y observa el cumplimiento de las disposiciones legales cuando existe transmisión de Sistemas. 17 1. Designar al responsable de cada Sistema El titular del Sujeto Obligado debe designar, a través del Acuerdo de Creación, al responsable de cada SDP. Para dicho acuerdo, que debe estar fundado y motivado, se emiten las siguientes: RECOMENDACIONES PARA LA DESIGNACIÓN DE RESPONSABLES DE LOS SDP EN POSESIÓN DE LOS SUJETOS OBLIGADOS 1. El responsable de un SDP deberá tener rango de director o su equivalente, con la finalidad de que se encuentre expresamente facultado por la Ley para dirigir y firmar documentos. 2. Cuando existan cambios en los responsables de los SDP, deberá crearse un nuevo Acuerdo de Desginación que actualice las responsabilidades del personal. Este documento será la base para completar la información de la ficha técnica y su Documento de Seguridad, donde debe quedar plasmado el responsable del SDP. 2. Aprobar la creación y eliminación de Sistemas Los titulares de los Sujetos Obligados, de acuerdo con las Políticas y Lineamientos de la CAIP, serán los únicos competentes para crear y eliminar SDP del Sujeto Obligado a su cargo. Para ello, deberán signar el Acuerdo de Creación, un documento, fundado y motivado, que contenga, por lo menos: 1. Exposición de motivos 2. Fundamentación jurídica 3. Lista de SDP que crean o eliminan, con todas las características especificadas en la fracción II del artículo 17 de la Ley (toda la información contenida en la Ficha Técnica) por cada Sistema: a. Denominación g. Modo de tratamiento b. Finalidad h. Transmisiones de las que puede ser c. Población de quien se recaban los datos d. Procedimiento de recolección e. Estructura básica f. Categoría de los tipos de datos objeto i. Responsable j. Unidad Administrativa de Acceso a la Información k. Nivel de protección Para ello se deberán anexar las Fichas Técnicas al Acuerdo. 4. Fecha y firma del titular del Sujeto Obligado 18 Se podrá elaborar un acuerdo de creación o eliminación por todos los SDP que sean identificados al momento de la emisión del mismo. 3. Conocer sobre las transmisiones de Sistemas Cuando exista transmisión de SDP, el titular del Sujeto Obligado que posee los Sistemas transmitidos deberá ser informado sobre la identidad del usuario externo, así como las razones que motivaron la solicitud de los datos, por lo menos treinta días antes de que se realice la transmisión. La información sobre la transmisión deberá quedar asentada en el Documento de Seguridad, como lo establece el artículo 26 de la Ley. 2.2 Titular de la Unidad Administrativa de Acceso a la Información CUADRO RESUMEN RESUMEN DE FUNCIONES 1. Vigilar la transmisión de datos a usuarios externos 2. Difundir los formatos necesarios dentro del Sujeto Obligado, en los casos en que se requieran 3. Recibir, dar trámite y responder las Solicitudes ARCO 4. Proveer al Titular del Sujeto Obligado el Acuerdo de Reserva para proteger la información sobre los tipos de seguridad de los SDP que estén en su posesión Ser el vínculo entre la CAIP y el Sujeto Obligado en el trámite de recursos de revisión 5. DOCUMENTOS QUE MANEJA 1. ARTÍCULOS DE LA LEY DE DATOS PERSONALES Cláusula para la transmisión de datos a usuarios externos Art. 18 2. Todos los formatos Art. 8 y 9 3. 4. 5. 6. Solicitud ARCO Acta de improcedencia Acta circunstanciada Comprobante ARCO Art. 44, 45, 51, 52, 53, 54 y 57 7. Formato de acuerdo de reserva Art. 28 Ninguno Art. 58 19 La Unidad Administrativa de Acceso a la Información es el área de cada Sujeto Obligado que da cumplimiento a las obligaciones de transparencia y acceso a la información pública, tal como lo establece la Ley de Transparencia y Acceso a la Información Pública del Estado de Puebla. Con la nueva Ley de Datos Personales, esta Unidad adquiere responsabilidades en materia de protección de datos personales. 1. Vigilar la transmisión de datos a usuarios externos Los Sujetos Obligados pueden transmitir los SDP a usuarios externos, es decir, a personas físicas o morales distintas a quien obtuvo los datos, cuando se requiera para los fines de la administración pública. En estos casos, el instrumento jurídico por el que se autoriza el tratamiento (convenio, contrato, etc.) deberá establecer el plazo durante el cual el usuario externo conservará los datos personales, las medidas de seguridad que deberá aplicar, así como la disposición expresa de que al término del plazo, los datos personales deberán ser devueltos en su totalidad al Sujeto Obligado, sin conservar ninguna copia total o parcial en ningún soporte. Para cumplir con esta obligación, la Unidad de Acceso deberá proporcionar al área correspondiente, antes de la transmisión de los datos, la Cláusula para transmisión de datos a usuarios externos, que deberá ser incluida en el instrumento jurídico que se celebre entre el Sujeto Obligado y el usuario externo. 2. Difundir los formatos necesarios La Unidad de Acceso debe difundir entre las áreas que lo requieran los formatos necesarios para el cumplimiento de la Ley: Aviso de Protección de Datos Personales, Formato de Consentimiento Expreso, etc. El Formato de Consentimiento Expreso es el documento donde consta que el titular de los datos personales conoce y acepta los términos en que se realizará el tratamiento de sus datos. No es necesario para todos los casos. El consentimiento expreso del titular sí será necesario cuando: a. Se lleve a cabo la difusión de datos personales. b. Se trate de datos personales sensibles. 20 Los encargados de la recolección de datos personales no necesitan obtener el consentimiento expreso de los titulares cuando: a. La obtención de los datos se encuentre previsto en una Ley b. Los datos que se recaban sean necesarios para la realización de las funciones propias de la administración pública c. Exista una orden judicial d. El titular no esté en posibilidad de otorgar su consentimiento por motivos de salud y el tratamiento de sus datos resulte necesario e. La transmisión se produzca entre organismos gubernamentales y tenga por objeto el tratamiento posterior de los datos con fines históricos, estadísticos o científicos f. Se den a conocer al usuario externo para la prestación de un servicio cuya finalidad sea el tratamiento de datos personales g. Los datos figuren en registros públicos h. En emergencias, casos que involucren seguridad pública, seguridad nacional o salud pública La Unidad de Acceso deberá proporcionar los formatos necesarios a los responsables de los SDP, que deberán suministrarlos a su vez a las personas encargadas de recabar los datos, para requerir el consentimiento expreso del titular, en los casos señalados. 3. Recibir, dar trámite y responder las Solicitudes ARCO Las solicitudes ARCO son todas aquéllas que las personas presentan ante los Sujetos Obligados para ejercer su derecho de acceso, rectificación, cancelación u oposición de datos personales. La Unidad de Acceso es la encargada de recibir y registrar las solicitudes, turnarlas a los responsables de los SDP, dar seguimiento a su proceso y emitir una respuesta dentro de los plazos establecidos por la Ley. a. Recepción y registro de la solicitud: La Unidad de Acceso, al recibir la solicitud, deberá vigilar que ésta cuente con los siguientes requisitos: i. Nombre del Sujeto Obligado a quien se dirige ii. Nombre completo del titular o de su representante legal, en su caso 21 iii. Descripción clara y precisa de los datos personales respecto de los que se busca ejercer alguno de los derechos ARCO, así como cualquier otro elemento que facilite su localización iv. Domicilio en el estado de Puebla, o correo electrónico para recibir cualquier tipo de notificaciones v. Opcionalmente, la modalidad en la que prefiera tener acceso a los datos personales (consulta directa, vía electrónica, copias simples o certificadas) vi. Para rectificación: Cuando se realicen solicitudes de rectificación de datos personales deberán indicar el dato que es erróneo y la corrección que debe realizarse, junto con la documentación probatoria que sustente su petición, salvo que dependa exclusivamente del consentimiento del titular vii. Para cancelación: En el caso de solicitudes de cancelación de datos personales, el titular o su representante legal deberán señalar las razones por las cuales consideran que el tratamiento de los datos no se ajusta a lo dispuesto en la Ley viii. Para oposición: En el caso de solicitudes de oposición de datos personales, el titular o su representante legal deberán señalar el tratamiento específico al que se opone En todos los casos el titular deberá acreditar su identidad y personalidad al momento de solicitar la información. Esto quiere decir que la persona deberá presentarse con una identificación oficial al momento de presentar la solicitud. Si al ser presentada, la solicitud no es precisa, no contiene todos los datos requeridos o los detalles proporcionados no bastan para localizar la información, el Sujeto Obligado, en los siguientes 5 días hábiles a su presentación, orientará al solicitante para que subsane las deficiencias. Si el solicitante no lo hiciera en los siguientes 3 días hábiles, la solicitud se considerará como no presentada. Deberá entregarse un acuse de recibo con el sello institucional, la fecha y hora de recepción para todos los casos. b. Turno de la solicitud al responsable del SDP: La Unidad de Acceso deberá turnar la solicitud al responsable del SDP, que deberá buscar la información y comunicársela a la Unidad. 22 c. Seguimiento al proceso: La Unidad de Acceso será la responsable de cuidar que la solicitud se responda en tiempo y forma, por lo que deberá dar seguimiento al proceso por el cual se turna y da respuesta. d. Respuesta a las solicitudes: La respuesta a cualquiera de los derechos mencionados deberá ser proporcionada en forma legible y entendible, por escrito o mediante el correo electrónico proporcionado para tal fin. Deberá notificarse en un plazo máximo de quince días hábiles contados desde la presentación, que podrá ser prorrogado por una sola vez, si existieran causas que así lo justifiquen. Los medios por los cuales el solicitante podrá recibir notificaciones y acuerdos de trámite serán: correo electrónico, notificación personal en su domicilio2 o en la propia Unidad de Acceso que corresponda, o notificación por lista. Si no se encontró la información: Cuando los datos personales respecto de los cuales se ejerzan los derechos ARCO no sean localizados en los SDP del Sujeto Obligado, se hará del conocimiento del titular a través de Acta Circunstanciada, en la que se indiquen los SDP en los que se realizó la búsqueda. Dicha acta deberá estar firmada por el encargado y el responsable del SDP. Si la solicitud es procedente, se notificará al solicitante: - Acceso: Se enviará la información solicitada al domicilio o correo electrónico establecido en la solicitud. Si la consulta es directa, es decir, en el mismo lugar donde se encuentran almacenados los datos, se le comunicará a la persona para que acuda al sitio donde se encuentran almacenados los datos, quien tendrá 60 días hábiles para acudir. Al acudir, el encargado deberá entregar el Comprobante ARCO y conservar una copia. - Rectificación: Se enviará la información rectificada, exponiendo claramente la corrección realizada al domicilio o correo electrónico establecido en la solicitud. Si la La notificación personal al domicilio sólo podrá hacerse en los casos en que la Unidad Administrativa de Acceso a la Información se encuentre en el mismo lugar de residencia, es decir, en el mismo municipio que el domicilio del solicitante. 