Ley de Proteccin de Datos Personales en Posesin

Ley de Protección de Datos Personales en Posesión de Sujetos Obligados para la Ciudad de México

Presentación Cada participante deberá presentarse al resto del grupo mencionando: • Nombre • Cargo • Área de adscripción • ¿Manejan datos personales?

Objetivo Al finalizar el presente curso, el participante podrá conocer los aspectos más relevantes sobre la Ley de protección de datos personales en posesión de sujetos obligados para la Ciudad de México.

Temario I. Antecedentes II. Disposiciones generales III. Principios y deberes IV. Consentimiento V. Medidas de seguridad

Temario VI. Sistemas de Datos Personales VII. Procedimiento Derechos ARCO VIII. Responsables en materia de Datos Personales IX. Procedimientos de impugnación X. Medidas de Apremio y Sanciones

Tema I Antecedentes

2018 2007 2008 Reforma del Art. 6 Constitucional Fracc. II y III: protección a la vida privada, los datos personales, toda persona sin acreditar interés…acceso gratuito a la Información Pública y a sus DP o a la rectificación. Derecho a la Protección de Datos Personales obtuvo su autonomía, al ser publicada la Ley de Protección de Datos Personales para el Distrito Federal (3 de oct. ). 2009 2003 Excepción al Derecho de Acceso a la Información Pública (Capítulo de la LTAIPDF). Se fortalece el tema de la Protección de Datos Personales y se incorpora en la CPEUM los Derechos ARCO. 10 de abril Se publica en la Gaceta Oficial de la Ciudad de México la nueva Ley de Protección de Datos Personales en posesión de los sujetos obligados de la Ciudad de México, abrogando la Ley anterior (2003).

Artículo 16 Constitucional Toda persona tiene derecho a la protección de sus datos personales, al acceso, rectificación y cancelación de los mismos, así como a manifestar su oposición, en los términos que fije la Ley.

Tema II Disposiciones generales

Objetivos: I. Establecer las bases mínimas y condiciones homogéneas para el tratamiento lícito de los datos personales. IV. Garantizar de manera expresa y expedita el ejercicio de los derechos ARCO. II. Garantizar un tratamiento lícito de los datos personales por parte de los sujetos obligados. III. Garantizar que los sujetos obligados protejan los datos personales. V. Promover, fomentar y difundir una cultura de protección de datos personales. VI. Establecer los mecanismos para garantizar el cumplimiento y la efectiva aplicación de las medidas de apremio que contravengan las disposiciones previstas en esta Ley. Art. 2

Conceptos relevantes Datos personales Cualquier información concerniente a una persona física identificada o identificable. Identificada Identificable Cuando dentro de un grupo de personas se la distingue de todos los demás miembros del grupo. Cuando sea necesario el empleo de otros mecanismos y/o información para identificarla.

Tipos de Datos Personales Identificativos Electrónicos Procedimientos Salud Laborales Tránsito o migratorios Biométricos Patrimoniales Académicos Sensibles Naturaleza pública

Tipos de Datos Personales Identificativos: Nombre, domicilio, teléfono particular, celular, estado civil, firma, RFC, CURP, número de pasaporte, lugar y fecha de nacimiento, nacionalidad, fotografía, costumbres, idioma o lengua, entre otros. Electrónicos: Correo electrónico, dirección IP, dirección MAC (Media Access Control o dirección de control de acceso al medio), nombre de usuario, contraseñas, firma electrónica. Laborales: Documentos de reclutamiento, nombramiento, incidencia, capacitación, actividades extracurriculares, referencias laborales y personales, solicitud de empleo y hoja de servicio. Patrimoniales: Bienes muebles e inmuebles, información fiscal, historial crediticio, ingresos y egresos, cuentas bancarias, seguros, fianzas, servicios contratados.

Tipos de Datos Personales Procedimientos: Información relativa a una persona que se encuentre sujeta a un procedimiento administrativo en forma de juicio. Tránsito o migratorios: Información relativa al tránsito de las personas dentro y fuera del país, así como la información migratoria. Académicos: Trayectoria educativa, calificaciones, títulos, cédula profesional, certificados, reconocimientos, demás análogos. Biométricos: Huellas dactilares, ADN, geometría de la mano, características de iris y retina, demás análogos.

Tipos de Datos Personales Salud: Expediente clínico de cualquier atención médica, referencias o descripción de sintomatologías, detección de enfermedades, incapacidades médicas, discapacidades, intervenciones quirúrgicas, vacunas, consumo de estupefacientes, uso de aparatos oftalmológicos, ortopédicos, auditivos, prótesis, así como el estado físico y mental de la persona. Sensibles: Origen étnico o racial, características morales o emocionales, ideología, opiniones políticas, creencias, convicciones religiosas, filosóficas y preferencia sexual. Naturaleza pública: Aquellos que por mandato legal sean accesibles al público. • Beneficiarios de la Ley de Desarrollo Social.

Tratamiento Cualquier operación o conjunto de operaciones efectuadas mediante aplicadas a datos procedimientos personales manuales o automatizados relacionadas con la obtención, uso, registro, conservación, organización, elaboración, estructuración, utilización, comunicación, difusión, almacenamiento, etc. Art. 3, Fracción XXXIV

Sistema de Datos Personales Es un conjunto organizado de archivos, registros, ficheros, bases o banco de datos personales en posesión de los sujetos obligados, cualquiera sea la forma o modalidad de su creación, almacenamiento, organización y acceso.

