DA INTERNACIONAL DE PROTECCIN DE DATOS PERSONALES 2019

DÍA INTERNACIONAL DE PROTECCIÓN DE DATOS PERSONALES 2019 A 10 años de la Reforma Constitucional 1

La Protección de Datos Personales en México y Chiapas Rubro Porcentaje de personas Nacional Región Sureste Chiapas Uso de redes sociales (cuenta de Facebook, Twitter, etc) 56. 7% 53. 2% 45. 2% Uso de redes profesionales (Linked. In o portal del empleo) 9. 2% 5. 6% 3. 0%** Datos proporcionados en redes sociales: ● Nombre y algún apellido 89. 4% 90. 5% 41. 7% ● Teléfono personal 38. 4% 31. 5% 9. 1%* ● Correo electrónico personal 63. 9% 68. 0% 27. 9% ● Creencias religiosas 13. 2% 15. 9% 5. 4%* 95. 9% 95. 0% 97. 0% Proporción de datos a organizaciones (públicas o empresas) 2

La Protección de Datos Personales en México y Chiapas (cont. ) Rubro Porcentaje de personas Nacional Región Sureste Chiapas Preocupación por uso indebido de datos personales proporcionados: ● Nombre y algún apellido 82. 9% 80. 8% 77. 0% ● Teléfono personal 84. 0% 83. 0% 64. 5% ● Correo electrónico personal 81. 4% 80. 1% 34. 8% ● Creencias religiosas 61. 3% 52. 8% 13. 0%* Conocimiento de ley en materia de datos personales 55. 8% 48. 0% 33. 1% Recepción de un aviso de privacidad 32. 7% 29. 3% 22. 4% Presentación de queja por uso indebido de datos personales 1. 4% 1. 0% 0. 9% 3

Antecedentes Existen tres reformas constitucionales que sientan las bases para una regulación integral derecho de protección datos personales, con alcances en el sector público y privado, así como en el ámbito federal y local. 4

Antecedentes (cont. ) 30 abril 2009 julio 2007 - 1 junio 2010 - - Reforma Art. 16 CPEUM se adiciona un segundo párrafo Se reconoce como derecho fundamental la protección de datos personales y su relación con los derechos ARCO. Reforma Art. 73, fracción XXIX-O CPEUM Facultad al Congreso de la Unión a legislar en materia de protección de datos personales en posesión de particulares. Reforma Art. 6° CPEUM Principios y bases para el ejercicio del derecho a la información de las personas Se define el mecanismo de acceso y rectificación de datos personales, así como las características del órgano ante el cuál se substanciarán los procedimientos de revisión que garanticen a las personas estos derechos 5

Reforma constitucional del 7 de febrero de 2014 El 7 de febrero de 2014, fue publicado en el DOF el Decreto por el que se reforman y adicionan diversas disposiciones de la Constitución Política de los Estados Unidos Mexicanos en materia de transparencia. Como parte fundamental de la reforma destaca el artículo 6, fracción VIII con las siguientes aportaciones: La autonomía constitucional del organismo Representa un cambio histórico en materia garante de la protección de datos de protección de datos personales, toda personales en México, con lo que se vez que en ella se fijaron las bases para la garantiza imparcialidad e independencia en emisión de una Ley general en la materia sus decisiones protección de datos personales entre los entes públicos de los tres órdenes de gobierno y la sociedad 6

Desarrollo de Acciones Preventivas y de Autorregulación El INAI ha puesto a disposición del público en general diversas herramientas que tienen como objetivo orientar a los responsables del tratamiento de datos personales en el cumplimiento de las obligaciones establecidas en la LFPDPPP y de la Ley General, a fin de elevar los niveles de cumplimiento y disminuir el costo de implementación de la norma, lo que sin duda repercute positivamente en la protección de los individuos con relación al uso de sus datos personales. 7

Desarrollo de Acciones Preventivas y de Autorregulación (cont. ) Sector Privado Guía práctica para generar el aviso de privacidad junio 2011 Recomendaciones para la Designación de la Persona o Departamento de Datos Personales junio 2011 Última actualización agosto 2016 Guía práctica para la atención de las solicitudes de ejercicio de los derechos ARCO julio 2011 Guía para ejercer el derecho a la protección de datos personales 2011 8