2 23 consulta es directa, se informará a la persona para que acuda al sitio para recibir el Comprobante ARCO de que el cambio fue realizado. - Cancelación u Oposición: Se enviará el Comprobante ARCO informando que los datos fueron cancelados o bloqueados, al domicilio o correo electrónico establecido en la solicitud. Si la consulta es directa, se le comunicará a la persona para que acuda a recibir el Comprobante. La única persona que podrá hacer entrega de la información, vía electrónica o por consulta directa, al titular de los datos o representante legal será el encargado del SDP, no el responsable, ni el titular de la Unidad de Acceso. Se proveerá del Comprobante ARCO al encargado para que lo entregue a la persona, ya sea vía electrónica, a domicilio o personalmente, y se deberá conservar como evidencia del cumplimiento de la obligación del Sujeto Obligado. Si la solicitud no es procedente: En el supuesto de que los datos personales a que se refiere la solicitud se encuentren en los SDP del Sujeto Obligado y éste considere improcedente la solicitud de acceso, rectificación, cancelación u oposición, se deberá emitir una resolución fundada y motivada al respecto, denominada Acta de improcedencia. e. Notificación de costos La Unidad de Acceso, en la respuesta a la solicitud, deberá notificar al solicitante el costo de reproducción de la información requerida (en caso de pedir la información en copia simple o copia certificada), quien tendrá veinte días hábiles para realizar el pago y presentar el comprobante ante la Unidad de Acceso. A partir de que el solicitante compruebe haber realizado el pago, el Sujeto Obligado deberá entregar la información dentro de los 60 días hábiles siguientes, en horario de oficina. Agotado este plazo, el Sujeto Obligado no tendrá la obligación de entregar la información. 5. Reserva de la información sobre los tipos de seguridad de los SDP Los tipos de seguridad de los SDP se consideran información reservada, por lo que no pueden publicarse ni comunicarse mediante una respuesta de solicitud de información a 24 ningún ciudadano. Esto con la finalidad de que los datos personales se encuentren protegidos. Por otro lado, el nivel de seguridad sí se considerará información pública. Para cumplir con todos los requisitos previstos en las leyes, cada Sujeto Obligado deberá realizar un Acuerdo de Reserva, por el cual se funda y motiva la reserva de esta información (los tipos de seguridad). De acuerdo con la Ley de Transparencia y Acceso a la Información Pública, el plazo de reserva no podrá ser mayor a 7 años, pero podrá prorrogarse por otros 5. Cumplido el plazo, deberá realizarse un nuevo Acuerdo que proteja la información, dado que las causas de la reserva no se extinguen en ningún momento. 6. Recursos de revisión La Unidad de Acceso, al momento de dar respuesta a la solicitud ARCO, orientará al titular o a su representante legal sobre su derecho a interponer un recurso de revisión y el modo de hacerlo. El recurso de revisión procederá en los siguientes casos: a. Ante la negativa de acceso, rectificación, cancelación u oposición de los datos personales. b. Si la información está incompleta, no corresponde con la solicitud, o se entrega en una modalidad distinta a la solicitada o en un formato incomprensible o ilegible. c. Cuando la rectificación o cancelación sea incorrecta o no se realice en los términos solicitados. d. Cuando exista un tratamiento inadecuado de los datos personales. e. Ante la negativa de bloqueo de datos personales. f. Por inconformidad con los costos o tiempos de entrega de la información. La Unidad de Acceso atenderá los requerimientos de información que realice la CAIP, en cumplimiento a los procedimientos para la resolución de recursos de revisión. El recurso procede de la misma forma que el de transparencia. 25 2.3 Responsable del SDP CUADRO RESUMEN RESUMEN DE FUNCIONES 1. Decidir sobre la disociación de los datos, cuando así se requiera. 2. Adoptar las medidas de seguridad, de acuerdo con los requisitos de la Ley. 3. Vigilar el cumplimiento de solicitudes de derechos ARCO que recaigan en los SDP a su cargo. 4. Vigilar la protección de datos personales cuando exista transmisión a usuarios externos. 5. Asegurarse de que el titular de los datos se encuentre informado al momento de recabar su información. 6. Establecer las medidas compensatorias necesarias. DOCUMENTOS QUE MANEJA Ninguno ARTÍCULOS DE LA LEY DE DATOS PERSONALES Art. 3 fracc. XVII Art. 12, 15, 16, 18 y 41 Art. 14, 25, 26, 27, 28 y 34 1. Documento de Seguridad 2. 3. Acta de improcedencia Acta circunstanciada 4. Cláusula de transmisión de datos a usuarios externos Art. 18, 30, 31 y 32 5. Aviso de Protección de Datos Personales Art. 7 fracc. VI Art. 20 y 34 6. Acuerdo de medidas compensatorias El responsable es la persona física facultada para decidir sobre el contenido y finalidad de un SDP; así como la protección y tratamiento de datos que lo integran. El responsable de cada SDP deberá ser designado por el titular de cada Sujeto Obligado a través del Acuerdo de Creación. Otras obligaciones de los responsables son: 1. Guardar plena confidencialidad sobre los datos personales a su cargo. 2. Cumplir con las políticas y lineamientos. 3. Coordinar y supervisar a los encargados de los SDP. 4. Adoptar los procedimientos adecuados para dar trámite a las solicitudes ARCO y su transmisión. 5. Capacitar a los integrantes del Sujeto Obligado en materia de protección de datos personales. 6. Utilizar los datos personales sólo para los fines para los que fueron recabados. 7. Establecer criterios de manejo, mantenimiento, seguridad y protección de los SDP. 26 8. Coordinar y supervisar las medidas de seguridad de los SDP. 1. Decidir sobre la disociación de datos En algunas ocasiones, en el tratamiento de los SDP es necesario llevar a cabo la disociación, es decir, el proceso por el cual los datos se desvinculan para evitar que se pueda identificar al titular. Por ejemplo, se separa el nombre de la dirección y del teléfono. La disociación es obligatoria cuando un SDP ya no se utiliza para los fines originales, pero se busca conservarlo con fines históricos, estadísticos o científicos. En el caso de que sean fines históricos, se podrá evitar la disociación cuando exista un dictamen que establezca la necesidad de que así suceda. DISOCIACIÓN DE DATOS PERSONALES SENSIBLES En algunos lugares donde se manejan Sistemas de Datos Personales Sensibles los encargados y responsables adoptan un sistema de código para sustituir el nombre de las personas. De esta forma, aunque el dato sigue estando vinculado a la persona, se encuentra protegido, pues sólo el responsable puede descifrar el código. Esto se aplica, por ejemplo, para bases de datos de donantes de sangre o de órganos. Aunque el sector salud tiene procesos distintos a los de los demás sectores, las experiencias recolectadas sirven para que otros actores que manejan datos sensibles puedan adoptar algunas de estas prácticas. La disociación también es obligatoria cuando se tratan datos personales sensibles. Esto quiere decir que se debe desvincular el nombre de los datos para evitar riesgos para el titular. 2. Adoptar las medidas de seguridad El responsable del SDP debe analizar el tipo de datos que se encuentran en su Sistema para determinar qué medidas de seguridad debe adoptar y asentarlas en el Documento de Seguridad. La descripción precisa de las medidas de seguridad se encuentra en el Apartado 4.3 de este Manual. 27 3. Vigilar el cumplimiento de solicitudes ARCO que recaigan en los SDP a su cargo La Unidad Administrativa de Acceso a la Información es la encargada de recibir y dar trámite a las solicitudes ARCO. Sin embargo, los responsables y encargados de los SDP deben localizar la información solicitada, determinar la procedencia de las solicitudes y ejecutar los cambios necesarios para hacer efectivos los derechos ARCO. Si la información no existe Cuando la información solicitada no exista en los SDP en que se realizó la búsqueda, se deberá realizar un Acta Circunstanciada donde se especifiquen los detalles de la búsqueda y se establezca la inexistencia de los datos. Esta Acta deberá firmarse por los responsables y encargados de los SDP que participaron en la búsqueda. Si la solicitud resulta improcedente Los responsables podrán negar los derechos ARCO en función de los peligros que pudieran derivarse para la defensa de la seguridad pública, la protección de los derechos y libertades de terceros o las necesidades de las investigaciones que se estén realizando, así como cuando se obstaculice la actuación de la autoridad durante el cumplimiento de sus atribuciones. En este caso, se deberá responder al solicitante con una Acta de improcedencia, donde se fundamente la decisión de negar la solicitud. 4. Vigilar la protección de datos personales cuando exista transmisión Cuando el Sujeto Obligado transfiera los datos personales a usuarios externos nacionales o extranjeros, deberá establecer claramente la finalidad para la cual entrega los datos y el tratamiento que se les debe dar, a través de la Cláusula de transmisión de datos a usuarios externos, que le proporcionará la Unidad de Acceso. La transmisión de datos personales sólo podrá realizarse cuando el usuario externo garantice por escrito un nivel de protección similar al empleado en el SDP. No se considerará transmisión de datos el acceso que un tercero tenga a los datos personales con motivo de la prestación de un servicio de mantenimiento o funcionamiento al archivo o banco de datos. 28 En el supuesto de que los datos personales sean rectificados, cancelados o se haya ejercido el derecho de oposición, y éstos hubieran sido transmitidos previamente, el responsable deberá notificar la rectificación o cancelación a quien haya sido transmitidos. 5. Proporcionar el conocimiento necesario a los titulares de los datos Cuando se obtienen los datos de las personas, es necesario poner a disposición de los titulares un documento en que se expresen todos los detalles acerca del tratamiento que se dará a sus datos, los derechos que tienen, entre otras cosas. A este documento se le conoce como Aviso de Protección de Datos Personales, y sus características se describen en el Capítulo 5.1 de este Manual. En los casos descritos en el apartado 3.2 del Manual también se especifican las circunstancias bajo las cuales será obligatorio obtener el consentimiento expreso del titular para el tratamiento de sus datos. 6. Adoptar las medidas compensatorias necesarias Una medida compensatoria es una prevención temporal, tomada por los Sujetos Obligados, para difundir el Aviso de Protección de Datos Personales de manera generalizada y masiva entre los titulares cuyos datos fueron recabados antes de la entrada en vigor de la Ley o, en su caso, de aquellos datos obtenidos de forma indirecta a través de la transmisión de datos personales. El objetivo de las medidas compensatorias es salvaguardar el derecho de los titulares de decidir de manera libre e informada sobre el uso, destino y comunicación que se da a sus datos. Las medidas compensatorias implementadas deberán ser aprobadas mediante el Acuerdo de Medidas Compensatorias signado por el titular del Sujeto Obligado. Este acuerdo deberá estar fundado y motivado y deberá establecer lo siguiente: a) Número de titulares al que va dirigido b) Antigüedad de los datos c) Ámbito territorial d) Capacidad económica del Sujeto Obligado e) Medida compensatoria a utilizar f) Que la medida compensatoria cumpla con el principio de información 29 La medida compensatoria que se adopte se considerará implementada con la difusión de un Aviso de Protección de Datos Personales, que se debe difundir en cualquiera de los siguientes medios: 1. Diarios de circulación nacional 2. Diarios locales o revistas especializadas 3. Páginas o sitios de Internet 4. Carteles informativos 5. Cápsulas informativas radiofónicas 6. Otros medios alternos de comunicación masiva determinados por el Sujeto Obligado La elección del medio deberá sustentarse en el criterio de máximo alcance, que establece que se deberá buscar el medio y periodo de difusión que resulte más eficiente para dar a conocer el Aviso de Protección de Datos Personales y abarcar al mayor número posible de titulares cuando se implemente una medida compensatoria. 