Escolar Documentos
Profissional Documentos
Cultura Documentos
DATOS
MEXICO
Con fundamento en los artculos 34 fracciones XXIII y XXXI de la Ley Orgnica de
la Administracin Pblica Federal; 43 fraccin V y 44 de la Ley Federal de
Proteccin de Datos Personales en Posesin de los Particulares; 82, 83, 84, 85 y
86 del Reglamento de la Ley Federal de Proteccin de Datos Personales
en Posesin de los Particulares; 5 fraccin XVI del Reglamento Interior de la
Secretara de Economa, y
CONSIDERANDO
Que la Ley Federal de Proteccin de Datos Personales en Posesin de los
Particulares (en adelante Ley de Datos) regula el tratamiento legtimo, controlado
e informado de los datos personales que obren en posesin de particulares,
garantizando la privacidad y el derecho a la autodeterminacin informativa de
las personas y a su vez, establece que la misma constituir el marco normativo
que las dependencias debern observar para la emisin de la regulacin que
corresponda, en el mbito de sus atribuciones y con la coadyuvancia del Instituto
Federal de Acceso a la Informacin y Proteccin de Datos.
Que a su vez, la Ley de Datos establece que las personas fsicas y morales
pueden convenir entre ellas o con organizaciones civiles o gubernamentales,
nacionales o extranjeras, esquemas de autorregulacin vinculante en materia de
proteccin de datos personales mediante el cumplimiento con lo dispuesto por
la propia Ley de Datos, su Reglamento y dems disposiciones aplicables, y
complementando lo previsto por stos.
Que con la finalidad de crear las bases necesarias para que los particulares
contaran con elementos para la elaboracin, conformacin y aplicacin de los
esquemas de autorregulacin vinculante en materia de proteccin de datos
personales, el 17 de enero de 2013 se publicaron en el Diario Oficial de la
Federacin los Parmetros para el correcto desarrollo de los esquemas de
autorregulacin vinculante a que se refiere el artculo 44 de la Ley Federal de
Proteccin de Datos Personales en Posesin de los Particulares.
Que la autorregulacin vinculante es una actividad a travs de la cual el
responsable, como aquella persona que decide sobre el tratamiento de datos
personales, o el encargado, quien individual o conjuntamente con otras trate datos
personales por cuenta del responsable, se comprometen de manera voluntaria a la
proteccin de stos.
Que los esquemas de autorregulacin vinculante debern considerar los
parmetros que emita la Secretara, en coadyuvancia con el Instituto, as como
contener mecanismos para medir su eficacia en la proteccin de los datos
I. Sealar su denominacin;
II. Sealar el nombre completo, denominacin o razn social de los responsables
o encargados adheridos al esquema;
III. Especificar el sector o la actividad a la que aplica;
IV. Describir el alcance del esquema en cuestin, de acuerdo con el
numeral anterior;
V. Describir el mbito personal de aplicacin, es decir, el tipo o grupo de titulares
cuyos datos personales estn vinculados con el tratamiento al que aplica el
esquema de autorregulacin;
VI. Desarrollar e implementar un SGDP;
VII. Documentarse y desarrollarse en idioma espaol, y
VIII. Proporcionar datos de contacto o un medio habilitado para que los
interesados conozcan ms acerca del esquema.
Objetivo del SGDP para la proteccin de los datos personales
15. El SGDP al que refiere la fraccin VI del numeral anterior tendr como objetivo
proveer a los responsables y encargados autorregulados de los elementos y
actividades de direccin, operacin y control de sus procesos, que les permitan
proteger de manera sistemtica y continua los datos personales que estn en su
posesin.