Medidas de seguridad Conjunto de acciones, actividades, controles o mecanismos administrativos, técnicos y físicos que permitan proteger los datos personales y los sistemas de datos personales. Existen 3 tipos de medidas de seguridad: Administrativas Físicas Técnicas Art. 3, Fracción XXII

Documento de seguridad Instrumento que describe y da cuenta de manera general sobre las medidas de seguridad técnicas, administrativas responsable físicas adoptadas para confidencialidad, por garantizar integridad y el la y disponibilidad de los datos personales que posee. Art. 3, Fracción XIV

Definición Titular Responsable Cualquier autoridad, entidad, órgano y organismo de Persona física a quien corresponden los datos personales los Poderes Ejecutivo, Legislativo y Judicial…, que decida y determine finalidad, fines, medios, medidas de seguridad y demás cuestiones relacionadas con el tratamiento de datos personales.

Definición Usuario Persona autorizada Encargado por el Oficial de DP Persona física o jurídica, pública Responsable, y parte de la o privada, ajena a la organización del sujeto obligado, organización del responsable, obligados que lleven a cabo que dé tratamiento y/o tenga que sola o conjuntamente con tratamiento relevante o intensivo acceso a los datos y/o a los otras trate datos personales a de los datos. sistemas de datos personales. nombre del responsable. Sólo para aquellos sujetos

Tema III Principios y Deberes

Principios que deberán observar los sujetos obligados: Calidad Confidencialidad Consentimiento Finalidad Información Lealtad Licitud Proporcionalidad Transparencia Temporalidad Art. 9

Finalidad Calidad Los datos personales deben ser: Ciertos Adecuados Pertinentes Proporcionales No excesivos Confidencialidad Los datos personales recabados y tratados tendrán: Fines determinados, explícitos y legítimos. Garantizar que solamente el titular y personal autorizado accedan a los DP, así como garantizar la secrecía y no difusión de los mismos. No podrán ser tratados ulteriormente con fines distintos. Los DP con fines de archivo de interés público, investigación científica e histórica no se considerarán incompatibles con la finalidad inicial.

Lealtad El tratamiento de los DP se realizará: Sin dolo, engaño o medios fraudulentos Tengan un origen lícito No vulneren la confianza del titular Licitud El tratamiento de los DP será lícito cuando: El titular los entregue previo consentimiento No podrán utilizarse para finalidades distintas o incompatibles con aquellas que motivaron su recabación Proporcionalidad El Responsable tratará sólo aquellos DP que resulten: Necesarios Adecuados Relevantes en relación con la finalidad o finalidades para las que se obtuvieron

Transparencia La información relacionada con el tratamiento de los DP será: Accesible Fácil de entender Siempre a disposición del titular Temporalidad Los DP tendrán: Consentimiento Implica manifestación previa de voluntad del titular: Un ciclo de vida Libre Temporalidad vinculada a la finalidad para la cual fueron recabados Específica Una vez concluida la finalidad, pueden ser destruidos, cancelados o suprimidos Inequívoca Informada El titular acepta el tratamiento de sus DP

Información El responsable deberá informar al titular sobre: Tratamiento Finalidad Cualquier cambio de estado de sus datos personales

Deberes El responsable para cumplir con el tratamiento lícito, transparente y responsable de los datos personales tendrá al menos los siguientes deberes: Elaborar políticas y programas de protección de datos personales. Poner en práctica un programa de capacitación y actualización del personal sobre las obligaciones y deberes en materia de DP Garantizar a las personas el ejercicio de los Derechos ARCO Destinar recursos autorizados para la instrumentación de programas y políticas de protección de DP. Revisar periódicamente las políticas y programas de seguridad de datos personales. Elaborar y presentar al Instituto un informe sobre las obligaciones previstas en la Ley, a más tardar la segunda semana de enero de cada año. Llevar a cabo un programa de capacitación en materia de protección de DP. Establecer un sistema de supervisión interna y/o externa, incluyendo auditorías, para comprobar el cumplimiento de las políticas de protección de DP. Art. 23

Deberes Diseñar e implementar políticas públicas, programas, servicios, sistemas o plataformas informáticas, que impliquen el tratamiento de DP con las disposiciones previstas en la Ley. Garantizar que sus programas, servicios, sistemas o plataformas informáticas, que impliquen el tratamiento de DP, cumplan con la debida protección. Adoptar las medidas de seguridad necesarias para la protección de DP y los Sistemas de Datos Personales, así como comunicarlas al Instituto para su registro. Registrar ante el Instituto los Sistemas de Datos Personales, así como su modificación o supresión. Art. 23

