Manual Da To S Personal Es

Coleccin Capacitacin a Distancia
05
LEY DE PROTECCIN DE DATOS PERSONALES PARA EL DISTRITO FEDERAL
MANUAL DE AUTOFORMACIN SOBRE LA
Instituto de Acceso a la Informacin Pblica y Proteccin de Datos Personales del Distrito Federal
MANUAL DE AUTOFORMACIN SOBRE LA LEY DE PROTECCIN DE DATOS PERSONALES PARA EL DISTRITO FEDERAL
DIRECTORIO
Oscar M. Guerra Ford Comisionado Ciudadano Presidente Jorge Bustillos Roque Comisionado Ciudadano Areli Cano Guadiana Comisionada Ciudadana Salvador Guerrero Chiprs Comisionado Ciudadano Agustn Milln Gmez Comisionado Ciudadano
AUTORA DEL TEXTO
Mariana Cendejas Juregui
COORDINACIN
Ma. de los ngeles Hernndez Snchez

Directora de Capacitacin y Cultura de la Transparencia
EQUIPO TCNICO
Sonia Barrera Garca Dulce Ma. Jara Reyes
DR 2009, Instituto de Acceso a la Informacin Pblica y Proteccin de Datos Personales del Distrito Federal. Direccin de Capacitacin y Cultura de la Transparencia. La Morena No. 865, Local 1, Col. Narvarte Poniente, Del. Benito Jurez, C. P. 03020, Mxico, Distrito Federal. Plaza de la Transparencia. Reimpresin, noviembre 2011. ISBN: 978-607-95070-0-8. Ejemplar de distribucin gratuita. Prohibida su venta. Impreso y hecho en Mxico. Las opiniones vertidas en este documento son responsabilidad de su autora. Fotografa de familia en portada: Benjamin Earwicker.
pgina pgina pgina pgina
7 13 15 21
Presentacin Objetivos de aprendizaje Gua del participante
Mdulouno
Conceptos y Definiciones Bsicas

Introduccin Objetivos del mdulo Tema 1. Derecho a la Intimidad Tema 2. Derecho a la Privacidad Tema 3. Qu es un Dato Personal? Tema 4. Proteccin de Datos Personales pgina
37
23 24 24 25 26 30
ndice
Mdulodos
Antecedentes de las Leyes de Proteccin de Datos Personales

57
Introduccin Objetivo del mdulo Tema 1. Antecedentes de las Leyes de Proteccin de Datos Personales en el Contexto Mundial Tema 2. Antecedentes Legislativos en Materia de Proteccin de Datos Tema 3. Breve Resea de la Ley de Proteccin de Datos Personales para el D. F.
39 39 40 42 44
pgina
49
Mdulotres
Aspectos Relevantes de la Ley de Proteccin de Datos Personales para el Distrito Federal (LPDPDF)
Introduccin Objetivos del mdulo Tema 1. La Proteccin de Datos Personales en el D. F. Tema 2. Definiciones Tema 3. Principios Tema 4. Sistemas de Datos Personales Tema 5. Medidas de Seguridad Tema 6. Tratamiento de Datos Personales Tema 7. Obligaciones de los Entes Pblicos Tema 8. Instituto de Acceso a la Informacin Pblica y Proteccin de Datos Personales del Distrito Federal Tema 9. Derechos ARCO y Procedimiento para su Ejercicio Tema 10. Recurso de Revisin Tema 11. Infracciones 51 52 52 54 57 65 75 86 92 94 98 106 110
ndice
139
pgina
117
Anexos
1. Entes Pblicos Obligados del Distrito Federal 2. Ley de Proteccin de Datos Personales para el Distrito Federal (LPDPDF) 3. Lineamientos para la Proteccin de Datos Personales en el Distrito Federal 4. Bibliografa 5. Glosario 6. Notas
119 127 159 191 193 197
Presentacin
E
n la mayora de las relaciones que se establecen en una comunidad, se requiere del intercambio de informacin relacionada con nuestra persona. En el trabajo, en nuestras relaciones personales, para la obtencin de bienes y servicios, en la realizacin de trmites ante las autoridades, entre otros, requerimos proporcionar o intercambiar datos, que nos identifican y que se relacionan con nuestra vida privada. El intercambio de gran cantidad de datos personales que circulan a travs de esta serie de transacciones cotidianas que realizamos, se ha potenciado con el uso de tecnologas de la informacin, por ejemplo, la internet, cuyo crecimiento ha permitido la obtencin y transmisin de grandes bases de datos que almacenan informacin sobre la vida privada de las personas. El almacenamiento masivo de informacin que concierne a las personas, permite potencialmente, la creacin de perfiles que pueden emplearse para un uso diferente para el que fueron proporcionados originalmente o darles un uso inadecuado y con ello provocar injerencias arbitrarias o ilegales en la vida privada, lo que evidencia una nueva amenaza para los derechos de las personas. Esta situacin, ha generado una nueva interpretacin de los derechos y libertades de las personas que contempla esta realidad. Por ello, algunas de las legislaciones nacionales y tambin supranacionales, se dieron a la tarea de reforzar las garantas de los ciudadanos
7
frente a esta amenaza tecnolgica que permite con mayor rapidez y eficiencia, la creacin e intercambio de bases de datos, lo que ha dado como resultado que la proteccin de datos personales haya cobrado mayor relevancia, sobre todo, a travs de la promulgacin de leyes en la materia. La intencin de estas normas no es impedir o dificultar la actividad informtica, fundamental para el desarrollo, sino conciliar el avance tecnolgico con la proteccin y tutela de los derechos y libertades de las personas. En Mxico, nuestra Carta Magna establece que, nadie puede ser molestado en su persona, familia, domicilio, papeles o posesiones, con base en este mandato, se dio inicio a la regulacin de los datos que, sobre las personas, posee el gobierno para el desarrollo de sus funciones. Debemos precisar que la reforma de 2007 al artculo 6 constitucional contiene una referencia expresa a los datos personales como lmite al derecho de acceso a la informacin pblica y que las recientes reformas a los artculos 16 y 73 de nuestra Carta Magna, dotan de autonoma y constitucionalidad al derecho a la proteccin de datos personales, por un lado, y, por otro, otorgan de facultades expresas al Congreso de la Unin para legislar en materia de proteccin de datos personales en posesin de entidades privadas. A nivel federal, hasta ahora carecemos de una ley especfica que regule la proteccin de datos personales en posesin tanto de entidades pblicas como privadas, aunque existen disposiciones que se encuentran dispersas en diversos ordenamientos jurdicos, en particular la Ley Federal de Transparencia y Acceso a la Informacin Pblica, que en su Captulo IV, regula diferentes aspectos que garantizan a los ciudadanos la proteccin de sus datos personales en el mbito de las entidades gubernamentales de la Federacin. A nivel estatal, Guanajuato y Oaxaca tienen leyes especficas en la materia que son aplicables solamente a entes de derecho pblico y en el caso de Morelos existe una Ley de Informacin Pblica, Estadstica y Proteccin de Datos Personales, que al igual que las anteriores, no es aplicable a entes de derecho privado.
Una cuestin que vale la pena destacar es que la nica ley especfica en la materia aplicable tanto al sector pblico como al privado es la de Colima, la cual otorga proteccin a los datos personales en posesin de estos sectores dentro de dicho Estado. En el caso especfico de la Ciudad de Mxico, que es el que nos ocupa en este manual, el 3 de octubre de 2008, se public en la Gaceta Oficial del Distrito Federal, la Ley de Proteccin de Datos Personales para el Distrito Federal (LPDPDF). Esta Ley, se orienta a la regulacin de los entes pblicos, entendidos stos como todas aquellas instituciones que conforman los tres niveles de gobierno, adems, los partidos polticos, asociaciones y agrupaciones polticas; as como aquellos que la legislacin local reconozca como de inters pblico y ejerzan gasto pblico; y los entes equivalentes a personas jurdicas de derecho pblico o privado, ya sea que en ejercicio de sus actividades acten en auxilio de los rganos antes citados o ejerzan gasto pblico: La Asamblea Legislativa del Distrito Federal; el Tribunal Superior de Justicia del Distrito Federal; el Tribunal de lo Contencioso Administrativo del Distrito Federal; el Tribunal Electoral del Distrito Federal; el Instituto Electoral del Distrito Federal; la Comisin de Derechos Humanos del Distrito Federal; la Junta de Conciliacin y Arbitraje del Distrito Federal; la Jefatura de Gobierno del Distrito Federal; las Dependencias, rganos Desconcentrados, rganos Poltico Administrativos y Entidades de la Administracin Pblica del Distrito Federal; los rganos Autnomos por Ley. Es as que, los entes pblicos del Distrito Federal, estn obligados, en principio, a garantizar la confidencialidad de los datos personales que tienen sobre las personas que atienden, por lo que el tratamiento y gestin de este tipo de informacin debe ser, a partir de la promulgacin de esta Ley, bajo los mecanismos y disposiciones que este ordenamiento mandata. Adems de esta Ley, el Distrito Federal cuenta con Lineamientos para la Proteccin de Datos Personales en el Distrito Federal que fueron aprobados por el Pleno del Instituto de Acceso a la Informacin Pblica y Proteccin de Datos Personales del Distrito Federal (InfoDF) y publicados en la Gaceta Oficial el 26 de octubre de 2009. Su finalidad es fortalecer el marco normativo en materia de datos personales y es9
tablecer las directrices y criterios para la aplicacin e implementacin de la Ley de Proteccin de Datos Personales para el Distrito Federal. En este ordenamiento, se establecen: definiciones de conceptos del derecho de proteccin de datos personales; se hace referencia a los sistemas, a la seguridad y tratamiento de los datos personales, as como a las obligaciones de los sujetos obligados en esta materia; se sealan tambin, las atribuciones con que cuenta el InfoDF para garantizar el cumplimiento de la LPDPDF por parte de los entes pblicos, y se establece el procedimiento al que debern sujetarse tanto particulares como los sujetos obligados en el ejercicio de los derechos de Acceso, Rectificacin, Cancelacin y Oposicin (ARCO). Para avanzar en esta ruta, el Instituto de Acceso a la Informacin Pblica y Proteccin de Datos Personales del Distrito Federal, pone a su disposicin este manual de autoformacin a distancia como una ms de las alternativas de capacitacin sobre la Ley y los Lineamientos existentes en materia de Proteccin de Datos Personales para el Distrito Federal. Se trata de una valiosa herramienta de autoformacin, que le permitir conocer de manera simplificada estos ordenamientos, mediante explicaciones puntuales sobre su historia, su estructura, su marco de aplicacin, sus lmites y sus posibilidades. El propsito fundamental del Instituto es ofrecerle un instrumento de capacitacin que usted mismo pueda administrar, razn por la cual decidimos aprovechar las ventajas de la formacin autodidacta. sta es, sin duda, una modalidad en la que usted gozar de entera libertad para avanzar a su propio ritmo en el proceso de aprendizaje. Usted decide cundo comienza y cundo termina. El contenido del manual de autoformacin est organizado en tres mdulos, el primero le aportar un panorama general sobre los conceptos ms importantes que estn alrededor del derecho a la proteccin de datos personales; en el segundo, encontrar informacin sinttica sobre el desarrollo de algunas legislaciones en materia de proteccin de datos personales en el contexto mundial, as como una breve resea histrica de la promulgacin de la Ley y los Lineamientos en el Distrito Federal; y en el mdulo tercero se abordarn los aspectos ms relevantes contenidos en ambos ordenamientos.