Fases del SGDP
16. El SGDP deber desarrollar las siguientes cuatro fases: planificar, hacer,
verificar y actuar, de acuerdo con lo descrito en la tabla siguiente:
PROCES
O
Elemento
del SG
Metas
Medios de Hacer
accin
Verificar
Actuar
23. Para asegurar que la debida gestin de datos personales sea parte de los
valores centrales del responsable o encargado, ste deber:
I. Proporcionar a sus miembros capacitacin continua y programas de
sensibilizacin con relacin a la proteccin de los datos personales y el SGDP;
II. Establecer un proceso para la evaluacin de la efectividad de la capacitacin y
los programas de sensibilizacin;
III. Comunicar a todo el personal la importancia de:
a)
b)
c)
IV. Asegurar que todos sus miembros estn sensibilizados de su contribucin para
alcanzar los objetivos del SGPD y las consecuencias de las no conformidades, y
V. Prever mecanismos de reporte de asuntos relevantes a los niveles superiores.
Elaborar un inventario de datos personales
24. El responsable o encargado deber elaborar, y mantener actualizado, un
inventario de los datos personales que trate, o de sus categoras, y de las
finalidades de su tratamiento. Asimismo, se deber documentar el flujo de los
datos personales dentro del responsable o encargado, incluyendo la obtencin,
uso, divulgacin, transferencias, almacenamiento, bloqueo y cancelacin, e
identificando las reas del responsable o encargado que utilizan los datos
personales en las distintas fases del tratamiento.
Realizar anlisis de riesgos
25. El responsable o encargado deber implementar un procedimiento para
identificar riesgos y evaluar el grado de riesgo asociado a cada tratamiento de
datos personales que realiza por s mismo o a travs de un encargado, de
conformidad con lo que establece el Captulo III del Reglamento y las
Recomendaciones en materia de Seguridad de Datos Personales emitidas por el
Instituto.
El responsable o encargado deber gestionar los riesgos identificados para mitigar
la posibilidad de cualquier vulneracin a los datos personales.
Capacitar al personal encargado
26. El responsable o encargado deber asegurar que el personal designado para
estar a cargo del cumplimiento cotidiano del SGDP y la poltica tenga competencia
en el conocimiento de la Ley, su Reglamento y dems normativa y buenas
prcticas aplicables, as como que dicho personal se mantenga informado y
actualizado sobre cuestiones relacionadas con el tratamiento de datos personales.
Asimismo, el responsable o encargado deber asegurarse de que este personal
entienda sus funciones yresponsabilidades para que los datos personales sean
tratados de conformidad con los procedimientos preestablecidos.
Para lo anterior, este personal deber recibir la capacitacin que resulte necesaria
para la debida realizacin de sus funciones.
Desarrollar e implementar procedimientos especficos en materia de datos
personales
27. El responsable o encargado deber desarrollar e implementar procedimientos
especficos para:
I. El tratamiento de datos personales bajo los principios de licitud, consentimiento,
informacin, calidad, finalidad, lealtad, proporcionalidad y responsabilidad,
previstos en la Ley, su Reglamento y dems normativa aplicable;
II. El tratamiento de datos personales bajo los deberes de seguridad y
confidencialidad, previstos por la Ley, su Reglamento y de dems normativa
aplicable;
III. El cumplimiento de las obligaciones en materia de proteccin de datos
personales previstas por la Ley, su Reglamento y dems normativa aplicable;
IV. La atencin de los derechos de acceso, rectificacin, cancelacin y oposicin,
as como la revocacin del consentimiento, de conformidad con lo previsto por la
Ley, su Reglamento y dems normativa y buenas prcticas aplicables;
V. La atencin a quejas relacionadas con el tratamiento de datos personales;
VI. La transferencia de datos personales de conformidad con lo previsto por la Ley,
su Reglamento y dems normativa y buenas prcticas aplicables;
VII. La regulacin de la relacin con los encargados, de conformidad con lo
previsto por la Ley, su Reglamentos y dems normativa y buenas prcticas
aplicables;
VIII. El adecuado tratamiento de datos personales de categoras especiales de
titulares, tales como menores de edad, personas adultas mayores, personas con
discapacidad, migrantes, y
IX. El desarrollo, implementacin, mantenimiento y mejora continua del SGDP.
En caso de que el SGDP se limite a algn principio, deber u obligacin en
particular, dicho SGDP deber prever y operar procedimientos especficos
relacionados con dicho principio, deber u obligacin y para el desarrollo,
implementacin, mantenimiento y mejora continua del propio SGDP.