Tema IV Consentimiento

Consentimiento El responsable deberá contar con el consentimiento previo del titular para el tratamiento de los datos personales, el cual deberá otorgarse de forma: I. Libre: Sin que medie error, mala fe, violencia o dolo que puedan afectar la manifestación de voluntad del titular. II. Específica: Referida a finalidades concretas, lícitas, explícitas y legítimas que justifiquen el tratamiento. III. Informada: Que el titular sea informado y tenga conocimiento del tratamiento de sus datos personales, a través del aviso de privacidad, previo al tratamiento. IV. Inequívoca: Que el titular manifieste con una acción o declaración afirmativa su aceptación del tratamiento de sus datos personales. El titular de los datos personales podrá revocar el consentimiento en cualquier momento, en ese caso, el tratamiento cesará y no podrá tener efectos retroactivos. Art. 12

Aviso de privacidad Documento a disposición del titular de los datos personales, generado por el responsable, de forma física, electrónica o en cualquier formato, previo a la recabación y tratamiento de sus datos, con el objeto de informarle sobre la finalidad del tratamiento, los datos recabados, así como la posibilidad de acceder, rectificar, oponerse o cancelar el tratamiento de los mismos. Art. 3, Fracción II

El aviso de privacidad deberá: • Ser puesto a disposición del titular previo a la obtención y recabación de los datos personales. • Ser difundido por los medios electrónicos y físicos con los que cuente el responsable. • Estar redactado y estructurado de manera clara, sencilla y comprensible. Cuando resulte imposible dar a conocer al titular el aviso de privacidad, el responsable podrá instrumentar medidas compensatorias de comunicación masiva de acuerdo con los criterios establecidos para tal efecto. Art. 20

Información del aviso de privacidad El aviso de privacidad deberá contener los siguientes elementos básicos: I II III La identificación del responsable y la ubicación de su domicilio. El fundamento legal que faculta responsable para llevar a cabo tratamiento. al el Los datos personales que serán sometidos a tratamiento, así como de la existencia de un Sistema de Datos Personales. IV Las finalidades del tratamiento para las cuales se recaban los datos. V Los mecanismos, medios y procedimientos disponibles para ejercer los derechos de Acceso, Rectificación, Cancelación y Oposición; y VI El domicilio de la Unidad de Transparencia. Art. 20

Consentimiento En el tratamiento de datos personales de menores de edad siempre se deberá contar con el consentimiento del padre, madre o el tutor, privilegiando el interés superior de adolescente, la en niña, el términos disposiciones legales aplicables. niño de y el las En la obtención del consentimiento de personas que se encuentren en estado de interdicción o incapacidad declarada conforme a la ley, se estará a lo dispuesto en las reglas de representación previstas en la legislación civil que resulte aplicable. Art. 13

Excepciones al consentimiento El responsable no estará obligado a recabar el consentimiento del titular para el tratamiento de sus datos personales en los casos y excepciones siguientes: I. Cuando una ley así lo disponga o cuando se recaben para el ejercicio de las atribuciones legales conferidas a los sujetos obligados, debiendo dichos supuestos ser acordes con las bases, principios y disposiciones establecidos en esta Ley, en ningún caso, podrán contravenirla. II. Cuando las transferencias que se realicen entre sujetos obligados se encuentre de manera expresa en una ley o que tenga por objeto el tratamiento posterior de los datos con fines históricos, estadísticos o científicos. III. Cuando exista una orden judicial. Art. 16

Excepciones al consentimiento IV. Para el reconocimiento o defensa de derechos del titular ante autoridad competente. V. Cuando se refieran a las partes de un convenio, a la relación contractual, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento. VI. Cuando los datos personales se requieran para ejercer un derecho o cumplir obligaciones derivadas de una relación jurídica entre el titular y el responsable. Art. 16

Excepciones al consentimiento VII. Cuando exista una situación de emergencia que potencialmente pueda dañar a un individuo en su persona o en sus bienes. VIII. Cuando el titular no esté en posibilidad de otorgar su consentimiento por motivos de salud y el tratamiento de sus datos resulte necesario para el diagnóstico médico y quien trate los datos personales esté sujeto al secreto profesional u obligación equivalente. IX. Cuando los datos personales sean necesarios para efectuar un tratamiento para la prevención, diagnóstico, o la prestación de asistencia sanitaria. Art. 16

Excepciones al consentimiento X. Cuando los datos personales se sometan a un procedimiento previo de disociación. XI. Cuando los datos personales figuren en registros públicos y su tratamiento sea necesario, siempre que no se vulneren los derechos y las libertades fundamentales de la persona; o XII. Cuando el titular de los datos personales sea una persona reportada como desaparecida en los términos de la ley en la materia. Art. 16

Tema V Medidas de seguridad

Medidas de seguridad El Responsable debe establecer medidas de seguridad administrativas, físicas o técnicas para la protección de los datos personales, que permitan protegerlos contra daño, pérdida, alteración, destrucción y garantizar su confidencialidad, integridad y disponibilidad. Art. 24

Medidas de seguridad administrativas Políticas y procedimientos para la gestión, soporte y revisión de la seguridad de la información a nivel organizacional, la identificación, clasificación y borrado seguro de la información, así como la sensibilización y capacitación del personal, en materia de protección de datos personales. Art. 3, Fracción XXIII