Desarrollo de Acciones Preventivas y de Autorregulación (cont. ) Sector Público Formato de Autoevaluación de Aviso de Privacidad Sector Público 29 marzo 2017 Procedimiento para ejercer los Derechos ARCO para el sector público agosto 2017 9

Desarrollo de Acciones Preventivas y de Autorregulación (cont. ) Sector Privado y Público Corpus Iuris en materia de protección de datos personales junio de 2017 Guía para el tratamiento de datos Biométricos marzo 2018 Recomendaciones sobre protección de datos personales contenidos en la Credencial para Votar 3 abril 2018 10

Desarrollo de Acciones Preventivas y de Autorregulación (cont. ) Vulnerómetro mayo 2017 Monstruos en Red Guía para Prevenir el Robo de Identidad octubre 2015 septiembre 2017 d) Materiales para promover el derecho de protección de datos personales 11

Desarrollo de Acciones Preventivas y de Autorregulación (cont. ) Herramientas de supervisión parental 31 octubre 2018 Guía de herramientas de supervisión parental 31 octubre 2018 d) Materiales para promover el derecho de protección de datos personales Material para educadores sobre datos personales 3 diciembre 2018 12

Desarrollo de Acciones Preventivas y de Autorregulación (cont. ) Certámenes INAI entre sectores específicos de la población por medio de campañas en redes sociales en internet, visita a escuelas, universidades y, en general, espacios donde concurre nuestro público objetivo, para brindarles información, motivarlos para que inscriban sus trabajos y tomen parte de los asuntos públicos Concurso de carteles de avisos de privacidad para personas migrantes Concurso Nacional de Spot de Radio en materia de transparencia, acceso a la información y protección de datos personales Concurso Nacional de Dibujo Infantil Concurso Nacional de Cinecortos Con…. Secuencia Transparencia en Movimiento Concurso Nacional de Videobloggers Concurso para desarrollar una aplicación para teléfonos inteligentes Concurso de Arte Urbano y Neomularismo. El arte es público, tus datos personales, no Concurso Nacional de Cuento Juvenil Ciberconvivencia responsable 13

Desarrollo de Acciones Preventivas y de Autorregulación (cont. ) Capacitación (sector privado) 2011 2012 • • • Se inició la capacitación en aspectos relevantes de la LFPDPPP. Se impartieron 12 cursos presenciales en el segundo semestre de 2011. • • Se implementó un programa permanente de capacitación en materia de datos personales en posesión de particulares (presencial y en línea). Se diseñó y puso en operación el CEVINAI Se implementó un programa de capacitación dirigido a Cámaras y Asociaciones A partir de 2013 • Se ha mantenido la oferta de capacitación que incluye contenidos básicos de la LFPDPPP así como temas especializados o específicos: o o o Introducción a la LFPDPPP Aviso de Privacidad Atención a las solicitudes de derechos ARCO Medidas de seguridad Autorregulación En el Campus Iniciativa Privada del CEVINAI, se oferta el curso Designación de la persona o departamento de datos personales y a partir de 2019, estará disponible el curso sobre Temas específicos de protección de datos personales: tratamiento de datos biométricos y manejo de incidentes de seguridad. 14

Desarrollo de Acciones Preventivas y de Autorregulación (cont. ) Capacitación (sector público) CAPACITACIÓN PRESENCIAL Y EN LÍNEA Cursos: 9 Participantes: 836 Cursos: 106 Participantes: 7, 440 Se continuó este esfuerzo de capacitación. 2018 Con la publicación de la LGPDPPSO, se diseñó un programa intensivo de capacitación. 2017 2016 Se inició la capacitación a sujetos obligados del ámbito federal, previo a la publicación de la LGPDPPSO Cursos: 49 Participantes: 1, 569 15

Desarrollo de Acciones Preventivas y de Autorregulación (cont. ) Programa de formación educativa Diplomado en línea, en Protección de Datos Personales con la Universidad de Guadalajara (UDG) A partir de 2015 Programa de Formación Educativa El INAI impulsó el diseño e implementación de acciones de formación educativa, mediante alianzas con instituciones de educación a nivel nacional. Una materia en línea Aula Iberoamericana en Protección de Datos Personales con la Benemérita Universidad Autónoma de Puebla (BUAP) Los contenidos del Diplomado y el Aula Iberoamericana, se fortalecerán en 2019, con la incorporación de los aspectos relevantes de la Ley General de Protección de Datos Personales en Posesión de los Sujetos Obligados (LGPDPPSO) De 2016 a 2018, el INAI ha firmado convenios de colaboración académica para la incorporación de esta asignatura en línea en planes de estudio de nivel licenciatura La materia inició su impartición en 2016 en la Benemérita Universidad Autónoma de Puebla y en 2017 en la Universidad Autónoma de Baja California y Universidad del Valle de México. En el resto de las universidades está en proceso su incorporación 16