Los procedimientos a los que refiere este numeral sern desarrollados por el
personal al que refiere el numeral 21 de los presentes Parmetros, en
coordinacin con las reas competentes.
Actualizar el SGDP
28. El personal al que refiere el numeral 21 de los presentes Parmetros deber
revisar y evaluar de manera peridica si el SGDP y la poltica logran los objetivos
planteados con relacin al cumplimiento de la Ley, su Reglamento y dems
normativa y buenas prcticas aplicables. En caso de que no se logren
dichos objetivos o en atencin a cambios en la normativa, la tecnologa o cualquier
aqul que libremente acuerden las partes o, en su defecto, por las leyes federales
o locales aplicables en la materia.
Las decisiones adoptadas en el mecanismo alternativo de solucin de
controversias debern ser notificadas a las partes.
Con independencia de que las partes decidan someter sus diferencias a un
mecanismo alternativo de solucin de controversias, quedan a salvo sus derechos
para ejercitar las acciones que, en trminos de las disposiciones normativas
aplicables, resulten procedentes.
En especfico, la decisin de someter sus diferencias a un mecanismo alternativo
de solucin de controversias no impide al titular para iniciar el procedimiento de
proteccin de derechos previsto en el Captulo VII de la Ley y VIII del Reglamento,
y no interrumpe el plazo previsto por la Ley para iniciarlo.
El conciliador, mediador o cualquier otro tercero imparcial que intervenga en el
procedimiento deber informar al titular del derecho que le asiste para iniciar el
procedimiento sealado en el prrafo anterior y el plazo que tiene para ello,
precisando que el mismo no se interrumpe si se opta por un mecanismo
alternativo de solucin de controversias.
Principios de los mecanismos alternativos de solucin de controversias
40. En todo caso, los procedimientos de negociacin, mediacin, conciliacin o
cualquier otro adoptado dentro de un esquema de autorregulacin vinculante
debern cumplir con los siguientes principios:
I. Accesibilidad: Los mecanismos alternativos de solucin de controversias
debern estar disponibles a los titulares de los datos personales, promoviendo el
conocimiento sobre su existencia, su funcionamiento, costo, si lo hubiere, y las
ventajas que implica su adopcin;
II. Imparcialidad: El tercero que implementar el mecanismo alternativo de
solucin de controversias actuar con autonoma y tratar a las partes con
absoluta objetividad, sin que su intervencin se incline hacia alguna de ellas o a
sus intereses;
III. Voluntariedad: Las partes cuentan con plena libertad para decidir si someten
sus diferencias a los mecanismos alternativos de solucin de controversias;
IV. Confidencialidad: Las actuaciones llevadas a cabo dentro de los mecanismos
alternativos de solucin de controversias deben ser reservadas o confidenciales, y
no podrn ser divulgadas por el mediador o conciliador, salvo acuerdo contrario de
las partes o que por disposicin normativa no pueda atriburseles dicha naturaleza;
V. Economa: El procedimiento debe implicar el mnimo de gastos y tiempo para su
desahogo, logrando el arreglo entre las partes;
VI. Claridad: El tercero imparcial debe procurar que el acuerdo al que lleguen las
partes sea comprendido por stos;
45. De acuerdo con la fraccin II del numeral 9 de los presentes Parmetros, los
esquemas con validacin tienen por objeto elevar los estndares de proteccin de
datos personales previstos en la Ley y dems normativa aplicable en la materia,
as como adoptar las mejores prcticas en la materia.