10
Esperamos que este manual de autoformacin le sea til a la poblacin para comprender la importancia que tiene el derecho a la proteccin de datos personales, como una condicin para garantizar su derecho a la privacidad, y que a los servidores pblicos, les motive a emprender los cambios que requiere realizar la Administracin Pblica para garantizar a la poblacin la proteccin y el correcto tratamiento de sus datos personales.
11
Objetivos
A
de aprendizaje
l concluir el Manual el participante podr:
UU Comprender la importancia de la proteccin de los datos personales como una condicin que contribuye a garantizar el derecho a la privacidad de las personas. UU Identificar los conceptos y definiciones bsicas que inspiraron la aprobacin de leyes de proteccin de datos personales. UU Tener un conocimiento general de los aspectos ms relevantes que establecen la ley y los lineamientos de datos personales en el D. F. en sus diferentes ttulos y captulos. UU Consultar de forma directa los textos de la Ley y los Lineamientos como apoyo para cualquier proceso relacionado con la proteccin de datos personales y el ejercicio de sus derechos ARCO, ya sea como servidor pblico o como persona interesada en el tema.
13
Gua
B
del participante
Lea la gua completa antes de iniciar
ienvenido al Manual sobre la Ley de Proteccin de Datos Personales para el Distrito Federal. La estructura del manual responde a un plan conductor del aprendizaje que no exige al participante acudir a recursos externos o de mayor profundidad. Es un documento completo con toda la informacin que requieres para la comprensin de la temtica expuesta. Quiz seas un servidor pblico del Gobierno del Distrito Federal, miembro de alguna organizacin de la sociedad civil o una persona que necesita saber cmo acceder a la informacin que sobre su persona tiene el gobierno local. Cualquiera que sea tu caso, te aseguramos que este manual te ayudar a comprender o a encauzar de mejor manera tus necesidades e inquietudes. Te sugerimos que antes de iniciar su capacitacin leas cuidadosamente la Presentacin, los Objetivos de aprendizaje del manual y la presente Gua del participante, esto te ayudar significativamente a conducir tu estudio con mayor efectividad.
Estructura del Manual
15
Estructura del Manual Para facilitar su estudio, el manual est estructurado en tres unidades de aprendizaje que denominamos mdulos: El Mdulo uno, Conceptos y Definiciones Bsicas, explica en cuatro temas los conceptos de derecho a la intimidad, derecho a la privacidad, datos personales y proteccin de datos personales. El Mdulo dos, Antecedentes de las Leyes de Proteccin de Datos Personales, expone en tres temas las ideas bsicas sobre la institucionalizacin del derecho de proteccin de datos personales, as como una resea histrica sobre la Ley de Proteccin de Datos Personales para el D. F. El Mdulo tres, Aspectos Relevantes de la Ley de Proteccin de Datos Personales para el Distrito Federal, entra de lleno en todos los aspectos de la Ley. Incluye 11 temas, a saber: 1) La Proteccin de Datos Personales en el D. F. 2) Definiciones. 3) Principios. 4) Sistemas de Datos Personales. 5) Medidas de Seguridad. 6) Tratamiento de Datos Personales. 7) Obligaciones de los Entes Pblicos. 8) Instituto de Acceso a la Informacin Pblica y Proteccin de Datos Personales del Distrito Federal. 9) Derechos ARCO y Procedimiento para su Ejercicio. 10) Recurso de Revisin. 11) Infracciones.
16
Estructura de los Mdulos As se dividen los temas en los mdulos: UU Ttulo del tema, que te servir como referencia para identificar la temtica especfica que se tratar. UU Introduccin, que te ayudar a prever los conceptos por estudiar en el tema, entender la continuidad con respecto al anterior y prepararte para los contenidos que seguirn. UU Objetivos, que mostrarn de manera puntualizada los objetivos de aprendizaje por alcanzar cuando finalice el estudio del tema. UU Desarrollo del tema, donde hallars explicados, definidos y hasta ejemplificados cada uno de los aspectos a que hace referencia el tema para alcanzar el objetivo de aprendizaje trazado. UU Esquemas e infografa, en cada tema encontrars ilustraciones, grficos y cuadros que te servirn para comprender de una sola vista los conceptos fundamentales del tema y los procesos ms importantes a los que se refiere la Ley. UU Sntesis, que te servir como recapitulacin de lo visto en el tema, con el fin de prepararlo para su paso al siguiente tema de estudio y ofrecerle una ltima base para la autoevaluacin. UU Autoevaluacin, constituida por diversos tipos de cuestionarios en los que podrs verificar, mediante el mtodo de pregunta y respuesta, los conocimientos adquiridos en cada uno de los mdulos. UU Referencias Bibliogrficas, que en su conjunto te ofrecen una pequea coleccin de lecturas recomendadas para profundizar en el estudio de los temas relacionados con la proteccin de los datos personales.
17
Finalmente te presentamos un grupo de anexos que incluye, entre otros temas, una relacin de entes pblicos, un glosario de trminos y el texto ntegro de la Ley de Proteccin de Datos Personales para el Distrito Federal y de los Lineamientos. Recomendaciones de estudio ste es un manual muy sencillo, breve y puntual en sus exposiciones. Sin embargo, te sugerimos tener en cuenta las siguientes recomendaciones de uso: 1. El aprendizaje depende de ti exclusivamente. No debes olvidarlo, ya que no dispondrs de tutor o gua a lo largo del curso. Ms que una desventaja, esta ausencia te representa un enorme beneficio, pues podrs: UU Estudiar a tu propio ritmo. UU Dedicarle al estudio el tiempo que dispongas. UU Estudiar donde te plazca y cuando puedas. UU Repasar una y otra vez los temas. UU Motivarte a consultar informacin adicional. UU Resolver las autoevaluaciones cuantas veces sea necesario, hasta que ests satisfecho con tu aprendizaje. 2. Analiza el siguiente orden de estudio y si te resulta til aplcalo. 1. Lee la introduccin del tema que vayas a estudiar. 2. Da un vistazo a cada uno de los esquemas. Trata de comprenderlos an sin haber ledo el texto. 3. Lee con calma el texto de desarrollo del tema. Contina la lectura hasta que comprendas a cabalidad los prrafos ledos. 4. Anota los puntos ms importantes de cada tema. Reflexiona sobre ellos antes de continuar. 5. Autoevalate con los cuestionarios que incluimos.
18
Cuando hayas cubierto el estudio de todos los temas y alcanzado todos los aciertos en todas las autoevaluaciones, entonces habrs concluido este cursomanual. Felicidades! Si ya concluiste el curso a travs de este Manual de Autoformacin y deseas obtener una Constancia de Acreditacin validada por el InfoDF, puedes presentar tus evaluaciones a travs del Aula Virtual de Aprendizaje (AVA), localizada en la pgina de internet www.cevat.org.mx. Una vez que hayas concluido las evaluaciones correspondientes a este curso, con las calificaciones requeridas (10 en cada tema), el InfoDF te otorgar la Constancia de Acreditacin correspondiente. Para cualquier duda a este respecto, puedes comunicarte al 56 36 21 20 Ext. 159.