Procedimientos y Casos Relevantes. PROCEDIMIENTO DE PROTECCIÓN DE DERECHOS (ejemplos) PROCEDIMIENTO DE IMPOSICIÓN DE SANCIONES (ejemplos) Rectificación Obtención de Datos personales sensibles Acceso Obtención de Datos personales sin consentimiento Oposición Divulgación de Datos personales sensibles 17

Casos Relevantes. Procedimiento de Protección de Derechos. Este caso aborda el tema de la rectificación de datos personales contenidos en un expediente clínico en posesión de una particular. El responsable se negaba a realizar la rectificación con fundamento en la NOM del expediente clínico que impide tachar/enmendar el expediente, pero el INAI determina que el responsable debe proceder a la rectificación solicitada. Un titular solicita a una empresa de telecomunicaciones el acceso a su información y se queja ante el Instituto por no haber recibido ciertos datos de geolocalización muy específicos. El Instituto especifica que la información de geolocalización solicitada por el titular no se refería a datos personales porque no identificaba o hacía identificable al Titular y, por lo tanto, no era obligación del responsable dar acceso a ellos. Aborda el derecho de una trabajadora de la educación a que sus datos de evaluación no fueran transmitidos a otras instituciones sin su consentimiento. El Instituto resolvió que la titular tenía derecho a oponerse a dicha transferencia. Es un precedente importante ya que no se restringe el derecho de los empleadores a realizar evaluaciones a sus trabajadores, sino que se protege el derecho a la privacidad de los trabajadores. 18

Casos Relevantes. Procedimiento de Imposición de Sanciones. El INAI determinó imponer tres multas a una institución financiera, por dar tratamiento a datos personales en contravención a los principios de información, proporcionalidad y licitud. Esto, toda vez que el responsable recabó datos personales sensibles del cónyuge de la denunciante sin obtener su consentimiento expreso y sin justificar la necesidad de tratarlos. Se determinó imponer multas a una institución financiera por contravenir con los principios de responsabilidad y licitud y el deber de responsabilidad, por proporcionar indebidamente datos personales -incluida la clave interbancaria- de una titular a un tercero, sin consentimiento. Se resolvió sancionar a una institución educativa por contravenir los principios de consentimiento, lealtad, responsabilidad y licitud, por haber utilizado datos personales de un menor de edad, en una campaña, sin haber obtenido previamente el consentimiento expreso de quien ejercía la patria potestad sobre el menor. . 19

Casos Relevantes. Verificación. VERIFICACIÓN DEL SECTOR PÚBLICO PRIVADO Partido de la Revolución Democrática (PRD) Instituto Nacional de Antropología e Historia (INAH) Escuela de idiomas Institución bancaria 20

Casos Relevantes. Verificación sector público. Durante el procedimiento de verificación, se determinó que el partido político incumplió principios previstos en la Ley General, relativos a información, consentimiento y licitud, al dar tratamiento a los datos personales de los titulares, afiliando a cuatro ciudadanos sin su consentimiento. El Instituto autorizó dar vista al INE para que determinara las sanciones correspondientes. El INAI determinó que el INAH incumplió los principios rectores de la protección de datos personales, relativos a finalidad, consentimiento, proporcionalidad y licitud, en relación con el tratamiento de datos personales que efectuó al divulgar en la página de Compra. Net el nombre de la menor de edad asociado a un padecimiento médico por el que fue tratada. De esta manera, el Instituto autorizó dar vista al Órgano Interno de Control en el INAH, para que determinara si hubo responsabilidad administrativa en el actuar de los servidores públicos. 21