2.4 Encargado del SDP CUADRO RESUMEN RESUMEN DE FUNCIONES 1. 2. 3. 4. DOCUMENTOS QUE MANEJA Atender las solicitudes ARCO que le 1. Ninguno turne la Unidad de Acceso. Firmar el Acta Circunstanciada cuando no se encuentre la información solicitada 1. Acta circunstanciada por algún ciudadano. Realizar la entrega de la información de 2. Comprobante ARCO una Solicitud ARCO. Tratar los SDP con apego a las medidas 3. Documento de de seguridad establecidas por el Seguridad responsable del SDP. ARTÍCULOS DE LA LEY DE DATOS PERSONALES Art. 52 Art. 53 y 54 Art. 26 y 27 El encargado del SDP es la persona que directamente realiza el tratamiento de los datos. Otras responsabilidades del encargado en materia de protección de datos personales son: 1. Entregar los datos personales de las solicitudes ARCO que se consideren procedentes, en el formato establecido por el solicitante; entregar el Comprobante ARCO y conservar copia; y turnar el acuse a la Unidad de Acceso. 30 2. Informar a la Unidad de Acceso de la existencia de la información solicitada. 3. Asegurarse de que nadie que no se encuentre expresamente autorizado por la Ley acceda a los SDP. 4. Cumplir con las medidas de seguridad dispuestas por la Ley y establecidas por el responsable para cada caso en la Ficha Técnica. ¿QUIÉNES SON ENCARGADOS DE UN SDP? Los encargados son las personas que algún ordenamiento (ley, reglamento, manual, etc.) faculta (o que el responsable directamente designa en el Documento de Seguridad) para tratar los datos de un Sistema. En el Documento de Seguridad deben quedar plasmados todos los encargados de un SDP independientemente de que sus facultades para ello se encuentren en un ordenamiento. El número de encargados de un SDP varía de acuerdo con las características de cada Sistema. 1. Atender Solicitudes ARCO El encargado de los SDP es responsable de realizar la búsqueda de información requerida por los titulares a través de las solicitudes ARCO, ya sea para entregar, rectificar, bloquear o eliminar datos del Sistema. Cuando tenga la respuesta, deberá notificarla a la Unidad de Acceso, que a su vez notificará al titular. No obstante, la Unidad sólo funge como enlace, pues el verdadero responsable de ejecutar los derechos ARCO es el encargado del SDP. 2. Firmar el Acta Circunstanciada El encargado de un SDP tiene la obligación de colaborar para la resolución de las solicitudes ARCO que presenten los ciudadanos ante el Sujeto Obligado. Dado que es la persona que tiene acceso al SDP, cuando la información de una solicitud ARCO no se localice, deberá hacerlo constar por escrito en un Acta Circunstanciada, que deberá estar firmada por ambos: responsable y encargado. 3. Realizar la entrega de información 31 El encargado del SDP es la única persona facultada por la Ley para hacer entrega de los datos de una solicitud ARCO. Esto quiere decir que: Cuando una persona quiera acceder a sus datos, el encargado deberá ser quien directamente le muestre la información, la envíe por correo electrónico o le entregue las copias simples o certificadas al solicitante; y deberá hacer entrega y guardar copia del Comprobante ARCO. Cuando una persona haga una solicitud de rectificación, cancelación u oposición, el encargado deberá entregar el Comprobante ARCO, describiendo las modificaciones realizadas. 4. Tratar los SDP con apego a las medidas de seguridad Las medidas de seguridad son los tipos y niveles de seguridad que se utilizan para proteger los datos personales. Cada SDP tiene niveles distintos y tipos distintos, dependiendo de sus propias características. Es obligación del encargado apegarse a estas medidas y garantizar que ninguna persona no autorizada viole la confidencialidad de los datos. 2.5 Coordinación General de Transparencia de la Secretaría de la Contraloría CUADRO RESUMEN RESUMEN DE FUNCIONES 1. Brindar asesoría en materia de protección de datos personales y 2. atención a las solicitudes ARCO DOCUMENTOS QUE MANEJA Ninguno 1. 2. 2. Elaboración y distribución de documentos para la protección de los SDP entre las dependencias y entidades ARTÍCULOS DE LA LEY DE DATOS PERSONALES 3. 4. 5. 6. 7. 8. 9. Formato de Consentimiento Expreso Aviso de Protección de Datos Personales Acuerdo de Creación Acuerdo de Eliminación Acuerdo de Medidas Compensatorias Ficha Técnica Documento de Seguridad Formato de Acuerdo de Reserva Cláusula para la transmisión de datos Art. 7 fracc. VI Art. 8 y 9 Art. 17 fracc. II Art. 18, 26, 28, 32 y 33 32 3. 4. Elaboración y distribución de documentos para la atención de solicitudes ARCO Recopilación periódica de información 9. 10. 11. 12. 13. 14. a usuarios externos Formato de Solicitud ARCO Resolución de Improcedencia Acta Circunstanciada Comprobante ARCO Ficha Técnica Documento de Seguridad Art. 18, 32, 33, 45, 51 y 52 Art. 17 fracc. II Art. 26 La Coordinación General de Transparencia de la Secretaría de la Contraloría tiene, entre otras, las siguientes atribuciones en materia de protección de datos personales: 1. Coordinar la operación del sistema electrónico. 2. Coordinar asesorías y capacitación a las unidades administrativas de acceso a la información pública de las dependencias y entidades de la Administración Pública Estatal, en materia de protección y tratamiento de datos personales, así como en la atención y seguimiento de los recursos de revisión que se interpongan contra éstas. 3. Proponer al Secretario esquemas de mejora a los procedimientos de protección y tratamiento de datos personales y clasificación de información. 4. Solicitar a las dependencias y entidades de la Administración Pública Estatal, la información que se requiera para el ejercicio de sus atribuciones. La unidad administrativa a través de la cual se realizan estas atribuciones es el Departamento de Protección de Datos Personales de la Dirección de Transparencia y Protección de Datos Personales. ¿Cómo participa la Secretaría de la Contraloría en el proceso de protección de SDP? En este proceso, la Secretaría de la Contraloría participa de tres maneras, en conjunto con los Sujetos Obligados: ASESORAMIENTO: Brinda asesoría para la implementación y seguimiento de las disposiciones que deben cumplir los Sujetos Obligados del Ejecutivo del Estado en relación con la protección de datos personales, a través de capacitaciones, orientación continua y creación de material de utilidad. ELBORACIÓN Y DISTRIBUCIÓN DE DOCUMENTOS: Crea y distribuye los documentos necesarios para el cumplimiento del proceso de implementación y seguimiento. 33 RECOPILACIÓN PERIÓDICA DE INFORMACIÓN: Solicitar a las dependencias y entidades de la Administración Pública Estatal, por lo menos cada seis meses, la información acerca de la creación, modificación o eliminación de sus SDP, en cualquiera de los rubros contemplados en la Ficha Técnica y/o el Documento de Seguridad, para enviar a la CAIP esta información. ¿Cómo participa la Secretaría de la Contraloría en el proceso de Solicitudes ARCO? En este proceso, la Secretaría de la Contraloría participa de dos maneras, en conjunto con los Sujetos Obligados: ASESORAMIENTO: Brindar orientación para la atención de solicitudes ARCO, a través de capacitaciones, orientación continua y creación de material de utilidad. ELBORACIÓN Y DISTRIBUCIÓN DE DOCUMENTOS: Crear y distribuir los documentos necesarios para la atención de las solicitudes: 2.6 Infracciones Las infracciones serán sancionadas en términos de lo dispuesto por la Ley de Responsabilidades de los Servidores Públicos del Estado de Puebla, con independencia de las responsabilidades penales o civiles que en su caso procedan. Se consideran infracciones a la Ley de Protección de Datos Personales: 1. Impedir, obstaculizar o negar el ejercicio de los derechos ARCO, cuando no exista una razón legal para ello. 2. Recabar datos personales sin cumplir con la Ley. 3. Crear Sistemas de Datos Personales que no cumplan con los requisitos establecidos. 4. Obtener datos sin el consentimiento expreso del titular, salvo en las excepciones previstas, o de manera engañosa o fraudulenta. 5. Cometer irregularidades en la atención de solicitudes de acceso, rectificación, cancelación u oposición de datos personales. 6. Omitir total o parcialmente el cumplimiento de las resoluciones realizadas por la Comisión, así como obstruir las funciones de la misma. 7. Omitir o presentar de manera extemporánea, injustificadamente, los informes establecidos por la Ley. 8. Transmitir datos personales fuera de los casos permitidos, particularmente cuando la transmisión haya tenido fines de lucro. 9. Impedir u obstaculizar la inspección ordenada por la Comisión o su instrucción de bloqueo de SDP. 10. Destruir, alterar, modificar, transmitir datos personales, archivos o SDP sin autorización. ACTIVIDADES 1. Clasificación de funciones Instrucciones: Escriba en la columna del lado izquierdo el número que corresponda de acuerdo con el cargo en que recae esa función. El primero está respondido a manera de ejemplo. 1. Titular del Sujeto Obligado 2. Titular de la UAAI 3. Responsable del SDP 4. Encargado del SDP 5. Coordinación General de Transparencia FUNCIÓN 2 Difundir los formatos necesarios dentro del Sujeto Obligado. Ser el vínculo entre la CAIP y el Sujeto Obligado en el trámite de recursos de revisión. Designar al responsable de cada SDP. Vigilar el cumplimiento del Sujeto Obligado cuando exista transmisión de datos personales a usuarios externos. Atender las solicitudes ARCO que le turne la Unidad de Acceso. Aprobar la creación y eliminación de SDP. Brindar asesoría en materia de protección de datos personales y atención a las solicitudes ARCO. Elaboración y distribución de documentos para la protección de los SDP entre las dependencias y entidades. Vigilar la protección de datos personales cuando exista transmisión a usuarios externos. Recibir, dar trámite y responder las Solicitudes ARCO. Conocer sobre las transmisiones de SDP. Establecer las medidas compensatorias necesarias. Decidir sobre la disociación de los datos. Proveer al Titular del Sujeto Obligado del Acuerdo de Reserva sobre los tipos de seguridad. Elaboración y distribución de documentos para la atención de solicitudes ARCO. Asegurarse de que el titular de los datos se encuentre informado al momento de recabar su información. Realizar la entrega de la información de una Solicitud ARCO. Adoptar las medidas de seguridad, de acuerdo con la Ley. Tratar los SDP con apego a las medidas de seguridad establecidas por el responsable del SDP. Recopilación periódica de información sobre los Sistemas de Datos Personales. 35 2. Preguntas de repaso a. ¿Cuál es el papel que desempeña cada uno de los actores que participan en la protección de datos personales? b. Enliste al menos tres infracciones a la Ley de Protección de Datos Personales en Posesión de los Sujetos Obligados del Estado de Puebla. c. Mencione dos documentos de implementación relacionados con los Sistemas de Datos Personales y dos relacionados con los derechos ARCO. 3. Preguntas de reflexión a. ¿Cuál es la importancia de la participación de la Unidad de Acceso en la protección de datos personales? b. ¿Qué responsabilidad ética conlleva el tener acceso a un Sistema de Datos Personales y cuáles son los riesgos que existen si no se toma esa responsabilidad con seriedad? c. ¿Por qué es importante que la Administración Pública Estatal implemente la política de protección de datos personales? 