Medidas de seguridad físicas Conjunto de acciones y mecanismos para proteger el entorno físico de los datos personales y de los recursos involucrados en su tratamiento. De manera enunciativa más no limitativa se consideran las siguientes: Prevenir el acceso no autorizado al perímetro de la organización, sus instalaciones físicas, áreas críticas, recursos e información. Prevenir el daño o interferencia a las instalaciones físicas, áreas críticas de la organización, recursos e información. Proteger los recursos móviles, portátiles y cualquier soporte físico o electrónico que pueda salir de la organización. Proveer a los equipos que contienen o almacenan datos personales de un mantenimiento eficaz, que asegure su disponibilidad e integridad. Art. 3, Fracción XXIV

Medidas de seguridad técnicas Conjunto de acciones y mecanismos que se valen de la tecnología relacionada con hardware y software para proteger el entorno digital de los datos personales y los recursos involucrados en su tratamiento. De manera enunciativa más no limitativa se consideran las siguientes: Prevenir que el acceso a las bases de datos o a la información, así como a los recursos, sea por usuarios identificados y autorizados. Revisar la configuración de seguridad en la adquisición, operación, desarrollo y mantenimiento del software y hardware. Generar un esquema de privilegios para que el usuario lleve a cabo las actividades que requiere con motivo de sus funciones. Gestionar las comunicaciones, operaciones y medios de almacenamiento de los recursos informáticos en el tratamiento de datos personales. Art. 3, Fracción XXV

Las medidas de seguridad adoptadas por el responsable deberán considerar: I. El riesgo inherente a los datos personales tratados. II. La sensibilidad de los datos personales tratados. III. El desarrollo tecnológico. IV. Las posibles consecuencias de una vulneración para los titulares. VI. Las transferencias de datos personales que se realicen. VI. El número de titulares. VII. Las vulneraciones previas ocurridas en los sistemas de datos. VII. El riesgo por el valor potencial cuantitativo o cualitativo que pudieran tener los datos personales tratados para una tercera persona no autorizada para su posesión. Art. 25

Niveles de seguridad Medidas de seguridad aplicables a sistemas de datos concernientes a ideología, religión, creencias, afiliación política, origen racial o étnico, salud, biométricos, genéticos o vida sexual, así como los que contengan datos recabados para fines policiales, de seguridad, prevención, investigación y persecución de delitos. Relativas a las medidas generales de seguridad cuya aplicación será obligatoria para el tratamiento y protección de todos los sistemas de datos personales en posesión de los sujetos obligados. Alto Medidas de seguridad requeridas para aquellos sistemas relativos a la comisión de infracciones administrativas o penales, hacienda pública, servicios financieros, datos patrimoniales, así como los sistemas que contengan datos con los que se permita obtener evaluación de personalidad o perfiles de cualquier tipo en el presente, pasado o futuro. Básico Art. 25

Para establecer y mantener las medidas de seguridad para la protección de datos personales, el responsable deberá realizar al menos las siguientes actividades interrelacionadas: I. Crear políticas internas para la gestión y tratamiento de los datos personales, que tomen en cuenta el contexto en el que ocurren los tratamientos y el ciclo de vida de los datos personales, es decir, su obtención, uso y posterior supresión. III. Elaborar un inventario de datos personales contenidos en los sistemas de datos. II. Definir las funciones y obligaciones del personal involucrado en el tratamiento de datos personales. IV. Realizar un análisis de riesgo de los datos personales, considerando las amenazas y vulnerabilidades existentes para los datos personales y los recursos involucrados en su tratamiento, como hardware, software, personal del responsable, entre otros. Art. 26

V. Realizar un análisis de brecha, comparando las medidas de seguridad existentes contra las faltantes en la organización del responsable. VII. Monitorear y revisar de manera periódica las medidas de seguridad implementadas, así como las amenazas y vulneraciones a las que están sujetos los datos personales. VI. Elaborar un plan de trabajo para la implementación de las medidas de seguridad faltantes, así como las medidas para el tratamiento cotidiano de la políticas de gestión y tratamiento de los datos personales. VIII. Diseñar y aplicar diferentes niveles de capacitación del personal bajo su mando, dependiendo de sus roles y responsabilidades respecto del tratamiento de los datos personales. Art. 26

Las acciones relacionadas con las medidas de seguridad para el tratamiento de los datos personales, deberán estar documentadas y contenidas en un documento de seguridad, el cual contendrá al menos lo siguiente: I. El inventario de datos personales en los sistemas de datos. II. Las funciones y obligaciones de las personas que intervengan en el tratamiento de datos personales, usuarios y encargados en el caso de que los hubiera. III. Registro de incidencias. IV. Identificación autentificación. y V. Control de acceso, gestión de soportes y copias de respaldo y recuperación. VI. Análisis de riesgos. IX. Registro de telecomunicaciones. acceso y X. Los mecanismos de monitoreo y revisión de las medidas de seguridad. VII. Análisis de brecha. XI. El plan de trabajo. VIII. Responsable de seguridad. XII. El programa capacitación. general de Arts. 27 y 28

Vulneración a la seguridad Además de las señaladas por las leyes y normatividad aplicable, se considerarán como vulneraciones a la seguridad, en cualquier fase del tratamiento de datos, al menos las siguientes: I. La pérdida o destrucción no autorizada. II. El robo, extravío o copia no autorizada. III. El uso, acceso o tratamiento no autorizado. IV. El daño, alteración o modificación no autorizada. En caso de que ocurra una vulneración a la seguridad, el responsable deberá analizar las causas por las cuales se presentó e implementar en su plan de trabajo las acciones preventivas y correctivas para evitar que la vulneración se repita. Arts. 30, 31