Recomendaciones de estudio
19
Mdulouno
Conceptos y Definiciones Bsicas
Temario 1. Derecho a la Intimidad 2. Derecho a la Privacidad 3. Qu es un Dato Personal? 4. Proteccin de Datos Personales
Introduccin
omenzaremos nuestro manual con el anlisis de los conceptos que estn directamente relacionados con las Leyes de Proteccin de Datos Personales y que constituyen un elemento fundamental para el entendimiento de las disposiciones que contienen, pero ms all de esto, dichos conceptos nos dan elementos para entender por qu la facultad de decidir sobre el manejo y control de la informacin que nos concierne, juega un papel fundamental en las democracias modernas. En el tema que nos ocupa, que es el estudio de la Ley de Datos Personales para el Distrito Federal (LPDPDF) y sus Lineamientos, unificar criterios sobre cada uno de los conceptos a que hacen referencia estos ordenamientos, constituye un punto de partida obligado para clarificar de mejor manera, el abanico de obligaciones y derechos que nos ofrecen a los ciudadanos y a los servidores pblicos. El presente mdulo abordar los siguientes temas: 1) Derecho a la Intimidad. 2) Derecho a la Privacidad. 3) Qu es un Dato Personal? 4) Proteccin de Datos Personales. Contenido del Mdulo uno
23
Objetivos del Mdulo Al final del mdulo los participantes podrn: UU Conocer y explicar en qu consiste el derecho a la proteccin de datos personales teniendo una idea clara de lo que constituye el concepto de dato personal. UU Reflexionar sobre algunos conceptos directamente relacionados con la proteccin de datos personales que le conciernen e interesan a lo largo de toda su vida. Tema 1. Derecho a la Intimidad La palabra intimidad, de acuerdo con el diccionario de la Real Academia Espaola, se refiere a la zona espiritual, ntima y reservada de una persona o de un grupo, especialmente de una familia. Es decir, apunta a la esfera personal de cada persona, en donde se encuentran los valores humanos y personales. La intimidad es un mbito que debe estar reservado a la curiosidad de los dems contra intromisiones e indiscreciones ajenas. Entendamos entonces como intimidad a aquella esfera personal y privada en la que se encuentran comportamientos, acciones y expresiones que no deseamos que lleguen al conocimiento pblico.1 La intimidad, en una sociedad democrtica, es considerada como uno de los derechos fundamentales necesitados de proteccin. No slo porque significa una barrera a la intromisin del Estado sino, tambin, porque permite el desarrollo ntegro de la personalidad de los ciudadanos. Se dice que el respeto a la intimidad en un Estado de derecho es uno de los valores supremos en la convivencia social. En este sentido, resultan ilustrativas las palabras formuladas por el presidente del Tribunal Europeo de Derechos Humanos, quien afirm que: Aunque hablamos de proteccin de datos, de legislacin de proteccin de datos y de Autoridades de proteccin de datos, no deben existir dudas respecto a la verdadera naturaleza del objetivo que motiva la creacin de las normas de proteccin de datos o de las instituciones
24
que garantizan el cumplimiento de las mismas. Su finalidad real no es tanto la proteccin de datos sino la proteccin de las personas: ms precisamente an, es la proteccin de la vida privada de las personas en una nueva era que impone la recogida y almacenamiento de ms y ms datos sobre sus vidas privadas y hace aumentar las posibilidades de manipulacin y mal uso de tales datos.2 El derecho a la intimidad, en su sentido amplio, se compone de una fase negativa (pasiva) que consiste en el derecho del individuo a ser dejado slo, a vivir en paz y en soledad; y, de una fase positiva (activa), constituida por el principio de autodeterminacin informativa o de poder de control sobre los datos personales. Definir y demarcar el contenido de este derecho no es tarea fcil y, la forma de protegerlo es todava ms compleja si se visualiza dentro de la sociedad de la informacin en la que se convive actualmente. Dicho ambiente informativo produce riesgos imprevisibles de manera continua que condenan a la ciencia del derecho a permanecer rezagada detrs de la tecnologa y dificultan una concepcin unvoca o esttica de la intimidad. No obstante, se puede definir como aquel derecho de la personalidad (con todo lo que denotan las caractersticas de este tipo de derechos) que brinda la facultad jurdica de excluir cualquier actividad de otro, que implique imposicin, intromisin, injerencia y otras turbaciones, en los asuntos de la vida ntima del sujeto. La intimidad se configura como derecho de dentro hacia fuera, el derecho que asiste a toda persona para comunicar o no comunicar, a quien quiera, partes de su vida o de su pensamiento.3 Tema 2. Derecho a la Privacidad A que nos referimos cuando hablamos de privacidad? La privacidad constituye un conjunto ms amplio, ms global de facetas de nuestra personalidad que, aisladamente consideradas, pueden carecer de un significado intrnseco pero que, coherentemente enlazadas entre s, arrojan un retrato de nuestra personalidad que tenemos derecho a mantener reservada.
La privacidad garantiza el crculo de exclusin del conocimiento ajeno y de la intromisin de terceros en el mbito reservado de las personas
25
Datos personales: toda informacin numrica, alfabtica, grfica acstica o de cualquier otro tipo concerniente a una persona fsica identificada o identificable
Se refiere a toda aquella informacin y actividades en las cuales el Estado slo puede intervenir para garantizar que se respeten nuestros derechos individuales y nicamente a peticin de parte; este tipo de informacin hace referencia a nuestra vida privada o datos personales de forma genrica, por ejemplo, domicilio, telfono, correo electrnico, edad, entre otros. Esta informacin, como veremos ms adelante, tiene distintos niveles de proteccin por las leyes para que no sea difundida sin nuestra autorizacin. La privacidad, en definitiva, garantiza el crculo de exclusin del conocimiento ajeno y de la intromisin de terceros en el mbito reservado de las personas: no constituye una mera oposicin a la publicidad, sino una verdadera inmunidad a toda injerencia en los hechos relativos a uno mismo que no haya sido consentida. Tema 3. Qu es un Dato Personal? Un elemento fundamental en los derechos que hemos analizado hasta aqu, es la identificacin clara y precisa de lo que debemos entender por dato personal, ya que a travs de ellos es que se podran o no vulnerar nuestros derechos a la intimidad y privacidad. Un dato personal es toda aquella informacin que pueda vincularse a un individuo. Las leyes sobre esta materia suelen definir a los datos personales como cualquier informacin relativa a una persona fsica identificada o identificable, considerndose identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, mediante un nmero de identificacin o uno o varios elementos especficos, caractersticos de su identidad fsica, psquica, econmica, cultural o social.4 As pues, cuando hablamos de datos personales nos estamos refiriendo a toda aquella informacin que se relaciona con nuestra persona y que nos identifica o nos hace identificables. Entre otras cosas, nos dan identidad, nos describen, precisan nuestro origen, edad, lugar de residencia, trayectoria acadmica, laboral o profesional. Tambin describen aspectos ms sensibles o delicados, como es el caso de nuestra forma de pensar, estado de salud, caractersticas fsicas, ideologa o vida sexual, entre otros.
26
Una definicin clara sobre lo que debemos entender como datos personales y que ser nuestra referencia en este Manual, la podemos encontrar en la Ley de Proteccin de Datos Personales para el Distrito Federal (LPDPDF). Esta Ley, tiene como objetivo, establecer los principios, derechos, obligaciones y procedimientos que regulan la proteccin y tratamiento de los datos personales en posesin de los entes pblicos del Distrito Federal:
Datos personales: toda informacin numrica, alfabtica, grfica acstica o de cualquier otro tipo concerniente a una persona fsica identificada o identificable. Tal y como son, de manera enunciativa y no limitativa: el origen tnico o racial, caractersticas fsicas, morales o emocionales, la vida afectiva y familiar, el domicilio y telfono particular, correo electrnico no oficial, patrimonio, ideologa y opiniones polticas, creencias, convicciones religiosas y filosficas, estado de salud, preferencia sexual, la huella digital, el ADN y el nmero de seguridad social, y anlogos.
Como vemos, en esta definicin se incluye toda aquella informacin que se relaciona con una persona y que a travs de ella se le puede reconocer como por ejemplo, el nombre, firma, huella, fotografas, imgenes de vdeo e incluso grabaciones sonoras. La definicin de datos personales consta de cuatro componentes esenciales que estn estrechamente ligados y se complementan entre s, y juntos determinan si cierta informacin debe ser considerada como un dato personal, estos componentes son:5 1) Toda informacin. 2) Sobre. 3) Identificada o identificable. 4) Persona fsica. Derecho a la privacidad
27
La expresin toda informacin exige una interpretacin amplia desde el punto de vista de su naturaleza, contenido y formato. En cuanto a la naturaleza, el concepto de datos personales incluye informacin tanto objetiva por ejemplo, nuestra edad, como subjetiva opiniones, apreciaciones y valoraciones, por lo que no es necesario que determinada informacin sea verdica o probada para que se considere dato personal. Tan es as que las leyes sobre el particular contemplan la posibilidad de que la informacin incorrecta sea rectificada. Respecto al contenido de la informacin, se incluye a todos aquellos datos que proporcionan informacin sobre nuestra persona, comprende la informacin relativa a la vida privada, familiar, laboral, econmica y social, al igual que la considerada sensible por su naturaleza particularmente delicada como el estado de salud, la preferencia sexual o las creencias religiosas.6 Desde el punto de vista del formato, el concepto de datos personales abarca la informacin en cualquier modo, sea alfabtica, numrica, grfica, fotogrfica o sonora, por citar algunas, y puede estar contenida en cualquier soporte como en papel, en la memoria de un equipo informtico, en una cinta de video o en un DVD. No es necesario que la informacin est contenida en una base de datos o en un sistema estructurado para que dicha informacin sea considerada como un dato personal. En cuanto al componente sobre se considera que la informacin concierne a una persona cuando se refiere a ella. Como ejemplo de esto podemos referirnos a los datos que normalmente se incluyen en el expediente que se crea cuando ingresamos a trabajar en cualquier institucin o empresa, y que normalmente est bajo resguardo del rea de recursos humanos. Estos datos nos conciernen porque se refieren a nuestra persona, lo mismo podemos decir de los resultados de las pruebas mdicas que nos realizan y que se integran a nuestro historial mdico. As, un dato se refiere a una persona si hace referencia a su identidad, caractersticas o comportamiento o si esa informacin se utiliza para determinar o influir en la manera en que se le trata o se le evala.7 Qu son los datos personales
28
Por lo que hace al tercer componente identificada o identificable se considera, de modo general, que una persona fsica es identificada