36 CAPÍTULO 3: SISTEMAS DE DATOS PERSONALES Un Sistema de Datos Personales (SDP) es cualquier conjunto organizado de archivos cuyo objetivo es almacenar, para su tratamiento, los datos personales, ya sea de manera física, automatizada o mixta. TIPO DE SISTEMA O MODO DE TRATAMIENTO FÍSICO AUTOMATIZADO CARACTERÍSTICAS Conjunto ordenado de datos de carácter personal que para su tratamiento están contenidos en registros manuales, impresos, sonoros, magnéticos, visuales u holográficos, estructurado conforme a criterios específicos. Conjunto ordenado de datos de carácter personal que estén contenidos o que para su tratamiento se utilice una herramienta tecnológica. MIXTO Cuando los datos contenidos en los Sistemas se encuentran en soportes físicos y automatizados. 3.1 Creación, modificación y eliminación de SDP Creación de SDP Se deberá crear un SDP por cada finalidad o propósito por el que se recaben datos personales. Los Sujetos Obligados deberán contar al menos con los siguientes SDP: a) SDP de los integrantes del Sujeto Obligado (empleados, funcionarios, etc.). b) SDP de los proveedores, en su caso. c) SDP de aquéllos que realicen trámites y servicios, en su caso. Estos tres Sistemas son el piso mínimo del que partimos, sin embargo, una dependencia o entidad puede tener la cantidad de SDP que requiera para la realización de sus funciones. 37 EJEMPLOS DE SISTEMAS DE DATOS PERSONALES El Distrito Federal es una de las entidades con mayor avance en la implementación de su política de protección de datos personales. Algunos de los SDP que se pueden encontrar en el portal del Infodf son: SALUD Expediente Clínico Hospital General Balbuena EDUCACIÓN Sistema De datos personales Del Programa ASISTENTES EDUCATIVOS FINANZAS Sistema de Control del Impuesto sobre Espectáculos Públicos DESARROLLO SOCIAL Beneficiarios de los Comedores Públicos Cuando se crea un SDP, se deben crear tres documentos: la Ficha Técnica, el Documento de Seguridad y el Acuerdo de Creación. Información que debe contener la Ficha Técnica: INFORMACIÓN Denominación DESCRIPCIÓN Nombre que se da a un SDP. Finalidad y usos previstos Población de la cual se recaban los datos personales Procedimiento de recolección de los datos Estructura básica del SDP, que incluye la categoría de los datos y el modo de tratamiento. Transmisiones de las que pueden ser objeto los datos. Responsable del tratamiento Datos de la Unidad de Acceso Propósito a que sirve un conjunto de datos Las personas o grupos de personas sobre los que se pretendan obtener datos. Puede ser de manera personal, escrita, telefónica o electrónica. Las categorías de datos se abordaron de manera detallada en el apartado 1.3 de este Manual. El modo de tratamiento se refiere al tipo de Sistema, que puede ser físico, automatizado o mixto. Determinar si se prevé transmitir los datos a algún usuario externo. El cargo y la persona responsable del SDP. El titular, correo electrónico, teléfono y dirección de la Unidad de Acceso del Sujeto Obligado. Existen tres niveles de seguridad, que se aplican dependiendo del tipo de datos contenidos en el SDP y que se abordan a detalle en el apartado 3.3 de este Manual. Nivel de protección 38 Información que debe contener el Documento de Seguridad: a) Medidas de seguridad adoptadas. b) Nombre y cargo del responsable. Si el nivel de seguridad es alto, se deberán poner también las funciones. c) Nombre y cargo de los encargados. Si el nivel de seguridad es alto, se deberán poner también las funciones. d) Usuarios externos, en su caso, y los datos del acto jurídico. e) Consecuencias del incumplimiento de las medidas de seguridad. Información que debe contener el Acuerdo de Creación: Es un documento fundado y motivado, que debe firmar el titular del Sujeto Obligado y que deberá especificar qué Sistemas se crean, incluyendo la denominación y estructura básica, que incluye las categorías de los datos y el modo de tratamiento. A través de este acuerdo se podrá designar el cargo responsable del Sistema y podrán crearse uno o más Sistemas mediante un solo acuerdo. ¿CÓMO DETERMINAR CUÁNTOS SDP DEBE TENER UNA DEPENDENCIA O ENTIDAD? Cada Sujeto Obligado debe tener un SDP por cada finalidad para la que los ocupe. Esta finalidad está ligada a alguna competencia establecida en la ley o algún otro ordenamiento. Entonces, las funciones y atribuciones de cada dependencia o entidad, cuando establezcan que se recabe información personal, nos dirán que existe un SDP y cuál es su finalidad. Como se ha dicho, todas las dependencias y entidades cuentan con, al menos, tres SDP: un SDP sobre las personas que laboran ahí; un SDP de los proveedores; los SDP de los trámites y servicios que realicen. ¿CÓMO DETERMINAR LA FINALIDAD DE LOS SDP? La finalidad se determina ubicando el propósito a que sirve un conjunto de datos. Los entes gubernamentales cumplen con diversos propósitos. Por ejemplo, si una dependencia brinda atención médica a domicilio, probablemente tendrá un SDP con los datos de las personas beneficiarias y sus domicilios, entre otros datos. Si esa misma dependencia tiene un programa de apoyo a madres solteras, tendrá un SDP con los datos de las madres solteras a quienes entrega el apoyo, posiblemente con números de cuenta bancaria, teléfono, etcétera. Los requerimientos de cada uno de estos programas o servicios son distintos, por lo que los datos que se soliciten a las personas será diferente y se almacenará en bases distintas. Fuente: Instituto de Acceso a la Información Pública del Distrito Federal (sf) 39 Modificación de un SDP Cuando un SDP sufra cambios en la información establecida en la Ficha Técnica o en el Documento de Seguridad, se realizarán las modificaciones correspondientes y se informará a la Secretaría de la Contraloría a través del medio que se establezca para ello. A partir de estas actualizaciones, se integrará la información que se entregará a la CAIP, como parte de las obligaciones de los Sujetos Obligados establecidas en el artículo 19 de la Ley, que es: 1. Denominación y finalidad del SDP 2. El Sujeto Obligado que tiene a su cargo el SDP 3. Cargo del responsable 4. Nombre, teléfono, dirección y correo electrónico oficial, si lo hubiere, de la unidad administrativa ante la que podrán ejercerse los derechos de acceso, rectificación, cancelación u oposición 5. Fecha de creación del SDP 6. Nivel de seguridad Si alguno de los elementos mencionados es modificado, se hará del conocimiento de la CAIP para su registro, en un plazo no mayor a seis meses después de la modificación. Para ello, la Coordinación General de Transparencia de la Secretaría de la Contraloría requerirá la información a las dependencias y entidades de la Administración Pública Estatal, la cual deberá ser entregada con las debidas actualizaciones. Eliminación de un SDP Los SDP deberán ser destruidos o eliminados, según sea el caso, cuando dejen de ser necesarios para los fines para los cuales fueron creados y una vez que concluyan los plazos y términos de conservación establecidos por las disposiciones aplicables. Para eliminar o destruir un Sistema, deberá realizarse un Acuerdo de Eliminación, fundado y motivado, signado por el titular del Sujeto Obligado, que establezca alguna de estas tres opciones: 1. Si el SDP se destruye o elimina sin conservar ninguna copia. 2. Si los datos se someterán a disociación para conservarse con fines históricos, estadísticos o científicos. 3. Si el SDP se envía al Archivo General del Estado por contener información de valor histórico (de acuerdo con la Ley de Archivos). 40 De la destrucción de los datos personales podrán ser excluidos aquéllos que, con fines estadísticos, científicos o históricos sean previamente sometidos al procedimiento de disociación. 3.2 Obtención electrónicos de datos personales por medios Cuando se utilicen cuestionarios o formatos, ya sean impresos o por medios electrónicos, para la obtención de los datos personales, a través plataformas electrónicas, deberá incluirse el Aviso de Protección de Datos Personales con todas las características establecidas en el principio de información. 3.3 Medidas de seguridad Las medidas de seguridad se componen de dos dimensiones: el tipo de seguridad y el nivel de seguridad. Cada Sujeto Obligado deberá establecer las medidas necesarias para garantizar la integridad de cada uno de los SDP que estén bajo su posesión o tratamiento. Las medidas de seguridad serán adoptadas en relación con el menor o mayor grado de protección que ameriten los datos personales y deberán constar por escrito en la Ficha Técnica en el Documento de Seguridad. Éste último deberá contener: 1. Medidas de seguridad, que incluyen el nivel de protección y el tipo, con su descripción. 2. Nombre y cargo del responsable. Para los SDP con nivel medio y alto de seguridad, se deberán especificar también sus funciones y obligaciones relativas al Sistema. 3. Nombre y cargo de los encargados. Para los SDP con nivel medio y alto de seguridad, se deberán especificar también sus funciones y obligaciones relativas al Sistema. 4. Nombre o razón social de los usuarios externos del SDP, en su caso. 5. Datos del acto jurídico mediante el cual el Sujeto Obligado otorgó el tratamiento del SDP al usuario externo, en su caso. 6. Consecuencias del incumplimiento a las medidas de seguridad. Los tipos de seguridad serán clasificados como información reservada y no constituirán información pública bajo ninguna circunstancia. Para ello, el titular del Sujeto Obligado deberá firmar un Acuerdo de Reserva, hasta por 7 años y prorrogable por 5 más. Cuando hayan transcurrido los 12 años, deberá renovarse el Acuerdo, dado que las causas que motivan la reserva no se extinguen. 41 Tipos de Seguridad Existen cuatro tipos de seguridad para los SDP: Física: Se refiere a toda medida destinada a la protección de instalaciones, equipos, soportes o sistemas de datos para la prevención de riesgos. Lógica: Se refiere a las medidas de protección que permitan la identificación y autentificación de cualquier persona o usuario externo autorizado para el tratamiento de los datos personales de acuerdo con su función. De cifrado: Consiste en la implementación de claves y contraseñas, así como dispositivos de protección, que garanticen la integridad y confidencialidad de la información. De comunicaciones y redes: Conjunto de restricciones preventivas y/o de riesgos que deberán observar los Sujetos Obligados y los usuarios externos de los SDP para acceder a dominios o cargar programas autorizados, así como para el manejo de telecomunicaciones. Niveles de Seguridad Existen tres niveles de seguridad, que se aplican dependiendo del tipo de datos contenidos en el SDP: NIVELES DE SEGURIDAD BÁSICO MEDIO ALTO MEDIDAS DE SEGURIDAD QUE INCLUYE a) Responsable de seguridad b) Registro del personal que intervenga en el tratamiento de los SDP (en el Documento de Seguridad) c) Mecanismos que impidan acceder a información diferente a la autorizada d) Restricción de acceso a los archivos físicos E) Establecimiento de contraseñas BÁSICO + a) Cambio semestral de contraseñas b) Registro de funciones del personal que intervenga en el tratamiento del SDP (en Documento de Seguridad) c) Revisiones internas d) Limitación de la posibilidad de intentar reiteradamente el acceso no autorizado BÁSICO + MEDIO + a) Identificación y autentificación del responsable, encargado y usuario externo b) Protección contra escritura y modificación de documentos salvo consentimiento expreso del responsable c) Auditorías realizadas por el Órgano Interno de Control d) Autorización expresa del responsable para el tratamiento de datos fuera de sus instalaciones. 