Vulneración a la seguridad El responsable deberá llevar una bitácora de las vulneraciones a la seguridad en la que se describa ésta, la fecha en la que ocurrió, el motivo de ésta y las acciones correctivas implementadas de forma inmediata y definitiva. Art. 32

Vulneración a la seguridad El responsable deberá informar sin dilación alguna al titular, y al Instituto, en cuanto se confirme que ocurrió la vulneración y realizará las acciones necesarias para la revisión exhaustiva de la magnitud de la afectación. El responsable deberá informar al titular al menos lo siguiente: I. La naturaleza del incidente. II. Los datos personales comprometidos. III. Los derechos del titular que pueda adoptar para proteger sus datos. IV. Las acciones correctivas realizadas de forma inmediata. V. Los medios donde puede obtener más información al respecto. Arts. 33 y 34

Tema VI Sistemas de datos personales

Tipos de sistemas de datos personales Físicos: Están contenidos en registros manuales, impresos, sonoros, magnéticos, visuales u holográficos, estructurado conforme a criterios específicos relativos a personas físicas que permitan acceder sin esfuerzos desproporcionados a sus datos personales. Automatizados: Conjunto ordenado de datos de carácter personal que permita acceder a la información relativa a una persona física utilizando una herramienta tecnológica.

Creación, Modificación y Supresión de un SDP El titular del sujeto obligado determinará la creación, modificación o supresión de los SDP, los cuales, tienen como finalidad cumplir con la transparencia, responsabilidad y licitud en el tratamiento de datos personales. Cada SO publicará en la GO de la Ciudad de México la creación, modificación o supresión de sus SDP. g) Nivel de seguridad y mecanismos de protección a) Finalidad b) Personas o grupos suministradores de datos Dicha publicación debe contener por lo menos, los siguientes elementos: f) Procedimiento para ejercer derechos ARCO c) Estructura básica del SDP d) Instancias responsables del tratamiento del SDP e) Áreas en las que se pueden ejercer los derechos ARCO Arts. 36 y 37

Registro de sistema de datos personales El Instituto habilitará un registro de SDP, donde los sujetos obligados inscribirán los sistemas bajo su custodia y protección. El registro debe contemplar como mínimo lo siguiente: I. Nombre y cargo del titular del sujeto obligado como responsable del tratamiento y los usuarios. IV. Formas de recabación, pertinencia, proporcionalidad y calidad de los datos. VII. Ciclo de vida de los datos personales y tiempos de conservación. II. Finalidad tratamiento. V. Las posibles transferencias. VIII. Medidas de seguridad. VI. Modo de interrelacionar información registrada. Queda prohibida la creación de SDP que tengan como finalidad exclusiva tratar datos personales sensibles. o finalidades del III. Naturaleza de los datos personales contenidos en cada sistema. la Arts. 38 y 39

Supresión de un SDP (lineamiento 9) El acuerdo en el que se dicte la supresión de un sistema de datos personales, debe indicar: El destino de los datos ahí contenidos. Medidas previstas para su destrucción. Publicarlo en la GODF al menos 30 días hábiles previos.

Tema VII Procedimiento derechos ARCO

Derechos ARCO El titular o su representante legal podrán ejercer los derechos de Acceso, Rectificación, Cancelación y/u Oposición al tratamiento de sus DP en posesión de los SO, siendo derechos independientes, sin que el ejercicio de alguno de ellos sea requisito previo o impida el ejercicio de otro. El titular tiene derecho a solicitar y ser informado sobre sus datos personales que estén en posesión del sujeto obligado. El titular tendrá derecho a solicitar la rectificación de sus datos personales cuando sean inexactos. Solicitud del titular cuando se dé un tratamiento a los datos personales en contravención a lo dispuesto por la Ley o los datos personales hayan dejado de ser necesarios. El titular tendrá derecho en todo momento a oponerse al tratamiento de sus datos personales para una o varias finalidades. Arts. 41 -45

Ejercicio derechos ARCO Para el ejercicio de los derechos ARCO será necesario acreditar la identidad del titular y, en su caso, la identidad y personalidad con la que actúe el representante, a través de carta poder simple suscrita ante dos testigos anexando copia de las identificaciones de los suscriptores. El ejercicio de los derechos ARCO por persona distinta a su titular o representante, será posible excepcionalmente, en aquellos supuestos previstos por disposición legal, o en su caso, por mandato judicial. El ejercicio de los derechos ARCO de menores de edad se hará a través del padre, madre o tutor. Art. 47

Ejercicio derechos ARCO En el caso de personas que se encuentren en estado de interdicción o incapacidad, de conformidad con las leyes civiles, se estará a las reglas de representación dispuestas en la legislación en la materia. Tratándose de datos personales concernientes a personas fallecidas, la protección de datos personales no se extingue, por lo tanto el ejercicio de derechos ARCO lo podrá realizar la persona que acredite un interés jurídico o legítimo, el heredero o el albacea de la persona fallecida, de conformidad con las leyes aplicables, o bien, exista un mandato judicial para dicho efecto. Art. 47

Vías para presentar una solicitud derechos ARCO Verbal Electrónica Escrito Los tres medios más empleados son: INFOMEXDF, TELINFODF y en la UT.