cuando, dentro de un grupo de personas, se la distingue de todos los dems miembros del grupo. Por lo tanto, la persona fsica es identificable cuando, aunque no se le haya identificado todava, sea posible hacerlo. Normalmente, la identificacin se da a travs de datos concretos que se denominan identificadores y que tienen una relacin privilegiada y muy cercana con una determinada persona, por ejemplo, la apariencia, profesin, cargo que ocupa, el nombre. Estos identificadores constituyen lo que las leyes denominan datos personales. En este sentido, una persona puede ser identificada directamente por su nombre y apellidos o, indirectamente, por un nmero de telfono, las placas de un coche, el nmero de pasaporte, la clave nica de registro de poblacin, o bien, por una combinacin de criterios significativos (edad, domicilio, empleo, etc.) que hagan posible su identificacin al estrecharse el grupo al que pertenece. As, el que determinados identificadores se consideren suficientes para lograr la singularizacin de una persona depender del contexto de que se trate. De modo que, un apellido muy comn no ser suficiente para identificar a una persona dentro del conjunto de poblacin de una demarcacin territorial, pero s lo ser para identificarla como alumno dentro de un grupo. Sobra decir que el identificador ms comn de una persona es el nombre, dato personal por antonomasia (nombre y apellidos) y, en la prctica, la persona identificada implica siempre una referencia a dicho nombre. Sin embargo, hay casos en que, para establecer la identidad habr que combinar el nombre con otros atributos como fecha de nacimiento, domicilio o fotografa, con el fin de evitar la confusin con otras personas del mismo nombre (homonimias). En aquellos casos en que los identificadores disponibles no permitan individualizar a una persona, sta aun puede ser identificable, ya que esa informacin vinculada con otros datos permitir distinguir a esa persona de otras. En este punto, es importante precisar que, para que una persona sea considerada identificable, se deben tomar en cuenta el conjunto de medios que puedan ser razonablemente utilizados para identificar a
29
Un dato se refiere a una persona si hace referencia a su identidad, caractersticas o comportamiento, o si esa informacin se utiliza para determinar o influir en la manera en que se le trata o se le evala
dicha persona. De tal suerte que, la simple e hipottica posibilidad de singularizar a un individuo no es suficiente para considerar a la persona como identificable. Si, teniendo en cuenta estos medios, no existe esa posibilidad o la misma es insignificante, la persona no debe ser considerada como identificable y la informacin no debe catalogarse como datos personales. La referencia a persona fsica, cuarto componente en anlisis, significa que la proteccin proporcionada se aplica a personas fsicas, es decir, a seres humanos. Los datos personales son datos relativos a seres vivos identificados o identificables La Declaracin Universal de los Derechos Humanos se refiere al concepto de persona fsica en su artculo 6, donde se establece que todo ser humano tiene derecho, en todas partes, al reconocimiento de su personalidad jurdica. Por su parte, el Cdigo Civil para el Distrito Federal, dispone que: La capacidad jurdica de las personas fsicas se adquiere por el nacimiento y se pierde por la muerte; pero desde el momento en que un individuo es concebido, entra bajo la proteccin de la ley y se le tiene por nacido para los efectos declarados en el presente Cdigo.8 De tal forma que, los datos personales, son datos relativos a seres vivos identificados o identificables, aunque cabe mencionar que la normativa de proteccin puede aplicarse, en algunos casos, a datos de personas fsicas o morales, lo que depender de cada legislacin en particular. Ejemplo de ello es la Ley de Proteccin de Datos Personales del Estado de Colima,9 la cual establece que los datos de carcter personal son aquellos relativos a personas fsicas o morales que de manera directa o indirecta puedan conectarse con una persona especfica (artculo 3).10 Tema 4. Proteccin de Datos Personales La proteccin de datos personales es un derecho que consiste en ofrecer a los individuos los medios para controlar el uso ajeno de la informacin personal que les concierne.11 Este derecho, tambin conocido como habeas data es, por un lado, un instrumento legal para proteger el derecho a la vida privada y, por otro, una forma de derecho de acceso a la informacin, que consiste
30
en que todo individuo tenga garantizado el derecho de acceder a la informacin que le concierne personalmente. El origen de este derecho, se vincula al desarrollo de la nocin de proteccin de la privacidad, adquiriendo posteriormente, un perfil conceptual y alcance ms diferenciado al punto de convertirse en un derecho autnomo distinto de la intimidad: La funcin del derecho fundamental a la proteccin de datos, es garantizar a toda persona el poder de control sobre sus datos personales, tanto su uso como su destino, con el propsito de impedir su trfico ilcito y la potencial vulneracin de la dignidad del afectado. Esto lleva implcito el poder de disposicin sobre sus datos. Por el contrario, la funcin del derecho a la intimidad, es proteger de cualquier invasin los reductos de vida personal o familiar que la persona desea mantener fuera del saber de terceros, o de evitar intromisiones contra su propia voluntad.12 Una definicin amplia de este derecho, indica que comprende la prerrogativa que toda persona tiene para: a) Conocer de su inclusin en bancos de datoso registros. b) Acceder a toda informacin que sobre ella conste en los bancos de datos o registros. c) Actualizar o corregir, en su caso, la informacin que sobre ella conste en los bancos de datos o registros. d) Conocer el propsito o fines para los que se va a utilizar la informacin que conste sobre ella en los bancos de datos. e) Que se garantice la confidencialidad de determinada informacin obtenida legalmente para evitar su conocimiento por terceros.
Datos personales
31
f) Que se garantice la supresin de informacin sobre la persona con datos sobre su filiacin poltica o gremial, creencias religiosas, vida ntima y toda aquella que pudiera de un modo u otro producir discriminacin.13 La proteccin de datos de carcter personal, es una de las claves esenciales del respeto a la vida privada dentro de la defensa de los derechos humanos y las libertades fundamentales, por ello es importante que las leyes de transparencia y acceso a la informacin pblica, contemplen como excepcin al derecho de acceso, el derecho a la vida privada y la intimidad de las personas, a menos que existan intereses colectivos superiores que justifiquen una intromisin en este derecho personalsimo. El derecho a la proteccin de datos personales, est integrado por una serie de prerrogativas, principios y procedimientos para el tratamiento de informacin que concierne a personas fsicas, no slo por parte del Estado o los entes pblicos, sino tambin, por parte de terceros o personas de derecho privado. Este poder de control sobre los datos personales se manifiesta a travs de los denominados derechos ARCO (Acceso, Rectificacin, Cancelacin y Oposicin), a travs de los cuales las personas tienen la facultad de:
ARCO: Cuatro derechos fundamentales
UU Conocer en todo momento quin dispone de sus datos y para qu estn siendo utilizados. UU Solicitar rectificacin de los datos en caso de que resulten incompletos o inexactos. UU Solicitar la cancelacin de los mismos por no ajustarse a las disposiciones aplicables. UU Oponerse al uso de sus datos si es que los mismos fueron obtenidos sin su consentimiento.
32
A efecto de garantizar la debida proteccin de los datos personales, adems de establecer los derechos ARCO, las leyes en la materia incluyen una serie de principios rectores en el tratamiento de este tipo de datos como son: el de finalidad, calidad, consentimiento, deber de informacin, seguridad, confidencialidad, disponibilidad y temporalidad. El incumplimiento de estos principios, constituye una vulneracin a la proteccin de datos personales y, lgicamente, tienen como consecuencia una sancin. Los principios generales de proteccin de datos constituyen el contenido esencial del derecho a la proteccin de datos personales y configuran un sistema de tutela que garantiza un uso racional de los datos personales. Finalmente, un pilar fundamental para la efectiva proteccin de datos personales, se encuentra representado por la existencia de rganos garantes que cuenten con un cierto grado de autonoma de gestin e independencia frente a los poderes estatales tpicos y ante los cuales, los particulares puedan exigir la tutela de sus derechos relacionados con la proteccin de datos personales. Para el caso del Distrito Federal, esta labor est encomendada al Instituto de Acceso a la Informacin Pblica y Proteccin de Datos Personales del Distrito Federal (InfoDF).
Proteccin de datos de carcter personal

33
Sntesis
Intimidad es la esfera personal y privada de comporta-
mientos, acciones y expresiones que no deseamos hacer pblicos. La intimidad, en una sociedad democrtica es uno de los derechos fundamentales necesitados de proteccin. No slo porque significa una barrera a la intromisin del Estado sino, tambin, porque permite el desarrollo ntegro de la personalidad de los ciudadanos. El derecho a la intimidad se compone de una fase negativa (pasiva) que consiste en el derecho del individuo a vivir en paz y en soledad; y de una fase positiva (activa), constituida por el principio de autodeterminacin informativa o de poder de control sobre los datos personales. La privacidad constituye un conjunto ms amplio, ms global de facetas de nuestra personalidad que, aisladamente consideradas, pueden carecer de un significado en s mismo pero que, coherentemente enlazadas entre s, arrojan un retrato de nuestra personalidad que tenemos derecho a mantener reservada. Un dato personal, es toda informacin referida a un individuo que lo identifica o lo hace identificable. Dicha informacin puede ser numrica, alfabtica, grfica, acstica o de cualquier otro tipo y estar contenida en cualquier soporte. El derecho a la proteccin de datos personales consiste en la facultad de los individuos de controlar la informacin que les concierne y est integrado por una serie de principios y prerrogativas. Este derecho se compone de los llamados derechos ARCO: acceso, rectificacin, cancelacin y oposicin. Para su tutela es necesaria la existencia de rganos autnomos ante los cuales puedan acudir aquellas personas que consideren que su derecho ha sido violentado.
34
AUTOEVALUACIN
Autoevaluacin Cuestionario sobre los contenidos generales del mdulo uno, Conceptos y Definiciones Bsicas.
1. Tienen derecho a la proteccin de datos personales:

A. Los entes pblicos. B. Las naciones. C. Las sociedades annimas. D. Los individuos.
2. Es un dato personal:
A. La voz. B. La huella digital. C. Nmero de la licencia de manejo. D. Todas las anteriores.
3. Para una efectiva garanta del derecho a la proteccin de datos

personales es necesario: A. La Asamblea Legislativa. B. La polica. C. Un rgano autnomo garante. D. Un escudo.
k
35
Mdulodos
Antecedentes de las Leyes de Proteccin de Datos Personales
Temario 1. Antecedentes de las Leyes de Proteccin de Datos Personales en el Contexto Mundial 2. Antecedentes Legislativos en Materia de Proteccin de Datos 3. Breve Resea de la Ley de Proteccin de Datos Personales para el D. F.