42 SISTEMAS QUE DEBEN ADOPTARLO Todos Para SDP relativos a la comisión de infracciones administrativas, hacienda pública, servicios financieros, datos patrimoniales o que permitan obtener una evaluación de la personalidad del individuo. Para SDP concernientes a datos personales sensibles o datos recabados para fines de salud, seguridad, prevención, investigación y persecución de delitos. Las medidas de seguridad constituyen los mínimos exigibles, por lo que se deberán adoptar las medidas adicionales que se estimen necesarias para brindar mayores garantías en la protección y resguardo de los SDP. 3.4 Tratamiento Se considera como tratamiento de los SDP a cualquier operación o conjunto de operaciones relacionadas con la obtención, registro, organización, conservación, utilización, transmisión, difusión, interconexión, transferencia de los datos personales. Obtención de datos Al llevar a cabo la obtención de datos, a través de cualquier medio, existen algunos casos en que se requiere del consentimiento expreso de las personas y otros en que no: Casos en que el consentimiento expreso no es requerido: a. Si se encuentra previsto en una Ley. b. Cuando impliquen datos necesarios para la realización de las funciones propias de la administración pública. c. Cuando exista una orden judicial. d. Si el titular no está en posibilidad de otorgar su consentimiento por motivos de salud y el tratamiento de sus datos resulte necesario. e. Cuando se transmitan datos entre organismos gubernamentales y se tenga por objeto el tratamiento posterior de los datos con fines históricos, estadísticos o científicos. f. Cuando los datos se den a conocer al usuario externo para la prestación de un servicio cuya finalidad sea el tratamiento de datos personales. g. Cuando los datos figuren en registros públicos. h. En emergencias, casos que involucren seguridad pública, seguridad nacional o salud pública. 43 Aunque el consentimiento expreso no sea requerido, para todos los casos, el encargado de recabar datos personales deberá hacer del conocimiento de los individuos sobre su tratamiento y derechos, a través del Aviso de Protección de Datos Personales. Casos en que el consentimiento sí es requerido: a. Cuando se trate de datos personales sensibles. b. Cuando se difundan datos personales. El consentimiento es recabado a través de Formato de Consentimiento Expreso. Utilización de datos Solamente los responsables y encargados de cada SDP podrán tener acceso y utilizar los datos. Los usuarios externos también podrán hacerlo, siempre y cuando cumplan con todos los requisitos de la Ley. Todos estos actores deberán cuidar que se cumplan las medidas de seguridad previstas en el Documento de Seguridad. Conservación de datos: De acuerdo con el principio de temporalidad, los SDP sólo podrán conservarse durante el tiempo que sean necesarios para el cumplimiento de sus finalidades, como lo establece el principio de temporalidad. Una vez cumplido este plazo, deberán destruirse o eliminarse a través de un Acuerdo de Eliminación o Destrucción, dependiendo del tipo de archivo que los contenga. El responsable deberá vigilar que esto se cumpla, de acuerdo con las disposiciones aplicables. Disociación: El procedimiento de disociación es todo tratamiento de datos personales que impida que la información que se obtenga pueda asociarse a una persona. Cuando los datos personales no permiten la identificación de una persona concreta pierden el carácter de personales, quedando al margen de la normativa sobre protección de datos. La disociación debe llevarse a cabo en alguno de los siguientes casos: 1. Cuando el SDP ya no es necesario para los fines establecidos, pero se buscan conservar con fines históricos, estadísticos o científicos. 2. Cuando el SDP tiene la finalidad exclusiva de recabar datos personales sensibles. 44 ¿CUÁNDO SE DISOCIAN Y CUÁNDO NO LOS SDP? SISTEMA DE DATOS PERSONALES QUE YA CUMPLIÓ CON SU FINALIDAD SISTEMA DE DATOS PERSONALES EXCLUSIVAMENTE SENSIBLES ¿Cuándo se disocia? ¿Cuándo no se disocia? ¿Cuándo se disocia? ¿Cuándo no se disocia? Cuando en lugar de ser destruido, se utilice para fines históricos, estadísticos o científicos. Cuando en lugar de ser destruido, se utilice para fines históricos, que requieren que los datos permanezcan íntegros, si así lo determina un especialista. Siempre, si el hecho de disociarlo no perjudica a nadie ni entorpece a la autoridad. Cuando los datos deban conservarse íntegros para estudios científicos o de salud pública. EJEMPLO DE DISOCIACIÓN Una persona acude para recibir tratamiento médico y se le otorga una clave o número de usuario (001023). Esto implica que no asociamos el nombre a la persona que estamos visualizando y cuyos datos estamos tratando. Exclusivamente la persona autorizada para asociar esos datos, es decir, el responsable (por ejemplo, en una clínica, el médico) conoce a quién corresponde el número de usuario asociado a una determinada persona. Fuente: López-Vidriero y Santos (2005) 3.5 Transmisión La transmisión de datos personales es toda comunicación de datos realizada a una persona física o moral autorizada distinta al titular, que pueden ser organismos nacionales o internacionales, así como la transferencia o comunicación de datos realizada entre Sujetos Obligados. La transmisión de la que puedan ser objeto los datos personales debe quedar asentada en la Ficha Técnica. A la persona u organización a quien se transmiten datos se le conoce como usuario externo. 45 No se considera transmisión de datos el acceso que un tercero tenga a un SDP para darle servicio de mantenimiento. El usuario externo de los datos personales estará obligado a acatar las mismas disposiciones que los Sujetos Obligados. Quien obtenga los datos en virtud de liquidación, fusión, escisión u otra figura jurídica, queda obligado a acatar todas las disposiciones de la Ley. Requisitos para la transmisión de SDP 1. Cuando el responsable transfiera los datos personales a usuarios externos nacionales o extranjeros, deberá establecer claramente la finalidad para la cual entrega los datos y el tratamiento que se les debe dar. 2. En toda transmisión de SDP, el responsable deberá informar al titular del Sujeto Obligado la identidad del usuario externo, así como las razones que motivaron el pedimento de la misma, dentro de los treinta días previos a dicho acto. 3. La transmisión de SDP sólo podrá realizarse cuando el usuario externo garantice por escrito un nivel de protección similar, y que se haya consignado en el Documento de Seguridad. 3.6 SDP en materia de salud La Ley de Protección de Datos Personales es complementaria a los ordenamientos que ya existen en materia de protección de datos de salud. No sustituye ni contraviene ninguna disposición existente. Las disposiciones de la Ley de Datos Personales para los SDP en materia de Salud son las siguientes: 1. El tratamiento de los SDP en materia de salud se regirá conforme a lo dispuesto en: a. La Ley General de Salud b. La Ley Estatal de Salud c. Las Normas Oficiales Mexicanas: En este sentido, la NOM 168-SSA1-1998 sobre el Expediente Clínico. d. Los lineamientos, convenios, acuerdos y demás disposiciones aplicables: La Carta de los Derechos Generales de los Pacientes y el Reglamento de la Ley General de Salud en materia de Prestación de Servicios de Atención Médica, son los principales ordenamientos que lo rigen. 46 2. El tratamiento y transmisión de esta información obliga a preservar los datos de identificación personal del paciente, separados de los de carácter clínico-asistencial, salvo que el propio paciente haya dado su consentimiento para no separarlos. Es decir, los datos personales deben someterse a un proceso de disociación. Los datos de identificación personal son aquellos que permiten la identificación de la persona, como el nombre, el domicilio, la CURP, etcétera; los datos de carácter clínicoasistencial son los que se refieren a los padecimientos y tratamientos médicos que recibe la persona, junto con todos los elementos para el diagnóstico y seguimiento. 3. Cuando se trate de investigación científica, salud pública o procesos judiciales, si fuera imprescindible, los datos identificativos se podrán conservar sin disociar de los clínico-asistenciales. 4. El acceso a los datos y documentos relacionados con la salud de las personas queda limitado estrictamente a los fines específicos de cada caso. ¿Por qué principios se rige la protección de datos personales en materia de Salud? La protección de datos personales se rige por los mismos 11 principios que el resto de los SDP, con especial énfasis en la confidencialidad. Tres de estos principios tienen consideraciones especiales para el caso de Salud: PRINCIPIO Confidencialidad Responsabilidad Temporalidad CONSIDERACIONES EN MATERIA DE SALUD El paciente tiene derecho a que toda la información que exprese su médico, se maneje con estricta confidencialidad y no se divulgue más que con la autorización expresa de su parte.(Punto 6 de la Carta de los Derechos de los Pacientes y fracción X del artículo 77 bis 37 de la LGS) Se sustenta en el deber del secreto profesional. (NOM 5.6) Conservación mínima de 5 años. (NOM 5.3 y artículo 32 del reglamento de la LGS) Datos personales sensibles En materia de Salud, el Expediente Clínico contiene, entre otros datos, el estado de salud físico o mental, las características físicas y/o la información genética del paciente, que son 47 clasificados como datos personales sensibles. Esto quiere decir que el nivel de seguridad de todos los SDP en materia de Salud deberá ser alto. Responsabilidades de los Sujetos Obligados Aunque los SDP en materia de Salud actualmente ya cuentan con algunas de las medidas previstas en la Ley, los Sujetos Obligados deben asegurarse de que, por lo menos, se encuentre designado un responsable por cada SDP, que cuenten con las medidas de seguridad de nivel alto y que los encargados conozcan sus obligaciones. Creación, modificación y eliminación del Expediente Clínico El conjunto de Expedientes Clínicos conforman los SDP en materia de Salud. Cada institución que otorgue bienes y/o servicios de salud, contará con, al menos: 1. Un SDP con todos los Expedientes Clínicos que poseen. 2. Un SDP del personal que labora en la institución 3. Un SDP de proveedores, en su caso Estos SDP deberán contar con las mismas características que los SDP de otros ámbitos. La modificación de estos SDP deberá registrarse e informarse también de la misma forma que el resto de los SDP. La eliminación de los SDP de Expedientes Clínicos, no podrá hacerse en un plazo menor a 5 años, de acuerdo con la NOM-168-SSA1-1998. 3.7 SDP en materia de seguridad pública Las dependencias y entidades que manejan datos relacionados con seguridad pública y procuración de justicia tienen algunas diferencias en el manejo de sus SDP, respecto del resto. 1. Para los SDP con fines administrativos, se regirán conforme a la Ley de Protección de Datos Personales, sin que existan excepciones o casos especiales. 