Contenidos mnimos de esquemas aplicables a grupos de responsables o
encargados
46. En caso de que el esquema con validacin sea aplicable a un grupo de
responsables o encargados, ste deber, adems de lo previsto en el numeral 14
de los presentes Parmetros:
I. Describir los requisitos y el procedimiento de adhesin al esquema y de
renovacin y terminacin de dicha adhesin;
II. Contar con un administrador;
III. Prever sanciones o medidas correctivas en caso de no conformidades por parte
de los adheridos, y
IV. Describir los medios por los cuales se comunicar a los interesados cualquier
aspecto relacionado con dicho esquema, incluidos las modificaciones del mismo.
Administrador del esquema
47. El administrador es la persona fsica o moral que coordina el desarrollo de
esquemas aplicables a un grupo de responsables o encargados, para lo cual
deber:
I. Ser imparcial y evitar conflicto de intereses en el desempeo de sus funciones;
II. Realizar las gestiones necesarias para notificar ante el Instituto el esquema
aplicable al grupo de responsables o encargados y solicitar su inscripcin en el
Registro, as como notificar las modificaciones o solicitar la baja respectiva;
III. Hacer del conocimiento de los adheridos cualquier cambio que afecte al
esquema de autorregulacin vinculante;
IV. Realizar, por s mismo o a travs de un tercero, los trmites de admisin,
renovacin o terminacin de responsables o encargados y notificarlos al Instituto;
V. Revisar, por s mismo o a travs de un tercero, el cumplimiento del esquema por
parte de los adheridos;
VI. Aplicar, por s mismo o a travs de un tercero, las sanciones y medidas
correctivas a los adheridos que no cumplan con las obligaciones que les sean
exigibles en virtud del esquema de autorregulacin vinculante;
VII. Elaborar, por s mismo o a travs de un tercero, reportes anuales de medicin
de eficacia del esquema de autorregulacin vinculante, y
VIII. Proporcionar la informacin y dems documentacin que le sea requerida por
el Instituto.
El administrador podr desarrollar funciones adicionales a las previstas en el
presente parmetro, incluyendo la promocin del desarrollo o adopcin del
podr ampliarse hasta por un periodo igual cuando existan razones que lo
justifiquen, siempre y cuando stas le sean notificadas al solicitante.
Vigencia de la validacin de un esquema
52. El reconocimiento de un esquema de autorregulacin vinculante distinto de la
certificacin por parte del Instituto, estar vigente hasta en tanto no se actualice
alguna condicin prevista para su baja.
Captulo IV
De la certificacin en materia de proteccin de datos personales
Seccin I
Disposiciones generales
Objeto de la certificacin en materia de proteccin de datos personales
53. La certificacin en materia de proteccin de datos personales tiene por objeto
que las personas acreditadas como organismos de certificacin determinen la
conformidad o grado de cumplimiento de los esquemas, y de su implementacin,
as como prcticas y herramientas tecnolgicas que adopten los responsables y
encargados con relacin a la Ley, su Reglamento, los presentes Parmetros y
dems normativa aplicable a la materia, as como de estndares y mejores
prcticas que decidan adoptar.
Certificaciones en materia de proteccin de datos personales
54. Las certificaciones en el marco de los presentes Parmetros sern otorgadas
por organismos de certificacin que hayan sido acreditados para tal fin por parte
de una entidad de acreditacin autorizada por la Secretara de Economa, en
trminos de lo dispuesto por la Ley sobre Metrologa.
Normativa aplicable para el sistema de certificacin en materia de proteccin
de datos personales.
55. Las entidades de acreditacin y los organismos de certificacin que operen
bajo el sistema de certificacin previsto en este captulo debern observar lo
dispuesto por la Ley sobre Metrologa y, en lo que resulte aplicable, los presentes
Parmetros y dems normativa aplicable en la materia.
Contenidos de esquemas con certificacin reconocida
56. Los esquemas con certificacin reconocida debern cumplir con los contenidos
establecidos en el numeral 14 de los presentes Parmetros para su
reconocimiento e inscripcin en el Registro.