Introduccin
na vez que estudiamos los conceptos bsicos relacionados con la proteccin de datos personales, los cuales son fundamentales para la comprensin de las leyes en la materia, en este mdulo abordaremos de manera general, el contexto mundial en el cual fueron creadas las primeras normas en proteccin de datos personales, as como la institucionalizacin de este derecho en nuestro pas. Asimismo, se presenta una breve resea histrica que da cuenta de los hechos ms significativos en el proceso de creacin y aprobacin de la LPDPDF. El presente mdulo abordar los siguientes temas: 1) Antecedentes de las Leyes de Proteccin de Datos Personales en el Contexto Mundial. 2) Antecedentes Legislativos en Materia de Proteccin de Datos. 3) Breve Resea de la Ley de Proteccin de Datos Personales para el D. F. Contenido del Mdulo dos Objetivo del mdulo Al final del mdulo los participantes podrn: UU Conocer y explicar de dnde surge el derecho a la proteccin de datos personales teniendo una idea clara de las causas y el contexto en el que se dieron las primeras leyes en la materia.
39
Tema 1. Antecedentes de las Leyes de Proteccin de Datos Personales en el Contexto Mundial Antes de la aparicin de la denominada revolucin tecnolgica, las personas gozaban de una proteccin natural de carcter operativo y fsico frente a intromisiones con respecto a su vida, costumbres, salud, bienes, etctera. La actividad de investigacin estaba reservada a ciertas reas del Estado y slo a pocas organizaciones privadas, especialmente las de mayor evolucin tecnolgica. A partir de la segunda mitad del siglo XX se empiezan a producir una serie de avances cientfico-tecnolgicos vertiginosos: se perfeccionan las computadoras, se gesta la inteligencia artificial, se inicia el trabajo con el concepto de red y, este perfeccionamiento, sumado a la reduccin de costos, permite su masificacin a nivel mundial. En ese momento nace un nuevo paradigma: el de la Sociedad de la Informacin, en la que la riqueza est basada en la creacin intelectual y la capacidad de producir, almacenar y distribuir informacin, opuesta a la fabricacin en serie, la manufactura y las posesiones materiales consideradas como pilar econmico de las naciones en la era industrial. El Internet lanza al mercado de la informacin una inmensa masa de datos aparentemente inofensivos pero que, cuidadosamente reciclados, tienen capacidad para lesionar derechos de las personas constitucionalmente protegidos, como son la intimidad y la privacidad.14 Esta generalizacin del uso de las tecnologas de la informacin (TICs), as como el incremento de la utilizacin de las mismas en las actividades cotidianas del ser humano, han provocado una revolucin que impacta los campos social, ideolgico, cultural, poltico y econmico. Tecnologa para el control de datos
40
Es as que el siglo XXI comienza con un despliegue tecnolgico estelar. No puede concebirse ms la vida de los seres humanos ni su interaccin, sin el uso de tecnologas urbi et orbi.15 Dicha expansin conlleva el intercambio de flujos de informacin incluida la relativa a las personas. Ahora es posible a travs de distintos medios acceder a la informacin de millones de seres humanos y sus actividades en cualquier parte del planeta. Sin embargo, frente al terreno ganado en materia de libertad de informacin y expresin, se ha irrumpido silenciosamente en el mbito de lo privado, ya que la sencilla obtencin de cualquier tipo de dato sobre una persona fsica posibilita la generacin de perfiles sobre ella y afectar la esfera de sus derechos y libertades. Por ello puede afirmarse que los horizontes para la privacidad se estn transformando en tierra incgnita debido a que sin que el propio titular del dato se entere, terceros sean entes pblicos o privados tratan su informacin a travs de la utilizacin de todo tipo de tecnologas como la minera de datos, la geo-localizacin, la deteccin remota o la videovigilancia, todo lo anterior conectado a la world wide web, tecnologas que hoy en da ya han madurado y estn plenamente disponibles en cualquier lugar del mundo.16
Frente a esta gran problemtica generada en materia de proteccin a la privacidad con la evolucin de las tecnologas de la informacin, diversos organismos y pases, desde hace algunas dcadas, han detectado la necesidad de regular en materia de proteccin a la intimidad y privacidad. En este sentido se han creado diversos instrumentos internacionales que aportan a este tema como es el de derechos humanos, as como regulaciones formuladas por bloques econmicos como la Unin Europea, la Organizacin para la Cooperacin y el Desarrollo Econmico, y del Foro de Cooperacin Econmica Asia Pacfico, as como la resolucin que en esta materia elabor la Organizacin de las Naciones Unidas. Adicionalmente, se han hecho algunos llamamientos, como el de la Cumbre Mundial de la Sociedad de la Informacin, dirigidos a solicitar a todos los pases que garanticen el respeto a la privacidad y a la proteccin de informacin y datos personales, ya sea mediante la adopcin de legislaciones, la aplicacin de marcos de colaboracin, mejores prcticas y medidas tecnolgicas y de autorregulacin por parte de empresas y usuarios.
El Internet lanza al mercado de la informacin una inmensa masa de datos aparentemente inofensivos pero que, cuidadosamente reciclados, tienen capacidad para lesionar derechos de las personas constitucionalmente protegidos, como son la intimidad y la privacidad
41
Tema 2. Antecedentes Legislativos en Materia de Proteccin de Datos En Europa, las primeras legislaciones se adoptan en los aos setenta, al igual que en los Estados Unidos donde la ley correspondiente se emiti en 1974 con la Privacy Act . Estas normas son fruto de la inquietud que mostraban las autoridades estatales ante el imparable impulso tecnolgico, que tempranamente se manifest como un peligro potencial para los derechos de los ciudadanos, principalmente, para aquellos derechos ms ligados a la personalidad y dignidad de las personas. Podemos decir que, en los Estados Unidos, se ha adoptado una poltica mucho ms flexible sobre privacidad y proteccin de datos que en la Unin Europea, cuyo objetivo es proteger y tutelar los derechos de consumidores, la poblacin vulnerable y ms an, se caracteriza por la adopcin de un esquema ms liberal para el sector empresarial. Han confiado sus polticas de regulacin y privacidad a sus empresas porque saben que el gobierno est consciente de que estas acciones y mecanismos fomentan y reactivan el comercio electrnico, no slo a nivel interno sino tambin a nivel mundial, promueven las inversiones del sector de las tecnologas de informacin y sobre todo permiten que las pequeas y medianas empresas puedan realizar actividades de comercio electrnico en todos los niveles.17 Tambin fueron numerosas las respuestas supranacionales que se reflejaron en importantes textos, sin duda, antecedentes de las actuales normas sobre proteccin de las personas frente al auge informtico; as, cabe recordar la Recomendacin de la OCDE18 de 23 de septiembre de 1980 sobre flujo internacional de datos, o las sucesivas Recomendaciones del Parlamento y del Consejo de Europa, que alentaron a los Estados europeos en su desarrollo legislativo frente a la potencial amenaza de las nuevas tecnologas, o los principios o directrices de proteccin de datos tempranamente aprobados por las Naciones Unidas. Paulatinamente, la proteccin de datos como derecho autnomo fue ganando terreno en la concepcin general. En el mbito del Consejo de Europa, se aprob el Convenio No. 108, del 28 de enero de 1981, para la Proteccin de las Personas con respecto al Tratamiento
42
Los horizontes para la privacidad se estn transformando en tierra incgnita debido a que sin que el propio titular del dato se entere, terceros sean entes pblicos o privados tratan su informacin a travs de la utilizacin de todo tipo de tecnologas
Automatizado de Datos de Carcter Personal, cuyo objetivo (artculo 1) es el de garantizar, en el territorio de cada Parte, a cualquier persona fsica sean cuales fueren su nacionalidad o residencia, el respeto de sus derechos y libertades fundamentales, concretamente su derecho a la vida privada, con respecto al tratamiento automatizado de los datos de carcter personal correspondientes a dicha persona (proteccin de datos). El concepto de vida privada en relacin con la proteccin de datos personales ha sido objeto de interpretacin extensiva. En este sentido, el Tribunal Europeo de Derechos Humanos, entiende que tambin incluye las relaciones personales y las comerciales, citando, precisamente la Convencin 108. Efectivamente, no slo la intimidad o la vida privada estn en juego cuando se trata de proteccin de datos personales. El principio de calidad de los datos, con sus consecuencias de derecho a la exactitud, actualizacin, rectificacin y supresin, no siempre est directamente vinculado a la privacidad, sino, tambin cuando se trata de proteger el derecho a la no discriminacin o la igualdad de trato en las decisiones individuales automatizadas.19 Ahora bien, en el mbito comunitario europeo, una norma general que abordara la problemtica de la proteccin de datos personales se hizo esperar hasta el ao 1995, y en verdad puede decirse que su aprobacin estuvo siempre rodeada de importantes dificultades y que cont en numerosas ocasiones con la resistencia de importantes Estados Proteccin legal ante intereses comerciales europeos, que no vean con buenos ojos que una norma comunitaria entrara a regular mbitos legislativos que en sus derechos nacionales ya haban alcanzado una respuesta satisfactoria, con lo que se entenda que esta nueva norma comunitaria significara a todas luces una intromisin en sus legislaciones nacionales.
43
Pese a todas las reservas, en 1995 se aprueba, tras importantes resistencias, la Directiva 95/46/CE, del 24 de octubre sobre proteccin de datos personales, cuyo objeto y finalidad no se articula sobre la limitacin en la actividad informtica para asegurar la tutela de los derechos personales, sino sobre la libre circulacin de los datos en Estados de acuerdo con la necesaria proteccin de las personas; esto es, se pretende conciliar la libre circulacin de informacin como instrumento necesario para el progreso de las actividades econmicas, polticas y sociales con la necesaria e insalvable tutela de los derechos y libertades de los ciudadanos, pero sin que el recurso a estos derechos pueda constituir nunca por s slo una traba u obstculo al progreso informtico. Despus vendr, al amparo de esta Directiva, la aprobacin de normas sectoriales para la proteccin de datos personales en el mbito comunitario europeo; as, la Directiva 97/66/CE del 15 de diciembre sobre proteccin de datos personales y de la intimidad en el sector de las telecomunicaciones, o el Reglamento 45/2001 del 18 de diciembre, para la proteccin de las personas respecto al tratamiento de datos por instituciones y organismos comunitarios. La Directiva 95/46/CE constituye el texto de referencia, a escala europea, en materia de proteccin de datos personales. Crea un marco regulador destinado a establecer un equilibrio entre un nivel elevado de proteccin de la vida privada de las personas y la libre circulacin de datos personales dentro de la Unin Europea (UE). Con ese objeto, la Directiva fija lmites estrictos para la recogida y utilizacin de los datos personales y solicita la creacin, en cada Estado miembro, de un organismo nacional independiente encargado de la proteccin de los mencionados datos. Tema 3. Breve Resea de la Ley de Proteccin de Datos Personales para el D. F. El propsito de esta resea es ofrecer un panorama cronolgico sobre los eventos ms importantes que dieron lugar a la elaboracin, aprobacin y promulgacin de la Ley de Proteccin de Datos Personales en el Distrito Federal y que d cuenta del proceso de institucionalizacin de este derecho.