2. Los SDP con fines de seguridad pública tendrán algunas excepciones. Excepciones para el tratamiento de SDP con fines de seguridad pública Sobre el Consentimiento Expreso y el Aviso de Protección de Datos Personales: 48 Los datos de carácter personal obtenidos para fines de seguridad pública y/o procuración de justicia podrán ser recabados sin consentimiento de los titulares, pero sólo deberán ser los necesarios para la prevención de un peligro real para la seguridad pública o para la prevención, investigación y persecución de delitos. Esto quiere decir que, en casos especiales, el Aviso de Protección de Datos Personales y el Formato de Consentimiento Expreso no serán necesarios. Si no existiera un peligro real para la seguridad pública o los datos no fuera necesarios para la prevención, investigación y persecución de delitos, el Aviso de Protección de Datos Personales y el Formato de Consentimiento Expreso deberán aplicarse de manera ordinaria. Algunos ejemplos son los siguientes: Casos excepcionales en que no se necesita presentar un Aviso de Protección de Datos Personales: - Cuando una persona es sorprendida en flagrancia cometiendo algún delito, la autoridad que recabe sus datos personales no necesitará presentar un Aviso de Protección de Datos Personales. - Cuando los datos se recaben fuera de las instalaciones oficiales de la dependencia o entidad. Casos excepcionales en que no se necesita recabar el Consentimiento Expreso para el tratamiento de datos personales sensibles: - Cuando una persona es sorprendida en flagrancia cometiendo algún delito, la autoridad que recabe sus datos personales, no necesitará recabar el Consentimiento Expreso. - Cuando se recaben datos de una persona con la finalidad de investigarla sobre la comisión de un delito. - Cuando se recaben los datos de una víctima si el delito se persigue por oficio. Por el contrario, cuando se persiga por querella, la autoridad sí deberá recabar el Consentimiento Expreso de la víctima. - Cuando exista una orden judicial o una ley que determine la obligatoriedad para que se obtengan los datos de una persona. 49 Sobre la protección de los datos personales: Independientemente de si existe consentimiento por parte del titular de los datos personales o no, los datos deberán tratarse con apego a las medidas de seguridad y demás disposiciones que marca la Ley. Todos los SDP con fines de seguridad pública deberán tener nivel de seguridad alto. Sobre el Consentimiento Expreso para difusión: La difusión de datos personales, a diferencia de otros rubros, podrá hacerse sin consentimiento de los titulares, en casos de emergencia, seguridad pública o seguridad nacional. Algunos ejemplos son los siguientes: - Cuando se difunden los datos personales para la localización de un presunto delincuente, siempre y cuando no se violente el principio de presunción de inocencia, el debido proceso o los derechos humanos del implicado. - Para la colaboración entre instituciones de seguridad pública. Sobre las responsabilidades adicionales: Los datos personales que se recaben en materia de seguridad pública deberán ser los estrictamente necesarios para los fines de una investigación. Sobre el ejercicio de los derechos ARCO: El titular de los datos personales podrá ejercer sus derechos ARCO de la misma forma que en cualquier otro ámbito. No obstante, el ejercicio de estos derechos podrá ser negado cuando esto pueda derivar en un peligro para la seguridad pública, la protección de derechos y libertades de terceros o las necesidades de las investigaciones que se estén realizando, así como cuando se obstaculice la actuación de la autoridad. Estas causales de negación no podrán aplicar nunca a SDP con fines administrativos. 3.8 Proceso de tratamiento de SDP Los SDP son comunes en la Administración Pública. Sin embargo, antes no existía una normativa acerca de las medidas de seguridad y la manera en que se debían tratar los datos contenidos en ellos. En este sentido, la Ley de Protección de Datos Personales del Estado establece una nueva forma de manejarlos. La protección de los SDP incluye las siguientes etapas: 50 1. Creación del SDP y establecimiento de las medidas de seguridad 1.1 Ficha Técnica 1.2 Documento de Seguridad 1.3 Acuerdo de Creación 2. Obtención y registro de datos 1.1 Aviso de Protección de Datos Personales 1.2 Formato de Consentimiento Expreso 3. Utilización de los datos personales 3.1 Se utilizan los datos para los fines previstos 3.2 Se transmiten los datos a un usuario externo, en su caso Se establecen las condiciones para el tratamiento al usuario externo 3.3 Se modifica el SDP, en su caso Se reportan las modificaciones a la CAIP y en la Ficha Técnica y/o Documento de Seguridad 4. Eliminación del SDP 4.1 Creación de un acuerdo de eliminación 1. Creación del SDP y establecimiento de las medidas de seguridad requeridas La creación de un SDP en la Administración Pública forzosamente debe obedecer un propósito o finalidad. La Ley establece que deberá crearse, entonces, un SDP por cada finalidad. Esta información debe quedar asentada en la Ficha Técnica, el Documento de Seguridad y el Acuerdo de Creación. Estos documentos ya se abordaron en el apartado 3.1 del Manual. La Ficha Técnica y el Documento de Seguridad deberán ser resguardados por el responsable del SDP, y se deberá enviar una copia de conocimiento a la Coordinación General de Transparencia. Medidas de seguridad: Como ya se mencionó, las medidas de seguridad se componen de dos dimensiones: el tipo de seguridad y el nivel de seguridad. Los tipos de seguridad pueden ser: físicos, lógicos, de cifrado y de comunicaciones y redes. Y los niveles de seguridad son: básico, medio y alto. 51 2. Obtención y registro de datos Al obtener datos, independientemente del tipo o forma de recabarlos, es necesario contar con un Aviso de Protección de Datos Personales, donde se establezcan: 1. La existencia del SDP y su finalidad 2. El carácter obligatorio u optativo de la información que se requiere 3. Las consecuencias del suministro de los datos 4. Las consecuencias de no suministrar los datos o de hacerlo de manera inexacta 5. La posibilidad de ejercer los derechos de acceso, rectificación, cancelación y oposición 6. La identidad y dirección de la Unidad de Acceso Adicionalmente, en algunos casos, es necesario contar con el consentimiento del titular de los datos. Cuando es así, se debe utilizar el Formato de Consentimiento Expreso, para obtener la aprobación del titular para utilizar sus datos personales. 3. Utilización de los datos Durante el tratamiento de los SDP es posible que se presenten tres situaciones, que requieren de un procedimiento específico: 1. Transmisión de datos: Se deberán establecer las condiciones para la transmisión al usuario externo en la Cláusula para la transmisión de datos a usuarios externos, que deberá quedar asentada en el acto jurídico que se celebre entre el Sujeto Obligado y el usuario externo. 2. Difusión de datos: Al momento de recabar los datos, se debe solicitar la autorización del titular, a través del Formato de Consentimiento Expreso. 3. Modificación de las características del SDP: Si alguna de las características enlistadas en la Ficha Técnica o el Documento de Seguridad sufriera cambios a lo largo de su tratamiento, deberá reportarse en este mismo documento y enviar copia de la modificación a la Secretaría de la Contraloría, para que ésta modifique el Registro General. 4. Eliminación del SDP cuando deje de cumplir con su finalidad Cuando la finalidad para la que se creó el SDP deja de existir, el Sistema y todos los datos contenidos en él deberán eliminarse del archivo, se realiza el Acuerdo de Eliminación. 52 DIAGRAMA 5.2.A - PROCESO DE TRATAMIENTO DE SISTEMAS DE DATOS PERSONALES 53 ACTIVIDADES 1. Creación de Fichas Técnicas y Documentos de Seguridad Instrucciones: A continuación se describen algunos Sistemas de Datos Personales. Llene los campos de la Ficha Técnica y el Documento de Seguridad para cada uno de ellos en los formatos que se proporcionen para ello. Sistema No. 1 Comenzó a funcionar el 5 de junio de 2013 para registrar a los beneficiarios de un programa de apoyo para micro, pequeñas y medianas empresas. La Unidad Administrativa responsable es la Subdirección de Normas de la Secretaría de Fortalecimiento Económico, y el subdirector es José Luis Cabrera Méndez, quien opera en su totalidad el programa. Los datos se recaban de manera presencial en las instalaciones de la dependencia, a través de un formato impreso. Los formatos se almacenan en carpetas que se guardan en archiveros con llave y se capturan en una hoja de Excel protegida y con contraseña. Los datos que se recaban son: clave de elector, RFC, CURP, domicilio, fecha de nacimiento, fotografía, nombre, teléfono celular, teléfono particular. El Sistema podrá ser transmitido al CONEVAL cuando se realice la evaluación del programa, como lo establece el Convenio de Colaboración 45-LKM-2013 El titular de la Unidad de Acceso es Jaime Rojas Fernández. o Teléfono oficial: 3-00-11-22 ext. 456. o Dirección: 10 norte 1010 Col. Centro. o Correo electrónico: jaime.rojas@gobierno.pue.mx Miriam Rosas Hernández, quien se desempeña como Analista Especializada “A” es quien captura los formatos en Excel y hace el análisis estadístico de la información. Sistema No. 2 El Sistema se creó para integrar el expediente de mujeres beneficiadas por el Programa de Reinserción Social para analizar y verificar que cumplan con el perfil y requisitos señalados, con el objeto de dirigirlas a las instancias canalizadores y otorgar los servicios de los programas de reinserción social. El Sistema es manejado por la Dirección General de Igualdad y Diversidad Social de la Secretaría de Desarrollo Social. La Directora es Mariana Campos Gutiérrez y es la única persona que tiene acceso al Sistema. Sus funciones respecto al Sistema consisten en analizar los perfiles de las beneficiarias para corroborar que corresponden con la población objetivo del Programa. El Sistema se creó cuando comenzó a operar el programa, en 2010. Los datos se obtienen directamente de las personas cuando acuden a las instalaciones de la dependencia y se almacenan en un registro de datos de Microsoft Access con contraseñas que cambian cada seis meses, sin conservar registro físico. Los datos que se recaban son los siguientes: características emocionales, domicilio, edad, fecha de nacimiento, estado civil, firma, nombre, nombres de familiares dependientes y beneficiarios, teléfono celular, teléfono particular, clave de elector, CURP, lugar de nacimiento, trayectoria educativa, huella digital. El Sistema no se transmitirá a ninguna persona u organización. El titular de la Unidad de Acceso es Fernando Puentes Carreón. o Teléfono: 3-00-11-22 ext. 1011 o Dirección: 10 norte 121 Col. Centro Histórico o Correo electrónico: fernando.puentes@gobierno.pue.mx 54 2. Preguntas de repaso a. ¿Cuáles son los tres SDP mínimos que debe tener una dependencia o entidad? b. Mencione dos elementos que contenga la Ficha Técnica y dos elementos que contenga el Documento de Seguridad. c. ¿Cómo se determina cuántos SDP tiene una dependencia o entidad? d. ¿Qué documentos se deben realizar cuando se crea un SDP? e. ¿En qué documento debe quedar asentada la realización de modificaciones a un SDP? f. ¿En qué momento del tratamiento de SDP se utiliza el Aviso de Protección de Datos Personales? g. ¿Cuáles son las dos dimensiones que componen las medidas de seguridad? h. Describa los cuatro tipos de seguridad. i. Mencione dos elementos que se requieran para el nivel de seguridad básico, dos para el nivel de seguridad medio y dos para el nivel de seguridad alto. j. ¿Cuándo debe disociarse un SDP? k. ¿Cuáles son las cuatro etapas del proceso de tratamiento de SDP? 3. Preguntas para la reflexión a. ¿Por qué es importante que exista un Aviso de Protección de Datos Personales? b. ¿Por qué resulta relevante que los SDP de los Sujetos Obligados se encuentren sistematizados y estandarizados? 