Requisitos para la solicitud de derechos ARCO I. Nombre del titular y su domicilio o cualquier otro medio para recibir notificaciones II. Documentos que acrediten la identidad del titular y, en su caso, la personalidad e identidad de su representante III. De ser posible, el área responsable que trata los datos personales IV. Descripción clara y precisa de los datos personales respecto de los que se busca ejercer algunos de los derechos ARCO V. La descripción del derecho ARCO que se pretende ejercer, o bien, lo que solicita el titular VI. Cualquier otro elemento o documento que facilite la localización de los datos personales, en su caso. Art. 50

Tratándose de una solicitud de acceso a datos personales, el titular deberá señalar la modalidad en la que prefiere que éstos se reproduzcan, y el responsable deberá atender la solicitud en la modalidad requerida, salvo que exista una imposibilidad física o jurídica que limite su reproducción. Procederá el derecho de rectificación de datos del titular, en los SDP, cuando tales datos resulten inexactos o incompletos, inadecuados o excesivos, siempre y cuando no resulte imposible o exija esfuerzos desproporcionados. Con relación a una solicitud de cancelación, el titular deberá señalar las causas que lo motiven a solicitar la cancelación o supresión de sus datos en los archivos, expedientes, registros, bases de datos o sistemas de 1 datos personales en posesión del sujeto obligado. En el caso de la solicitud de oposición, el titular deberá manifestar las causas o situación específica que lo llevan a solicitar el cese en el tratamiento, así como el daño o perjuicio que le causaría la persistencia del tratamiento, o en su caso, las finalidades específicas respecto de las cuales requiere ejercer el derecho de oposición. Art. 50

Procedimiento para ejercer los Derechos ARCO Solicitud Gestiona a través de sistema INFOMEX ¿Solicitud es clara? No Sí 5 días ¿Somos competentes? Sí No Prevención 10 días 3 días Solicitante desahoga la prevención Informar al solicitante y en su caso, orientarlo hacia el SO competente No Se tiene por no presentada Sí Turna a unidades administrativas competentes para contar con la información Arts. 50 y 51

Procedimiento para ejercer los Derechos ARCO Respuesta Acceso Notifica la existencia de una respuesta Entrega los datos 15 días hábiles Sólo en OIP 30 días hábiles En cualquiera de los medios señalados Rectificación , cancelación y oposición Notifica la procedencia 15 días hábiles Previa acreditación dentro de 10 días procede a rectificar. Bloquea el dato. Sólo en OIP Negativa Respuesta fundada y motivada firmada por el responsable del sistema y el titular de la UT 15 días hábiles No localización Artículo 32 Acta circunstanciada Improcedencia Artículo 36 y 12 Art. 32

Tema VIII Responsables

Responsables Para efectos de la presente Ley, los responsables en materia de protección de datos personales en posesión de los sujetos obligados serán: Comité de Transparencia Unidad de Transparencia Arts. 75 y 76

Funciones Comité de Transparencia I. Coordinar, supervisar y realizar las acciones necesarias para garantizar el derecho a la protección de los datos personales en la organización de cada sujeto obligado. II. Instituir procedimientos internos para asegurar la mayor eficiencia en la gestión de las solicitudes para el ejercicio de los derechos ARCO. III. Confirmar, modificar o revocar las solicitudes de derechos ARCO en las que se declare la inexistencia de los datos personales. IV. Establecer y supervisar la aplicación de criterios específicos que resulten necesarios para una mejor observación de la presente Ley. V. Supervisar, en coordinación con las áreas o unidades administrativas competentes, el cumplimiento de las medidas, controles y acciones previstas en el documento de seguridad. VI. Establecer programas de capacitación y actualización para los servidores públicos en materia de protección de datos personales. VII. Dar vista al órgano interno de control o instancia equivalente en aquellos casos en que tenga conocimiento, en el ejercicio de sus atribuciones, de una presunta irregularidad respecto de determinado tratamiento de datos personales, particularmente con los relacionados a la declaración de inexistencia que realicen los responsables. Art. 75

Atribuciones Unidad de Transparencia I. Auxiliar y orientar al titular que lo requiera con relación al ejercicio del derecho a la protección de datos personales. II. Gestionar las solicitudes para el ejercicio de los derechos ARCO. VI. Aplicar instrumentos de evaluación de calidad sobre la gestión de las solicitudes para el ejercicio de los derechos ARCO. VII. Asesorar a las áreas del sujeto obligado en materia de protección de datos personales. III. Establecer mecanismos para asegurar que los datos personales sólo se entreguen a su titular o su representante debidamente acreditados. IV. Informar al titular o su representante el monto de los costos a cubrir por la reproducción y envío de los datos personales. V. Proponer al Comité de Transparencia los procedimientos internos que aseguren y fortalezcan mayor eficiencia en la gestión de las solicitudes para el ejercicio de los derechos ARCO. VIII. Registrar ante el Instituto los sistemas de datos personales, así como su modificación y supresión. IX. Hacer las gestiones necesarias para el manejo, mantenimiento, seguridad y protección de los sistemas de datos personales en posesión del responsable. Art. 76