44
8 de mayo de 2003: Se publica en la Gaceta Oficial del Distrito Federal (GODF) la Ley de Transparencia y Acceso a la Informacin Pblica del Distrito Federal, la cual dedicaba uno de sus captulos a la tutela de los datos personales (Captulo V, del Ttulo Primero). 28 de marzo de 2008: Se publica en la Gaceta Oficial del Distrito Federal (GODF) la nueva Ley de Transparencia y Acceso a la Informacin Pblica del Distrito Federal, la cual abroga20 a la de 2003 y prev la obligacin de la Asamblea Legislativa de aprobar, en un plazo no mayor a 60 das hbiles, la legislacin respectiva a datos personales en el Distrito Federal. 27 de agosto de 2008: La Asamblea Legislativa aprueba el Dictamen presentado por la Comisin de Administracin Pblica Local por el que se crea la Ley de Proteccin de Datos Personales para el Distrito Federal. 3 de octubre de 2008: Se publica en la Gaceta Oficial del Distrito Federal el Decreto por el que se expide la Ley de Proteccin de Datos Personales para el Distrito Federal, la cual entr en vigor al da siguiente de su publicacin. 26 de octubre de 2009: Se publican en la Gaceta Oficial del Distrito Federal, los Lineamientos para la Proteccin de Datos Personales en el Distrito Federal que el Pleno del Instituto de Acceso a la Informacin Pblica del Distrito Federal, aprob mediante acuerdo 547/SO/1410/2009.
Garantizar a cualquier persona fsica, sean cuales fueren su nacionalidad o residencia, el respeto de sus derechos y libertades fundamentales, concretamente su derecho a la vida privada, con respecto al tratamiento automatizado de los datos de carcter personal
45
Sntesis
El derecho a la proteccin de datos personales surge ante
la evolucin tecnolgica por el riesgo que representaba la amenaza a los derechos fundamentales, sobre todo a la intimidad y a la privacidad, el manejo indiscriminado de informacin personal. Frente a esta gran problemtica generada en materia de proteccin a la privacidad con la evolucin de las tecnologas de la informacin, diversos organismos y pases, desde hace algunas dcadas, han emitido regulaciones en materia de proteccin a la intimidad y privacidad. Se han creado diversos instrumentos internacionales que aportan a este tema como es el de derechos humanos, as como regulaciones formuladas por bloques econmicos como la Unin Europea, la Organizacin para la Cooperacin y el Desarrollo Econmico, y del Foro de Cooperacin Econmica Asia Pacfico, as como la resolucin que en esta materia elabor la Organizacin de las Naciones Unidas. Las personas contaban con la proteccin de datos personales en el Distrito Federal desde la aparicin de la primera Ley de Transparencia en el ao 2003, pero fue hasta 2008 que se cont con una Ley especfica sobre el particular. El 26 de octubre 2009, se publican en la Gaceta Oficial del Distrito Federal, los Lineamientos para la Proteccin de Datos Personales.
46
AUTOEVALUACIN
Autoevaluacin Cuestionario sobre los contenidos generales del mdulo dos, Antecedentes de las Leyes de Proteccin de Datos Personales.
1. Las primeras legislaciones sobre datos personales se adoptan:

A. En los aos cuarenta. B. En los noventa. C. En los setenta. D. En el siglo XXI.
2. El texto de referencia para los pases europeos para legislar en

materia de datos personales es: A. Privacy Act. B. Directiva 95/46/CE. C. Convenio 108. D. Recomendacin de la OCDE del 23 de septiembre de 1980 sobre flujo internacional de datos.
3. La Ley de Proteccin de Datos Personales para el Distrito Federal data de: A. 2003. B. 2005. C. 1995. D. 2008.
k
47
Mdulotres
Aspectos Relevantes de la Ley de Proteccin de Datos Personales para el Distrito Federal (LPDPDF)
Temario 1. La Proteccin de Datos Personales en el D. F. 2. Definiciones 3. Principios 4. Sistemas de Datos Personales 5. Medidas de Seguridad 6. Tratamiento de Datos Personales 7. Obligaciones de los Entes Pblicos 8. Instituto de Acceso a la Informacin Pblica y Proteccin de Datos Personales del Distrito Federal 9. Derechos ARCO y Procedimiento para su Ejercicio 10. Recurso de Revisin 11. Infracciones
Introduccin
n este mdulo haremos un recorrido sobre los aspectos establecidos en la LPDPDF, y los Lineamientos de desarrollo de la misma. En ellos se presentan, entre otras cuestiones, definiciones de los trminos utilizados y objetivos de la Ley, as como disposiciones generales.
Se clarificarn adems algunos de los trminos utilizados que son importantes para el mejor entendimiento de la normatividad y se explicarn los principios fundamentales para la interpretacin del derecho a la proteccin de datos personales. El presente mdulo abordar los siguientes temas: 1) La Proteccin de Datos Personales en el D. F. 2) Definiciones. 3) Principios. 4) Sistemas de Datos Personales. 5) Medidas de Seguridad. 6) Tratamiento de Datos Personales. 7) Obligaciones de los Entes Pblicos. 8) Instituto de Acceso a la Informacin Pblica y Proteccin de Datos Personales del Distrito Federal. 9) Derechos ARCO y Procedimiento para su Ejercicio. 10) Recurso de Revisin. 11) Infracciones.
Contenido del Mdulo tres

51
Objetivos del mdulo Al final del mdulo los participantes podrn: UU Conocer los aspectos fundamentales que establecen la LPDPDF y los Lineamientos. UU Comprender los objetivos que persigue la Ley. UU Familiarizarse con los trminos ms importantes utilizados en ambas normas. Tema 1. La Proteccin de Datos Personales en el D. F. En la Ley de Proteccin de Datos Personales para el Distrito Federal (LPDPDF), en vigor desde el 4 de octubre de 2008, no encontramos una definicin de proteccin de datos personales, sin embargo la Ley de Transparencia y Acceso a la Informacin Pblica del Distrito Federal (LTAIPDF) la define como la garanta que tutela la privacidad de datos personales en poder de los entes pblicos. Cabe sealar que los datos personales en posesin de los entes pblicos gozaban de proteccin legal en el Distrito Federal desde la aparicin de la primera Ley de Transparencia en 2003, que dedicaba uno de sus captulos a la tutela de los datos personales. Sin embargo, con la entrada en vigor de la nueva LTAIPDF, en mayo de 2008, hubo un periodo en el cual las personas se quedaron sin la posibilidad de ejercer los derechos ARCO, pues fue hasta octubre del mismo ao, en que recobr vigencia esta posibilidad de proteccin de datos personales con la publicacin de la LPDPDF. La nueva LTAIPDF excluy de su regulacin a la tutela de los datos personales, as como el captulo relativo al sistema de archivos, estableciendo en sus artculos transitorios, la obligacin de la Asamblea Legislativa de aprobar la legislacin respectiva a datos personales y archivos pblicos del Distrito Federal.21 Los diputados consideraron que era necesario proteger el derecho del titular de los datos personales concentrados en sistemas de informacin en poder de los entes pblicos, de manera que quien posea, administre, utilice o trate de algn modo esos datos, lo haga de tal forma
52
que no se vulnere el legtimo derecho a la intimidad de las personas y que, adems, se defienda la privacidad de los ciudadanos mediante un rgano que controle el cumplimiento de la Ley. Asimismo, se tom en consideracin la importancia que tiene que las personas tengan a su alcance mecanismos para conocer la informacin que de ellas obra en los archivos de cualquier ente pblico, y as poder ejercer los derechos de acceso, rectificacin, cancelacin y oposicin. Y, con el objeto de brindar seguridad al tratamiento de la informacin personal, se establecieron una serie de obligaciones que tienen que observar los responsables del manejo de datos personales, as como de toda persona que intervenga en ste. La Ley y los Lineamientos emitidos por el Instituto de Acceso a la Informacin Pblica y Proteccin de Datos Personales del Distrito Federal, para el desarrollo y aplicacin de sta, tienen una estructura muy similar, la diferencia radica en que en los ltimos no hay un captulo de principios, ni de responsabilidades; y, que slo hay uno relativo a los derechos y el procedimiento para su ejercicio, en tanto que en la Ley son tres, la cual est conformada de la siguiente forma: TTULO PRIMERO: Disposiciones comunes para los entes pblicos. TTULO SEGUNDO: De la tutela de datos personales. TTULO TERCERO: De la autoridad responsable del control y vigilancia. TTULO CUARTO: De los derechos y del procedimiento para su ejercicio. TTULO QUINTO: De las responsabilidades. Vale la pena resaltar que, al momento de la aplicacin de la normatividad de proteccin de datos personales, es necesario recurrir, de manera simultnea y paralela a los contenidos, tanto de la Ley, como de los Lineamientos, pues stos ltimos son complementarios a la Ley y, sin ellos, algunos aspectos seran de difcil aplicacin.