55 CAPÍTULO 4: DERECHOS ARCO 4.1 Introducción a los derechos ARCO De la protección de los datos personales se desprenden cuatro derechos que tiene cada persona sobre sus datos: acceso, rectificación, cancelación y oposición al tratamiento de datos personales. Éstos son conocidos como derechos ARCO. Estos derechos se ejercen presentando una Solicitud ARCO ante la Unidad Administrativa de Acceso a la Información del Sujeto Obligado. Cada uno de estos derechos es independiente, por lo que no debe entenderse que el ejercicio de alguno de ellos sea requisito indispensable o impida el ejercicio de otro. Derecho de Acceso Todas las personas tienen derecho de acceder a su información personal que esté en posesión de los Sujetos Obligados, a fin de conocer cuál es y el estado en que se encuentra, es decir, si es correcta y actualizada, o para conocer para qué fines se utiliza. Asimismo, a través del ejercicio del derecho de acceso, se pueden conocer las características generales del uso al que están sometidos los datos personales. Entre la información a la que se puede acceder se encuentra la siguiente (IFAI, 2011): ¿Cuáles de mis datos personales tienen? ¿Para qué finalidades los recaban? ¿Quién utiliza mis datos personales? ¿Quiénes pueden ver mi información personal y con qué fines? ¿Qué datos personales comparten con usuarios externos? ¿De qué fuente obtuvieron mis datos personales? ¿Qué cosas no se pueden preguntar a través de una Solicitud ARCO de Acceso? Una Solicitud de Acceso no puede utilizarse para preguntar información sobre los datos personales de otras personas, distintas al titular. No se puede solicitar información sobre los tipos de seguridad del SDP, pues se considera información reservada. 56 EJEMPLO DE SOLICITUD ARCO DE ACCESO SOLICITUD DE BECA: Supongamos que una persona aplica a la SEP para una beca y ésta se la niega argumentando que no cumple con las características socioeconómicas para ese programa de becas. Esa persona puede realizar una Solicitud ARCO de Acceso para conocer los datos personales en que se basó la dependencia para emitir esa decisión y así corroborar que sean correctos. Si no lo fueran, podría proceder a hacer una Solicitud de Rectificación, que es el derecho que se aborda a continuación. Derecho de Rectificación A través del derecho de rectificación es posible realizar la corrección de datos que sean inexactos, que hayan cambiado o estén incompletos. La rectificación busca controlar la calidad de la información para que se corrijan las imperfecciones, errores o defectos de la misma. (Piñar y Ornelas, 2013) La rectificación de datos personales es un derecho, pero también constituye una responsabilidad para el titular, pues debe cerciorarse de que los datos que posee el gobierno son correctos. Rectificación de datos contenidos en documentos oficiales El derecho de rectificación que se ejerce con la finalidad de corregir algún dato contenido en un documento oficial se ejerce a través del proceso de solicitud ARCO de manera supletoria. Esto quiere decir que sólo aplicará cuando no exista un procedimiento ya establecido para la corrección del documento. EJEMPLOS DE SOLICITUDES ARCO DE RECTIFICACIÓN Cuando un documento oficial contiene errores en los datos personales del titular, esto también puede implicar complicaciones, dado que sus documentos no serán consistentes entre sí. Por ejemplo, si el Certificado de Primaria de una persona tiene mal escrito el nombre o un error en la fecha de nacimiento, a esa persona le será muy problemático poder acceder a la Secundaria, ya que el documento no corresponderá con su acta de nacimiento y demás documentos. Para solucionarlo, la persona debe seguir el procedimiento establecido para la rectificación de ese tipo de documento. De no existir, puede ejercer su derecho de rectificación ARCO. 57 Derecho de Cancelación La cancelación se realiza cuando el titular considere que sus datos personales ya no se requieren, resulten inadecuados o excesivos, o cuando el tratamiento no se ajuste a las disposiciones legales: Inadecuados: Cuando no guardan relación con el ámbito de aplicación y finalidad por la cual fueron recabados, o bien, si dejaron de ser necesarios con respecto a dicha finalidad. (infodf, sf) Excesivos: Si los datos recabados son más de los estrictamente necesarios en relación a dicha finalidad. (infodf, sf) La eliminación de los datos personales no siempre procede de manera inmediata, pues a veces es necesaria la conservación de los mismos con fines legales, de responsabilidades o contractuales. A este periodo se le denomina bloqueo, y durante el mismo los datos personales no podrán ser utilizados para ninguna finalidad, y una vez concluido deberán ser eliminados. (IFAI, 2011) Además, se puede solicitar la cancelación cuando previamente se haya ejercido el derecho de oposición y éste haya resultado procedente, lo cual se demuestra presentando el Comprobante ARCO de Oposición. ¿Cuándo no podrán ser cancelados los datos personales? Cuando tengan fines estadísticos, científicos o históricos, y sean previamente sometidos al procedimiento de disociación. Cuando pudiese causar perjuicios a derechos o afectar intereses legítimos de terceros. Cuando exista una obligación legal de conservar los datos. Cuando se refiera a las partes de un contrato y sean necesarios para su desarrollo y cumplimiento. Cuando se obstaculicen actuaciones judiciales o administrativas vinculadas a obligaciones fiscales, la investigación y persecución de delitos o la actualización de sanciones administrativas. Cuando sean necesarios para proteger los intereses jurídicamente tutelados del titular. Cuando sean objeto de tratamiento para la prevención o para el diagnóstico médico o la gestión de servicios de salud, siempre que dicho tratamiento se realice por un profesional de la salud sujeto a un deber de secreto. 58 EJEMPLO DE SOLICITUD DE CANCELACIÓN BENEFICIARIO DE UN PROGRAMA SOCIAL: Una madre soltera recibe un apoyo económico por parte de un programa social. Cuando su hijo cumple 18 años, el programa deja de otorgarle el apoyo, sin embargo, continúa recibiendo notificaciones acerca del programa por parte de la dependencia encargada. Esta mujer puede ejercer su derecho de cancelación, ya que los fines para los cuales esa dependencia tenía sus datos ya no existen. Derecho de Oposición El titular podrá oponerse al tratamiento de sus datos para fines específicos, en caso de que hayan sido recabados sin su consentimiento, o cuando existan motivos fundados para ello, siempre que se ajuste a la Ley. Los datos serán bloqueados cuando la oposición resulte procedente, pero no eliminados. Los titulares de los datos personales tienen derecho a oponerse al uso de su información personal cuando: • • Por alguna causa legítima sea necesario parar el uso de los datos personales, a fin de evitar un daño a su persona. No quieran que su información personal sea utilizada para ciertos fines o por ciertas personas, empresas, negocios, asociaciones, o cualquier usuario externo. EJEMPLO DE SOLICITUD DE OPOSICIÓN REALIZACIÓN DE UN TRÁMITE: Un hombre acude a realizar el trámite correspondiente para ponerse al corriente en el pago de la verificación vehicular. Para realizarlo le solicitan algunos datos y, conforme a la ley, le informan a través del Aviso de Protección de Datos Personales sobre el tratamiento que se dará a sus datos. Algunos días más tarde, el hombre recibe en su correo electrónico un anuncio en el que le informan sobre alguna facilidad para el pago de impuestos u otra información de interés. Aunque el plazo para que la dependencia donde realizó el trámite conserve sus datos aún se encuentra vigente, este hombre puede sentirse incómodo con los anuncios que llegan a su correo electrónico, por ello, podrá presentar una Solicitud de Oposición para que sus datos no se utilicen para enviarle esos correos, aunque seguirán existiendo en las bases de la dependencia hasta que cumplan con su finalidad. 59 El titular se puede oponer al tratamiento de sus datos personales, aún si éste se lleva a cabo de manera legítima, cuando el tratamiento de los datos personales le genere o le pueda generar algún perjuicio. El ejercicio del derecho de oposición no procederá en aquellos casos en los que el tratamiento de los datos personales sea necesario para el cumplimiento de una obligación legal. ¿Quiénes pueden ejercer los derechos ARCO? Todas las personas podrán realizar una solicitud ARCO sobre sus datos personales, debiendo identificarse con un documento oficial original. Pueden ejercerse por medio de un representante legal, identificándose y presentando un documento notarial que lo avale. En el caso de menores de edad, los derechos ARCO los puede ejercer el tutor o quien tenga legalmente la patria potestad. En caso de que el titular haya fallecido, los derechos ARCO pueden ser ejercidos por los herederos legítimos o el albacea de su sucesión, previa acreditación de su personalidad. Acreditación de identidad Las personas que realicen solicitudes ARCO pueden ser: el titular de los datos, su representante legal, el padre o tutor de un menor de edad y el heredero o albacea de una persona fallecida. Todos deberán presentar una identificación oficial, que puede ser: 1. IFE (vigente) 2. Pasaporte (vigente) 3. Cartilla del Servicio Militar Nacional (liberada) 4. Cédula Profesional Adicionalmente, si la solicitud la realiza un representante legal, deberá presentar poder otorgado ante Notario Público. 60 Si la solicitud es para un menor de edad, quien lo represente deberá presentar: 1. De ser padre o madre, se requiere acta de nacimiento original para su corroboración. 2. En caso de ejercer legalmente la patria potestad por otros medios, se requiere resolución judicial que otorgue la patria potestad del menor. Si la solicitud es para una persona fallecida se requiere resolución judicial que acredite a la persona como heredero o albacea de la sucesión. 4.2 Proceso de solicitud de derechos ARCO Todas las personas tenemos derecho a acceder, rectificar, cancelar u oponernos al tratamiento de nuestros datos, siempre que no contravenga la Ley. Para hacerlo, el titular de los datos debe presentar una Solicitud ARCO, a la que le dará trámite la Unidad de Acceso de cada dependencia o entidad, con el apoyo de las personas responsables y encargados del SDP. El procedimiento por el cual los titulares de datos personales ejercen sus derechos ARCO comprende las siguientes etapas: 1. Presentación de una Solicitud ARCO 2. Recepción y registro de la Solicitud 2.1 Orientación al solicitante para que subsane las deficiencias, en su caso 2.2 Acta de improcedencia, cuando la solicitud no sea posible de atender 3. Turno al área correspondiente 4. Búsqueda de información en el área correspondiente 5. Respuesta a la Unidad Administrativa de Acceso a la Información 4.1 Acta de improcedencia, cuando la solicitud no sea posible de atender 4.2 Acta circunstanciada si la información no se encuentra en los SDP en posesión del Sujeto Obligado 5. Respuesta a la Solicitud ARCO 5.1 Informe sobre los costos, cuando los haya 6. Entrega o negación de la información 1. Presentación de una Solicitud ARCO El titular de los datos, o su representante legal, presenta una solicitud ARCO ante la Unidad de Acceso de la dependencia o entidad que corresponda. 61 2. Recepción y registro de solicitudes: La Unidad recibe y registra la solicitud y otorga al solicitante un acuse de recibo. La Unidad debe revisar que la solicitud sea precisa, contenga los datos necesarios y suficientes para localizar la información. a. Si la solicitud no es precisa, es errónea, no contiene todo lo que se pide en el formato de Solicitud ARCO o los detalles que proporciona no bastan para localizar los datos, la Unidad tendrá un plazo de 5 días hábiles para orientar al solicitante para que aclare o complete su solicitud. Cuando lo haya hecho, el solicitante tendrá 3 días hábiles para corregir o complementar la información y presentarla nuevamente ante la Unidad. Si no lo hiciera, la solicitud se considerará como no presentada. b. Si la solicitud sí cumple con todo lo necesario, la Unidad deberá determinar si es procedente o no, es decir, si el derecho que se desea ejercer no contraviene la Ley o impide el desempeño de las funciones públicas de la organización. Si es improcedente, la Unidad deberá responder al solicitante, en un máximo de 15 días hábiles a partir de la presentación de la solicitud, con una resolución fundada y motivada, que se denomina Acta de Improcedencia. 