Casos Relevantes. Verificación sector privado. El INAI ordenó el inicio del procedimiento de imposición de sanciones contra una escuela de idioma, debido a que el Aviso de Privacidad de aquélla no preveía dentro de sus finalidades el contacto con sus alumnos para entablar conversaciones de carácter personal; así como por ser omisa en adoptar medidas necesarias para garantizar el debido tratamiento de los datos personales que maneja. Se concluyó que el Responsable llevó a cabo el tratamiento de los datos personales para fines mercadotécnicos y de publicidad, aún y cuando el titular manifestó su negativa expresa para tales finalidades, incumpliendo el principio de consentimiento. En tal virtud, se ordenó el inicio del procedimiento de imposición de sanciones. 22

Casos de robo de datos personales en Chiapas A principios del presente año, circuló un mensaje de Whats. App supuestamente enviado por el IMSS. En el mensaje se aseguraba que tras pasar por un proceso de verificación en internet, las víctimas podrían retirar $40, 000 en caso de ser afiliados del Seguro Social. El mensaje tenía como finalidad robar la identidad de los usuarios ya que estos proporcionaban información privada en el proceso de verificación. Ante estos casos el INAI proporciona alertas y recomendaciones para proteger los datos personales en internet y redes digitales. 23

Impacto internacional El Instituto ha sido invitado a participar en la revisión, propuesta y discusión de ciertos capítulos de los siguientes tratados comerciales internacionales que la Secretaría de Economía, como principal autoridad negociadora, ha considerado tienen algún impacto en la protección de datos personales: TLCAN/T-MEC Tratado de Libre Comercio de América del Norte Alianza del Pacífico–Estados Asociados TLCUEM Tratado de Libre Comercio entre México y la Unión Europea ACE Nº 6 Acuerdo de Complementación Económica No. 6 entre Argentina y México TPP/ CPTPP Acuerdo Transpacífico de Cooperación Económica - Tratado Integral y Progresista para la Asociación Transpacífico 24

Retos y perspectivas Como puede apreciarse, en estos años se han establecido diversas condiciones institucionales y normativas que han fortalecido al INAI como organismo garante a nivel federal de protección de datos personales, tanto en el ámbito público federal como privado 25

Retos y perspectivas (cont. ) Aun así, hay un camino largo por recorrer y diversos retos identificados: Es prioritario que el SNT se consolide como un mecanismo comprobado y reconocido para la generación de una garantía efectiva y homogénea del derecho a la protección de los datos personales para toda la población del país; Se debe lograr que la mayoría de la población sepa que es dueña de su información, que tiene derechos sobre ella, que existen mecanismos específicos para hacerlos valer y organismos garantes para su defensa, y Es indispensable que la gestión de la seguridad de la información en todos los niveles del sector público y en el sector privado esté internalizada y sea aplicada constante y eficientemente por los servidores públicos y en el sector privado. Lo anterior, en virtud de que actualmente todavía prevalece un gran desconocimiento en la materia y los mecanismos implementados, cuando los hay, no son aun suficientes. 26

Retos y perspectivas (cont. ) En relación con lo anterior, el Programa Nacional de Datos Personales, propone diversos objetivos específicos en la materia, tanto para el Instituto, como para los organismos garantes locales: Fomentar el conocimiento generalizado de la protección de los datos personales; Conocer el desempeño de los responsables en la aplicación de la LGPDPPSO o las leyes estatales en la materia; Establecer las bases para que exista un ejercicio adecuado de los derechos ARCO y la portabilidad de datos personales; Crear y facilitar la identificación de los incentivos que permiten a los responsables adoptar mejores prácticas en la protección de DP; Promover que existan las capacidades técnicas adecuadas y suficientes entre los servidores públicos/ iniciativa privada para la protección de los datos personales; Fomentar que los responsables establezcan un sistema de gestión de seguridad para garantizar que cuenten con medidas de seguridad de la información; Generar más acciones / herramientas para el ejercicio y tutela del derecho a la protección de datos personales en todo el país; 27

Retos y perspectivas (cont. ) Establecer las bases y mecanismos para que los organismos garantes ejerzan adecuadamente sus nuevas atribuciones derivadas de la LGPDPPSO o de las leyes estatales en la materia; Fortalecimiento presupuestal para garantizar el derecho a la protección de datos personales en el país. Construir un mecanismo de revisión efectivo y solidario para los organismos garantes; Fortalecimiento institucional de los organismos garantes, y Elaborar y expedir normatividad secundaria útil y suficiente por los integrantes del SNT; Realizar acciones de sensibilización, promoción, difusión y socialización en materia de protección de datos personales en las entidades federativas; 28

¡GRACIAS! TWITTER: @JOELSAS 29