Sobre el órgano garante a nivel local El INFODF es el órgano encargado de dirigir y vigilar el cumplimiento de la presente Ley, así como de las normas que de ella deriven, será la autoridad encargada de garantizar la protección y tratamiento correcto y lícito de datos personales. Art. 78

Atribuciones del Instituto I. Conocer, sustanciar y resolver los recursos de revisión interpuestos por los titulares, en términos de lo dispuesto en la presente Ley. II. Presentar petición fundada al INAI, para que conozca los recursos de revisión que por su interés y trascendencia así lo ameriten. III. Imponer las medidas de apremio para asegurar el cumplimiento de sus resoluciones. IV. Promover y difundir el ejercicio del derecho a la protección de datos personales. V. Coordinarse con las autoridades competentes para que las solicitudes para el ejercicio de los derechos ARCO y los recursos de revisión que se presenten en lenguas indígenas, preferentemente sean atendidos en la misma lengua. VI. Garantizar, en el ámbito de sus respectivas competencias, condiciones de accesibilidad para que los titulares que pertenecen a grupos vulnerables puedan ejercer en igualdad de circunstancias, su derecho a la protección de datos personales. VII. Elaborar y publicar estudios e investigaciones para difundir y ampliar el conocimiento sobre la materia de la presente Ley. Art. 78

Atribuciones del Instituto IX. Vigilar, en el ámbito de su competencia, el cumplimiento de la presente Ley y demás disposiciones que resulten aplicables en la materia. X. Llevar a cabo acciones y actividades que promuevan el conocimiento del derecho a la protección de datos personales, así como se sus prerrogativas. XI. Aplicar indicadores y criterios para evaluar el desempeño de los responsables respecto del cumplimiento de la presente Ley. XII. Promover la capacitación y actualización en materia de protección de datos personales entre los responsables. XIV. Administrar, en el ámbito de sus competencias, la Plataforma Nacional de Transparencia. XIII. Cooperar con otras autoridades de supervisión y organismos nacionales e internacionales, a efecto de coadyuvar en materia de protección de datos personales, de conformidad con las disposiciones previstas en la presente Ley. XV. Emitir, en su caso, las recomendaciones correspondientes a la evaluación de impacto en protección de datos personales que les sean presentadas. XVI. Realizar el registro de los sistemas de datos personales en posesión de los sujetos obligados de la Ciudad de México Art. 78

Atribuciones del Instituto XVII. Establecer en su ámbito de competencia, políticas y lineamientos para el manejo, tratamiento y protección de los SDP que estén en posesión de sujetos obligados, así como expedir aquellas normas que resulten necesarias para el cumplimiento de esta Ley. XVIII. Diseñar y aprobar los formatos de solicitudes de acceso, rectificación, cancelación y oposición a datos personales. XIX. Verificar el registro de los mecanismos para garantizar los niveles de seguridad aplicables a los sistemas de datos personales en posesión de los sujetos obligados XX. Solicitar y evaluar los informes presentados por los sujetos obligados respecto de la protección de datos personales y del ejercicio de los derechos previstos en la presente Ley. Este informe se incluirá en el Informe que el Instituto presentará al Congreso de la Ciudad de México e incluirá al menos lo siguiente: a) Número de solicitudes de acceso, rectificación, cancelación y oposición de DP presentadas ante cada responsable, así como su resultado. b) El tiempo de respuesta a la solicitud. c) El estado de las medidas de apremio promovidas por el Instituto. d) El uso de recursos públicos en el ejercicio de los derechos en materia de la presente Ley. e) Las acciones desarrolladas f) Los indicadores de gestión g) El impacto de su actuación. Art. 78

Atribuciones del Instituto XXI. Evaluar las políticas, acciones y el cumplimiento de los principios de la presente Ley por parte de los responsables mediante la verificación periódica. XXIII. Las demás que le confiera la presente Ley y demás ordenamientos aplicables. XXII. Interponer acciones de inconstitucionalidad en contra de leyes expedidas por el Congreso de la Ciudad de México que vulneren el derecho a la protección de datos personales. Art. 78

Tema IX Procedimientos de impugnación

Recurso de revisión Toda persona podrá interponer, por sí o a través de su representante legal, el recurso de revisión, mediante escrito libre o a través de los formatos establecidos por el Instituto o por medio del sistema habilitado para tal fin. Dentro de los 15 días hábiles siguientes contados a partir de: II. El vencimiento del plazo para la entrega I. La notificación de la respuesta a su de la respuesta de la solicitud de acceso, rectificación, cancelación u oposición a datos personales, cuando dicha respuesta no hubiere sido entregada. Art. 83

Recurso de revisión Podrá interponerse de manera directa, por correo certificado o por medios electrónicos, ante el Instituto, o ante la Unidad de Transparencia del sujeto obligado que haya dado respuesta a la solicitud de acceso, rectificación, cancelación u oposición a datos personales. Art. 82