53
Los datos personales en posesin de los entes pblicos gozaban de proteccin legal en el Distrito Federal desde la aparicin de la primera Ley de Transparencia en 2003
Tema 2. Definiciones Tanto la LPDPDF, como los Lineamientos que la desarrollan, contienen un apartado de definiciones que nos ayudan a comprender y aplicar las normas pues se precisa lo que se debe entender por los trminos que ms se utilizan en ellas. En este sentido, veremos que los trminos bloqueo, datos personales, responsable, sistema de datos personales, entre otros, son utilizados frecuentemente en el cuerpo de ambas normas. Y, con el fin de no ser repetitivos con el contenido de stas, slo mencionaremos que las definiciones estn previstas en el artculo 2 de la Ley y en el numeral 3 de los Lineamientos y que, como anexo a este Manual se incluye un glosario de trminos que facilitarn el entendimiento del derecho a la proteccin de datos personales. Sin embargo, cabe sealar que algunos conceptos que se encuentran definidos en la Ley tambin lo estn en los Lineamientos, pues se consider conveniente que ciertas definiciones se precisaran con el fin de facilitar la comprensin de los trminos, por ejemplo:
Ley Bloqueo de datos personales: La identificacin y reserva de datos personales con el fin de impedir su tratamiento Lineamientos Bloqueo: Conservacin de datos personales con el nico propsito de determinar posibles responsabilidades en relacin con su tratamiento, hasta el plazo, legal o contractual, de prescripcin de stas. Durante dicho periodo, los datos personales no podrn ser objeto de tratamiento y transcurrido ste, se proceder a su eliminacin del sistema a que correspondan Responsable: El servidor pblico de la unidad administrativa a la que se encuentre adscrito el sistema de datos personales, designado por el titular del ente pblico, que decide sobre el tratamiento de datos personales, as como el contenido y finalidad de los sistemas de datos personales
Responsable del Sistema de Datos Personales: Persona fsica que decida sobre la proteccin y tratamiento de datos personales, as como el contenido y finalidad de los mismos
54
Ley Sistema de Datos Personales: Todo conjunto organizado de archivos, registros, ficheros, bases o banco de datos personales de los entes pblicos, cualquiera que sea la forma o modalidad de su creacin, almacenamiento, organizacin y acceso
Lineamientos Sistema de Datos Personales: Conjunto organizado de datos personales que estn en posesin de los entes pblicos, contenidos en archivos, registros, ficheros, bases o bancos de datos, que permita el acceso a datos con arreglo a criterios determinados, cualquiera que fuere la modalidad de su creacin, almacenamiento, organizacin o acceso
Como se puede apreciar, en los Lineamientos se detallan con mayor precisin definiciones contenidas en la Ley, con el objeto de otorgar ms claridad a trminos que son fundamentales para la aplicacin de esta normatividad. Una cuestin relevante es que la LPDPDF establece que la interpretacin de la misma debe ser conforme a la Constitucin y a los distintos instrumentos internacionales suscritos por Mxico en materia de derechos humanos, as como la interpretacin que sobre los mismos hayan realizado los rganos internacionales respectivos. Esta previsin da atribuciones a los rganos que aplican la Ley, como es el caso del InfoDF, de contar con herramientas interpretativas amplias, pues pueden acudir a los textos de las sentencias dictadas por rganos protectores de derechos humanos en el mbito internacional, como es el caso de la Comisin y Corte Interamericana de Derechos Humanos. Y, en la interpretacin de esta Ley, ser muy importante tener en cuenta que la proteccin de datos personales cuenta ya con la categora de ser derecho humano reconocido en la Constitucin Federal, por lo que se deber acudir a la interpretacin que sobre las garantas individuales y su fuerza expansiva, ha hecho la Suprema Corte de Justicia de la Nacin. Para cuestiones procedimentales, se prev que sea de aplicacin supletoria la Ley de Procedimiento Administrativo del Distrito Federal (LPADF) y, en su defecto, el Cdigo de Procedimientos Civiles.
55
Un ejemplo de cuestiones no previstas en la Ley y que, por tanto, requieren de la aplicacin supletoria de otra, lo encontramos para en el caso de la representacin legal, pues la LPDPDF slo refiere que el interesado o su representante, pueden presentar una solicitud para ejercer un derecho ARCO, sin que se delimite cmo debe acreditarse tal representacin. Sobre el particular, la LPADF establece que, en el caso de las personas fsicas, la representacin debe acreditarse mediante instrumento pblico y, tambin, mediante carta poder firmada ante dos testigos y ratificadas las firmas ante fedatario pblico, o bien, por declaracin en comparecencia personal ante la autoridad competente (artculo 41).
Un responsable en cada sistema de datos personales
56
Tema 3. Principios Los principios de la proteccin de datos constituyen el pilar mediante el cual se articula este derecho y son de observancia obligatoria para todo aqul que interviene en el tratamiento de datos personales desde el momento de la obtencin hasta la destruccin de los mismos. Dado su carcter obligatorio, los responsables de los sistemas de datos personales adscritos a los entes pblicos, deben adoptar las medidas necesarias para evitar que se produzca una vulneracin de los mismos, ya que esto representara una infraccin a la Ley. Es por ello, que es de suma importancia que todo aquel que intervenga en el tratamiento de este tipo de datos, conozca y respete estos principios. Principios que incorpora la LPDPDF (artculo 5): UU Licitud. UU Consentimiento. UU Calidad de los datos. UU Confidencialidad. UU Seguridad. UU Disponibilidad. UU Temporalidad.22 Principio de licitud, se refiere a que los entes pblicos slo deben desarrollar o tener sistemas de datos personales que estn relacionados directamente con las facultades y atribuciones que les han sido asignadas. Es por ello, que tanto los datos que obtienen, como la posesin y el tratamiento de los sistemas de datos personales, deben obedecer nicamente a las atribuciones legales o reglamentarias de cada ente pblico. Principios de la proteccin de datos
57
Los sistemas de datos personales, no pueden tener finalidades contrarias a las leyes o la moralidad pblica y en ningn caso pueden ser utilizados para finalidades distintas o incompatibles con aquellas que motivaron su obtencin. En este sentido, la posesin de sistemas que no estn directamente vinculados con las atribuciones de un ente pblico violenta este principio. Sin embargo, el tratamiento posterior de datos con fines histricos, estadsticos o cientficos no se considera incompatible. Ejemplo:
Los datos de un padrn de beneficiarios de un programa para adultos mayores pueden ser utilizados para enviar informacin a los interesados sobre la apertura de un nuevo centro de atencin en su localidad (finalidad compatible). Sin embargo, no podrn usarse para pedir el voto (finalidad incompatible).
En definitiva, los datos personales no pueden ser tratados para fines distintos a los que motivaron su obtencin, pues esto supondra una vulneracin al principio de licitud, as como un nuevo uso de los datos que requerira del consentimiento del interesado para su tratamiento. Si sucediera el caso de que, por alguna causa, la finalidad del tratamiento cambie, los datos debern ser cancelados, ya que su uso para finalidades distintas a las informadas al interesado, como ya lo hemos mencionado, no est permitido, salvo que sea para fines histricos, estadsticos o cientficos. Principio de consentimiento, constituye uno de los principios bsicos sobre los que se articulan la mayor parte de las legislaciones de proteccin de datos de carcter personal. Se refiere a la voluntad libre, inequvoca, especfica e informada, mediante la cual el interesado accede a que sus datos personales sean tratados. En los Lineamientos se detalla lo que debemos entender por: a) Libre: Cuando es obtenido sin la intervencin de vicio alguno del consentimiento. b) Inequvoco: Cuando existe expresamente una accin que implique la existencia del consentimiento.
Los principios de la proteccin de datos constituyen el pilar mediante el cual se articula este derecho
58
c) Especfico: Cuando se otorga referido a una determinada finalidad. d) Informado: Cuando se otorga con conocimiento de las finalidades para las que el mismo se produce.
En este sentido, el consentimiento debe ser obtenido libre de coaccin y basado en informacin veraz y clara, asimismo, debe ser comprobable. La doctrina seala que este principio es el eje fundamental a partir del cual se construye el derecho a la proteccin de datos personales y que conlleva la idea de la autodeterminacin informativa.23 En suma, el consentimiento implica que todo tratamiento de datos requiere de nuestra autorizacin previa. Sin embargo, debemos considerar tambin que las leyes y, en particular, la LPDPDF, contemplan un catlogo amplio de excepciones en las cuales no es necesario el consentimiento para que nuestros datos personales sean tratados (artculo 16). Principio de calidad, se refiere a que los datos obtenidos deben ser ciertos, adecuados, pertinentes y no excesivos en relacin al mbito y finalidad para los que fueron recabados, de forma tal que stos deben responder con veracidad a nuestra situacin actual. Esto quiere decir que los datos no slo tienen que estar actualizados sino que deben ser adecuados y tiles respecto a las finalidades para las cuales nos fueron solicitados. Entenderemos por: a) Cierto: Cuando los datos se mantienen actualizados de tal manera que no se altere la veracidad de la informacin, ya que esto podra traer como consecuencia que el titular se vea afectado por esta situacin. b) Adecuado: Cuando se observa una relacin proporcional entre los datos recabados y la finalidad del tratamiento. c) Pertinente: Cuando es realizado por el personal autorizado para el cumplimiento de las atribuciones de los entes pblicos que los hayan recabado. d) No excesivo: Cuando la informacin solicitada al titular de los datos es la estrictamente necesaria para cumplir con los fines para los cuales se hubieran recabado.
Los datos personales no pueden ser tratados para fines distintos a los que motivaron su obtencin
59
El principio de calidad implica entonces que los datos debern mantenerse constantemente actualizados. Ello no supone que el responsable tenga que investigar activamente para proceder a la actualizacin, sino solamente realizar la actualizacin cuando tenga la posibilidad de conocer que un dato se encuentra desactualizado o que es inexacto. Los datos de carcter personal pueden estar almacenados en el sistema correspondiente en diferentes estados: activos y cancelados Otro medio de actualizacin de los datos es el que realiza el propio interesado mediante el ejercicio del derecho de rectificacin, previsto en el artculo 28 de la LPDPDF. Ejemplo:
En un programa social que va a otorgar un apoyo a jvenes para terminar sus estudios de bachillerato, no se debe solicitar el dato de si la persona est afectada por una minusvala, ya que ese dato no es relevante para otorgar la ayuda.