3. Turno al área correspondiente: Cuando la solicitud cumpla con todos los requerimientos que la Ley establece y además resulte procedente, se deberá turnar al área responsable del SDP que contenga los datos sobre los que se busca ejercer los derechos ARCO. 4. Búsqueda de información en el área correspondiente: El responsable y los encargados del SDP deberán realizar la búsqueda de los datos. 5. Respuesta a la Unidad de Acceso El responsable deberá indicar a la Unidad alguna de las siguientes posibilidades: a. Que la solicitud es improcedente, en cuyo caso se procederá a informar al solicitante a través de una Acta de Improcedencia. b. Que la información no se encuentra en el SDP señalado. En este escenario, la Unidad procederá a buscar en otras áreas o SDP exhaustivamente. Si aun así no se encontraran 62 los datos, la Unidad procederá a levantar un Acta Circunstanciada, en la que se establecerán los detalles de la búsqueda y que deberá estar firmado también por los responsables y encargados que hayan participado en la búsqueda. c. Que la información se encuentra y la solicitud es procedente, a lo cual se procederá a responder al solicitante. 6. Respuesta a la Solicitud ARCO La Unidad deberá responder a la Solicitud ARCO en un máximo de 15 días hábiles a partir de su recepción, plazo que podrá ser prorrogado una sola vez por 15 días hábiles más. En la respuesta se deberá especificar el trámite realizado y: En caso de solicitud de acceso: Si el solicitante hubiera determinado que la información se entregara por copia simple o certificada, se le informarán los costos y detalles para que realice el pago. 7. Entrega, rectificación, cancelación o bloqueo de datos Cuando se haya respondido a la solicitud y ésta haya sido procedente, ocurrirá lo siguiente: a. En caso de solicitud de acceso: i. Cuando el solicitante haya determinado que los datos se le enviaran por correo electrónico se procederá a enviar la información. ii. Si hubiera determinado una consulta directa, se le informará que tiene 60 días hábiles a partir de que fuera enterado, para asistir al lugar donde se encuentran los datos. iii. Si el solicitante hubiera requerido la información en copias simples o certificadas, ya habiéndole informado sobre los costos y plazos en la respuesta, tendrá 20 días hábiles para realizar el pago. Si no lo realiza, la Unidad no tendrá obligación de entregar la información. Si lo realiza, deberá presentar su comprobante de pago y la Unidad deberá entregar la información en el formato indicado (en los 5 días hábiles siguientes). b. En caso de solicitud de rectificación, cancelación u oposición: i. La Unidad tendrá 15 días hábiles después de responder a la solicitud para hacer efectivo el derecho solicitado. Para comprobarlo, deberá enviar al solicitante, en el 63 mismo plazo, un Comprobante ARCO, que servirá como evidencia para el solicitante y la Unidad de que se llevó a cabo el trámite. A continuación se muestra este proceso de manera gráfica, identificando las áreas involucradas en cada etapa y los documentos requeridos. 64 DIAGRAMA 5.2.B - PROCESO DE SOLICITUD DE DERECHOS ARCO 65 TABLA 5.2.A PROCESO DE SOLICITUD DE DERECHOS ARCO CON PLAZOS Y DOCUMENTOS 66 ACTIVIDADES 1. Atender una Solicitud ARCO Instrucciones: Organícense en equipos de 3 personas. Cada persona asumirá un rol: Unidad de Acceso a la Información Responsable del SDP Encargado del SDP Se les entregará una solicitud ARCO que deberán resolver llevando a cabo el procedimiento señalado y utilizando los formatos correspondientes. 2. Preguntas de repaso a. ¿En qué consiste el derecho de acceso? Escribe un ejemplo de un caso. b. ¿En qué consiste el derecho de rectificación? Escribe un ejemplo de un caso. c. ¿En qué consiste el derecho de cancelación? Escribe un ejemplo de un caso. d. ¿En qué consiste el derecho de oposición? Escribe un ejemplo de un caso. e. ¿Cómo se diferencian la cancelación y la oposición? f. ¿Quiénes pueden ejercer los derechos ARCO? g. ¿Cuáles son las siete etapas del proceso de solicitud de derechos ARCO? h. ¿En qué casos se requiere que el titular realice algún pago? i. ¿En qué casos el derecho de rectificación se utiliza como un procedimiento supletorio? 3. Preguntas para la reflexión a. ¿Por qué son importantes los derechos ARCO? b.¿Qué medidas complementarias podrían tomarse desde la Administración Pública para facilitar el ejercicio de los derechos ARCO por parte de los ciudadanos? 67 CAPÍTULO 5: RECOMENDACIONES PARA PUBLICAR DATOS PERSONALES CUANDO EXISTEN OBLIGACIONES DE TRANSPARENCIA Y SOLICITUDES DE INFORMACIÓN 5.1 Protección publicidad de datos personales vs máxima La Ley estableció la obligación del gobierno de garantizar la protección de los datos de las personas físicas. No obstante, estas nuevas obligaciones en ocasiones chocan con el principio de “máxima publicidad” establecido en la Ley de Transparencia y Acceso a la Información Pública del Estado de Puebla. Específicamente, existe la cuestión sobre si el nombre de una persona es considerado como un dato personal y, de ser así, cuándo es susceptible de protección y cuándo no. Con la finalidad de proporcionar una respuesta homologada y fundamentada a las solicitudes de acceso a la información y las obligaciones de transparencia que involucran datos de personas, se considera necesario realizar criterios generales que permitan a los Sujetos Obligados que integran la Administración Pública Estatal dar cumplimiento a sus obligaciones, tanto en materia de transparencia y acceso a la información, como en materia de protección de datos personales. 5.2 El “nombre propio” como dato personal y atributo de la personalidad El nombre es el vocablo que sirve para designar a las personas o a las cosas y para distinguirlas de las demás. Al emplearlo, se individualiza a la persona de que se trata. Además, es un atributo de la personalidad útil para señalar a una persona, para individualizarla y para identificarla frente a terceros. El nombre también nos identifica y nos hace identificables frente a los demás, por lo que es un signo de identidad. El nombre es “absoluto”, pues es oponible frente a terceros y se encuentra protegido contra cualquier acto que constituya una usurpación; es también “imprescindible”, debido a que no se pierde por dejar de usarse durante un tiempo; indica “adscripción” a un determinado grupo familiar, impone la obligación de emplearse conforme al acta de 68 nacimiento correspondiente; también es “inmutable”, ya que su función es identificar a la persona que lo porta. Por lo tanto, el nombre es inherente a la persona y su divulgación está sujeta a la protección de las leyes. 5.3 La publicidad de la información gubernamental Las leyes de transparencia y de acceso a la información consagran el principio de “publicidad de la información” en posesión o en manos de organizaciones gubernamentales. Como regla general, toda información en manos de instancias gubernamentales o estatales es pública y, los particulares pueden acceder a la misma en los términos establecidos por las leyes, lugar en el que generalmente se distingue o se clasifica a la información en dos grandes categorías: pública y de acceso restringido. En ésta, se engloban dos subtipos, aquélla temporalmente fuera del alcance de los ciudadanos (reservada) y aquella que por su contenido jamás podrá ser accesible (confidencial). El nombre, como atributo de la personalidad, constituye información confidencial en modalidad de dato personal. 69 5.4 Recomendaciones generales para publicar o no el “nombre propio” ante una solicitud de acceso o una responsabilidad de transparencia Las siguientes recomendaciones no constituyen criterios, sino que se proponen como una guía para la solución de controversias entre el principio de máxima publicidad y el principio de privacidad. R E C O M E N D A C I O N E S 1. El nombre, de inicio, es un dato personal que puede transmitirse o difundirse siempre y cuando las circunstancias de cada caso lo permitan. 2. El “nombre propio” deberá entregarse y no podrá suprimirse de documentos oficiales siempre que sea el resultado de una obligación específica de transparencia establecida en alguna ley. 3. Si en alguna solicitud de acceso se le pide al Sujeto Obligado que entregue el “nombre propio” de algún ciudadano o funcionario público relacionado, ya sea con algún dato personal sensible, o con su domicilio personal completo, éstos últimos deberán negarse. 4. Cuando la información solicitada sea el “nombre” aparejado con el domicilio, se deberá ligar sólo con el municipio. 5. Cuando el “nombre propio” esté ligado a datos que reflejan circunstancias de interés público será de libre acceso, siempre y cuando en la respuesta notificada al solicitante se le expliquen las razones de la apertura. 6. Los nombres de los funcionarios o ex funcionarios públicos que se encuentren inmersos en procedimientos administrativos de determinación de responsabilidad serán de acceso público, siempre y cuando exista una resolución firme en su contra. 7. Los nombres de los funcionarios públicos que realicen actividades de seguridad pública, investigación y/o persecución de delitos podrán ser reservados, siempre y cuando exista acuerdo jurídico previo que cumpla con las formalidades establecidas en la Ley de Transparencia. 8. En toda respuesta que autorice o niegue la entrega de “nombres propios” el funcionario encargado de transmitir la respuesta formal del Sujeto Obligado deberá fundar y motivar la entrega o la negativa a entregar la información. 9. Cuando se trate del nombre y la nacionalidad de personas físicas que integren una empresa concesionaria de un servicio público, estos datos podrán hacerse públicos. 10. Todas estas recomendaciones quedarán exceptuadas cuando exista resolución judicial que los contravenga o así lo establezca alguna ley. 70 REFERENCIAS Referencias bibliográficas IFAI (2004) Iniciación sobre los modelos de bases de datos. México, D.F. Infodf (sf) Curso de la Ley de Protección de Datos Personales para el Distrito Federal Piñar y Ornelas (2013) La Protección de datos personales en México. México, D.F., Tirant lo Blanch, p. 192 Tenorio, M. (2012) Del derecho al acceso a la información al derecho a la protección de datos, el caso de México. Revista de Derecho, Comunicaciones y Nuevas Tecnologías, Universidad de los Andes CAIP (2014) Políticas y Lineamientos de Observancia General para el Manejo, Tratamiento, Seguridad y Protección de los datos personales en Posesión de los Sujetos Obligados del Estado de Puebla Referencias electrónicas IFAI (2011) Guía práctica para ejercer el Derecho a la Protección de datos personales. Extraído el 14 de marzo de 2014 de: http://inicio.ifai.org.mx/Publicaciones/01GuiaPracticaEjercerelDerecho.pdf Infodf (sf) Registro electrónico de sistemas de datos personales. Extraído el 10 de marzo de 2014 de: http://201.161.9.70/RSDP/ConsultaPublica.aspx López-Vidriero, I.; Santos, E. (2005) Protección de datos personales. Manual práctico para empresas. Extraído el 14 de marzo de 2014 de: http://goo.gl/36L1f9 SDP Noticias (26/02/2014) Discriminación en ULSA. Extraído el 7 de marzo de 2014 de: http://www.sdpnoticias.com/columnas/2014/02/26/discriminacion-en-ulsa Referencias jurídicas Ley de Protección de Datos Personales en Posesión de los Sujetos Obligados del Estado de Puebla Ley de Transparencia y Acceso a la Información Pública del Estado de Puebla ONU (1948) Declaración Universal de los Derechos Humanos SCJN (2009) Tesis aislada emitida por la Primera Sala de la Suprema Corte de Justicia de la Nación 1a. CCXIV/2009, visible en la página 277 del Semanario Judicial de la Federación y su Gaceta XXX, diciembre de 2009. 71