El recurso de revisión procederá en contra de: I. La inexistencia de los datos personales. V. La negativa al acceso, rectificación, cancelación u oposición de datos personales. VIII. Los costos de reproducción o tiempos de entrega de los datos personales. II. La declaración de incompetencia por el sujeto obligado. III. La entrega de datos personales incompletos. VI. La falta de respuesta a una solicitud de acceso, rectificación, cancelación u oposición de datos personales dentro de los plazos establecidos en la presente Ley. IX. La obstaculización del ejercicio de los derechos ARCO, a pesar de que fue notificada la procedencia de los mismos. IV. La entrega de datos personales que no corresponden con lo solicitado. VII. La entrega o puesta a disposición de datos personales en una modalidad o formato distinto al solicitado, o en un formato incomprensible. X. La falta de trámite a una solicitud para el ejercicio de los derechos ARCO. Art. 90

El recurso de revisión debe contener lo siguiente: I El sujeto obligado ante quien se presentó la solicitud para el ejercicio de los derechos ARCO. IV El acto o resolución que se recurre, así como las razones o motivos de inconformidad. II III El nombre del titular que recurre o su representante así como el domicilio o medio que señale para recibir notificaciones. La fecha en que fue notificada la respuesta del titular, o bien, en caso de falta de respuesta, la fecha de presentación de la solicitud para el ejercicio de los derechos ARCO. V En su caso, copia de la respuesta que se impugna y de la notificación correspondiente. VI Los documentos que acrediten la identidad del titular y, en su caso, la personalidad e identidad de su representante. Art. 92

Las resoluciones del Instituto podrán: I. Sobreseer o desechar el recurso de revisión. II. Confirmar la respuesta del responsable. III. Revocar o modificar la respuesta del responsable. IV. Ordenar al responsible que atienda la solicitud de derechos ARCO, en caso de omission. Art. 99

Recurso de inconformidad: El recurso de inconformidad procede contra las resoluciones emitidas por el Instituto que: III. Declaren la negativa de datos personales, es decir: I. Clasifiquen los datos personales sin que se cumplan las características señaladas en las leyes que resulten aplicables. II. Determinen la inexistencia de datos personales. a) Se entreguen datos personales incompletos. b) Se entreguen datos personales que no correspondan con los solicitados. c) Se niegue el acceso, rectificación, cancelación u oposición de datos personales. d) Se entregue o ponga a disposición datos personales en un formato incomprensible. e) El titular se inconforme con los costos de reproducción, envío, o tiempos de entrega de los datos personales. f) Se oriente a un trámite específico que contravenga lo dispuesto por el art. 54 de la presente Ley. Art. 109

Tema X Medidas de apremio y sanciones

Medidas de apremio El Instituto podrá imponer las siguientes medidas de apremio para asegurar el cumplimiento de sus determinaciones: I. La amonestación pública II. La multa, equivalente a la cantidad de ciento cincuenta hasta mil quinientas veces el valor diario de la Unidad de Medida y Actualización. El incumplimiento de los sujetos obligados será difundido en los portales de transparencia del Instituto y considerados en la evaluaciones que realicen. Las medidas de apremio de carácter económico no podrán ser cubiertas con recursos públicos. Art. 117

Medidas de apremio Para calificar las medidas de apremio, el Instituto deberá considerar: I. La gravedad de la falta del responsable, determinada por elementos tales como el daño causado, los indicios de intencionalidad, la duración del incumplimiento de las determinaciones del Instituto y la afectación al ejercicio de sus atribuciones. II. La condición económica del infractor. III. La reincidencia. Art. 121

Causas para hacerse acreedor a una sanción Serán causas de sanción por incumplimiento de las obligaciones establecidas en la materia de la presente Ley las siguientes: I. Actuar con negligencia, dolo o mala fe durante la sustanciación de las solicitudes para el ejercicio de los derechos ARCO. II. Incumplir los plazos de atención previstos en la presente Ley para responder las solicitudes para el ejercicio de los derechos ARCO. III. Usar, sustraer, divulgar, ocultar, alterar, mutilar, destruir o inutilizar, total o parcialmente de manera indebida datos personales que se encuentren bajo su custodia o a los cuales tengan acceso o conocimiento con motivo de su empleo, cargo o comisión. IV. Dar tratamiento, de manera intencional, a los datos personales en contravención a los principios y deberes establecidos en la presente Ley. V. No recabar el consentimiento del titular, lo que constituye que el tratamiento sea lícito, o no contar con el aviso de privacidad, o bien tratar de manera dolosa o con engaños datos personales y las demás disposiciones aplicables en la materia. VI. Incumplir el deber de confidencialidad establecido en la presente Ley. Art. 127

Causas para hacerse acreedor a una sanción VII. No establecer las medidas de seguridad en los términos que establece la presente Ley. XI. Crear bases de datos personales o sistemas de datos personales en contravención a lo dispuesto por el artículo 5 de la presente Ley. VIII. Presentar vulneraciones a los datos personales por la falta de implementación de medidas de seguridad. XII. No acatar las resoluciones emitidas por el Instituto. IX. Llevar a cabo la transferencia de datos personales, en contravención a lo previsto en la presente Ley. X. Obstruir los actos de verificación de la autoridad. XIII. Omitir la entrega del informe anual y demás informes o bien, entregarlo de manera extemporánea. Art. 127

Correo: capacitacion. udet@gmail. com Tel: 50381700 Ext. 1790 GRACIAS