Alcances de la certificacin
57. La certificacin en materia de proteccin de datos personales podr tener
cualquiera de los siguientes alcances:
I. Total: cuando se evale la conformidad de un esquema y su implementacin
respecto de todos (i) los principios, (ii)deberes y (iii) obligaciones previstas en la
Reconocimiento de acreditaciones
68. El reconocimiento de las acreditaciones otorgadas a organismos de
certificacin en materia de proteccin de datos se har a travs de la inscripcin
de los mismos en el Registro.
Para la inscripcin en el Registro a que se refiere el prrafo anterior, ser
necesario que las entidades de acreditacin notifiquen al Instituto aquellas
acreditaciones que otorgue a organismos de certificacin en materia de proteccin
de datos personales.
Contenido de las notificaciones sobre acreditaciones al Instituto
69. Todas las notificaciones que realicen las entidades de acreditacin al Instituto
debern ir acompaadas de la siguiente informacin:
I. Domicilio de la entidad de acreditacin para or y recibir notificaciones;
II. El nombre, nmero de acreditacin y logotipo del organismo de certificacin
acreditado;
III. La informacin sobre las oficinas del organismo de certificacin que se
encuentran amparadas por la acreditacin en particular;
IV. La fecha efectiva de otorgamiento de la acreditacin;
V. Descripcin del alcance de la acreditacin;
VI. Constancia de Acreditacin, y
VII. El vnculo al sitio de Internet o cualquier otro medio a travs del cual el
organismo de certificacin publique la informacin prevista en el numeral 76 de los
presentes Parmetros.
En caso de que la notificacin realizada por la entidad de acreditacin verse sobre
la suspensin o la cancelacin de la acreditacin de un organismo de certificacin,
adems de la informacin anterior, ste deber manifestar al Instituto la razn por
la cual suspendi o cancel dicha acreditacin.
Constancia de acreditacin
70. Las entidades de acreditacin deben proporcionar una constancia de
acreditacin al organismo de certificacin acreditado, misma que deber contener,
al menos, la siguiente informacin:
I. El nombre y el logotipo de la entidad de acreditacin;
II. El nombre, nmero de acreditacin y logotipo del organismo de certificacin;
III. La informacin de las oficinas que se encuentran amparadas por la constancia
de acreditacin;
IV. La fecha de expedicin de la constancia de acreditacin y la vigencia de la
misma;
V. Descripcin del alcance de la acreditacin, y
El alcance de la acreditacin;
e)
La constancia de acreditacin;
b)
c)
d)
e)
El certificado;
La informacin a que refiere este artculo deber publicarse de forma tal que
facilite el acceso a la misma, su uso y comprensin. Con excepcin de la
informacin que se encuentre clasificada como reservada o confidencial con
fundamento en la Ley Federal de Transparencia y Acceso a la Informacin
Pblica Gubernamental, el Instituto podr determinar procedente el acceso y
difusin a otra informacin no prevista en el presente numeral que forme parte del
Registro.
Medio para dar publicidad a la informacin contenida en el Registro
89. La publicidad de la informacin a la que refiere el parmetro anterior se llevar
a cabo a travs del medio que el Instituto determine adecuado para ello,
procurando tener la informacin disponible en medio electrnico.
TRANSITORIOS
PRIMERO. Los presentes Parmetros entrarn en vigor el da siguiente al de su
publicacin en el Diario Oficial de la Federacin.
SEGUNDO. Se abrogan los Parmetros para el correcto desarrollo de los
esquemas de autorregulacin vinculante a que se refiere el artculo 44 de la Ley
Federal de Proteccin de Datos Personales en Posesin de los Particulares,
publicados en el Diario Oficial de la Federacin el 17 de enero de 2013.
TERCERO. Las Reglas de Operacin del Registro a que se refiere el numeral 50,
sern publicadas por el Instituto dentro de los nueve meses siguientes a la entrada
en vigor de los presentes Parmetros.
CUARTO. El Instituto comenzar a dar trmite a las solicitudes de validacin y
reconocimiento de mecanismos de autorregulacin vinculante y pondr en
operacin el Registro al mes siguiente a la entrada en vigor de las Reglas de
Operacin del Registro.