Debemos tener en cuenta que, cuando los datos ya no resultan necesarios, o no se ajusten a la finalidad para la que fueron recabados, debern ser eliminados del sistema correspondiente (principio de temporalidad). De igual forma los datos podrn cancelarse en cualquier momento cuando exista la solicitud de ejercicio de derecho de cancelacin por parte del interesado. En este caso, pudiera darse la situacin de que exista una obligacin legal que imponga conservar los datos, stos, en vez de ser eliminados del sistema, debern ser bloqueados, es decir, se deber suspender el tratamiento de los datos, dejndolos como en una especie de congeladora, de forma que slo resulten accesibles a las autoridades competentes durante el periodo que seale la obligacin legal de que se trate. En este sentido, el Cdigo Financiero del Distrito Federal, establece la obligacin de conservar la documentacin y dems elementos contables y comprobatorios durante un periodo de 5 aos, el cual sera aplicable, por ejemplo, al padrn de Impuesto sobre Nminas. Por tanto, los datos de carcter personal pueden estar almacenados en el sistema correspondiente en diferentes estados: activos, lo que supone que pueden ser tratados mientras son necesarios para cumplir la finalidad para la cual fueron obtenidos y cancelados cuando ya no son necesarios para dicha finalidad.
60
A su vez, los datos cancelados pueden encontrarse en dos situaciones distintas: Boqueados. Los datos slo estn disponibles para la tramitacin de posibles responsabilidades derivadas del tratamiento y slo durante el plazo de prescripcin de dichas responsabilidades. Eliminacin de los datos. Significa la destruccin o desaparicin fsica de los datos personales bloqueados una vez cumplido el plazo. Principio de confidencialidad, consite en garantizar que slo las personas autorizadas accedan a los datos personales para su tratamiento con la obligacin de observar el deber de secreca. El deber de confidencialidad subsiste aun despus de finalizado el tratamiento de los datos y, tambin, despus de terminada la relacin laboral entre el ente pblico y las personas que realizaban el tratamiento de datos personales. Este principio conlleva que, si el ente pblico contrata servicios que requieran el tratamiento de datos personales, ste deber asegurarse de que, en los instrumentos jurdicos que Eliminar datos innecesarios o sin finalidad jurdica correspondan a esa contratacin, se estipule la obligacin de garantizar la seguridad y confidencialidad de los sistemas de datos personales, as como la prohibicin de utilizarlos con propsitos distintos a los establecidos en el contrato, mismo que deber contemplar penas convencionales en caso de incumplimiento. Ejemplo de clusula de confidencialidad:
Las partes asumen la obligacin de guardar secreto profesional sobre cuanta informacin pudieran recibir, gestionar y articular con relacin a los datos personales y a no comunicarlos a terceros, salvo excepciones legales, as como a
61
destruirlos, cancelarlos o devolverlos en el momento de la finalizacin de la relacin contractual entre ambas partes, as como a aplicar las medidas de seguridad necesarias.
Principio de seguridad, este consiste en garantizar que nicamente el responsable del sistema de datos personales o en su caso las personas debidamente autorizadas puedan llevar a cabo el tratamiento de los datos personales mediante procedimientos establecidos para este efecto. En este sentido, el responsable deber adoptar las medidas de ndole tcnica y organizativa que sean necesarias a fin de garantizar la integridad, confiabilidad, confidencialidad y disponibilidad de los datos de carcter personal y as evitar su alteracin, prdida, tratamiento o acceso no autorizado. Para ello la ley prev la existencia de un documento de seguridad, el cual, desde el punto de vista de la seguridad de la informacin, tiene el carcter de documento interno de una organizacin y constituye un pilar fundamental de las polticas de seguridad ya que tiene como objetivo principal recoger todas las medidas, normas, procedimientos, reglas y estndares de ndole tcnica y organizativa que permitan garantizar los niveles de seguridad en el tratamiento de los datos personales. Desde el punto de vista jurdico, el cumplimiento de las medidas tcnicas y organizativas dispuestas en el documento de seguridad, tiene como finalidad garantizar el derecho de proteccin de datos de carcter personal de los sistemas que almacena y trata el ente pblico para el cumplimiento de sus atribuciones legales. El documento de seguridad debe contener como mnimo: UU El mbito de aplicacin. UU Las medidas, normas, procedimientos de actuacin, reglas y estndares utilizados. UU Las funciones y obligaciones del personal en relacin con el tratamiento de los datos de carcter personal.
62
UU La estructura de los sistemas de datos personales que contengan datos de carcter personal y la descripcin de los sistemas de informacin que los tratan. UU El procedimiento de notificacin, gestin y respuesta ante incidencias. UU Los procedimientos de realizacin de copias de respaldo y de recuperacin de los datos en los ficheros o tratamientos automatizados. UU Las medidas que sea necesario adoptar para el transporte de soportes y documentos, as como para la destruccin de los documentos y soportes, o en su caso, la reutilizacin de estos ltimos. La legislacin en materia de proteccin de datos, establece que el documento de seguridad deber mantenerse actualizado y ser revisado siempre que se produzcan cambios relevantes en los sistemas de informacin o en el tratamiento de datos de la empresa o entidad. Principio de disponibilidad, se refiere a que los datos deben almacenarse de forma tal que se nos permita, en todo momento, el ejercicio de los derechos de acceso, rectificacin, cancelacin y oposicin. Los sistemas de datos personales, deben organizarse de tal manera que el acceso a los datos personales contenidos en l sea gil. As, bajo una organizacin adecuada, se facilita que, ante solicitudes de derechos ARCO, se nos pueda dar una pronta respuesta, ya que los datos sobre los cuales ejercemos estos derechos estarn disponibles para una respuesta en tiempo y forma a nuestra solicitud. Principio de temporalidad, segn este principio, los datos personales deben ser destruidos cuando hayan dejado de ser necesarios o pertinentes a los fines para los que fueron obtenidos. Tambin se denomina principio de caducidad, e implica la conservacin limitada de los datos, es decir, stos slo deben mantenerse mientras sean necesarios para el cumplimiento de la finalidad que motiv su recoleccin. Cabe sealar que no se violentara este principio, si los datos son tratados posteriormente para fines estadsticos o cientficos, siempre y cuando, sean previamente disociados.24
63
Carcter de los expe
Por tanto, los datos se conservarn en una forma que permita la identificacin de los interesados durante un periodo no superior al necesario para el cumplimiento de los fines para los que fueron obtenidos o para los que se traten posteriormente. La Ley prev tambin que los datos pueden ser conservados de manera ntegra y permanente, nicamente, para fines histricos.
Datos personales: uso autorizado en estadstica, ciencia e historia

64
Tema 4. Sistemas de Datos Personales25 De acuerdo con lo que establece la Ley, un sistema de datos personales consiste en todo conjunto organizado de archivos, registros, ficheros, bases o banco de datos personales de los entes pblicos, cualquiera que sea la forma o modalidad de su creacin, almacenamiento, organizacin y acceso. La cuestin a dilucidar es cmo identificar si estamos en presencia de un sistema de datos personales o no y, por tanto, si hay obligacin de cumplir con las disposiciones que la LPDPDF determina. En la prctica, la identificacin de estos sistemas no es una labor sencilla, ya que la definicin legal no ayuda a delimitar su contenido. Sin embargo, algunos factores que pueden resultar tiles para determinar si estamos ante un sistema de datos personales son la finalidad, los usos previstos, las personas de las que se obtendrn los datos, la descripcin de stos y el rgano responsable del sistema. As, estaremos en presencia de un sistema de datos personales si estamos ante un conjunto de datos que se obtienen de un colectivo de personas para el cumplimiento de una finalidad determinada. Esta finalidad, comnmente, est estrechamente vinculada al ejercicio de competencias legales y al cumplimiento de funciones administrativas. Entonces, sern las funciones y atribuciones normativas que requieren se recabe informacin personal de los ciudadanos, las que darn lugar a la identificacin de un sistema de datos personales.
Cmo funciona el sistema
Por ello, la identificacin de los sistemas de datos personales existentes en un ente determinado, debe realizarse a partir de las competencias administrativas, atribuciones normativas o funciones, que justifican el desarrollo de una actividad y la existencia de procesos de gestin pblica donde se manejan datos personales.26 Un sistema de datos personales se identifica, entonces, por el propsito o finalidad con la que se tratan los datos de carcter personal
65
contenidos en ste, sobre el cual debern cumplirse las obligaciones contenidas en la Ley y dems normativa aplicable, tales como su registro ante el InfoDF y la adopcin de las medidas de seguridad que correspondan segn la categora de datos que los sistemas incluyan. Al interior de un sujeto obligado por la Ley encontraremos, al menos, sistemas de datos personales relativos al personal que labora en el ente y sistemas de proveedores y, dependiendo de su actividad especfica, habr sistemas de beneficiarios, contribuyentes, becarios, prestadores de servicio social y otros sistemas especficos que obedecern a la especialidad de las atribuciones que tiene cada institucin. A la vista de estos ejemplos, en los sistemas de personal se incluyen datos de los empleados que son necesarios para el inicio y mantenimiento de la relacin laboral, tales como nombre, domicilio, Registro Federal de Contribuyentes (RFC), as como trayectoria acadmica y profesional. Datos similares se pueden encontrar en los sistemas de proveedores, como son nombre o razn social, RFC, datos bancarios para transferencias como la CLABE (Clave Bancaria Estandarizada) necesarios para el desarrollo de la adquisicin de bienes o servicios. Entonces, un sistema de datos personales, es un conjunto organizado de datos de carcter personal, cualquiera que sea su soporte, organizacin o acceso, siempre que tenga una estructura que permita un fcil acceso a los datos de una persona determinada. Por otro lado, los sistemas deben responder a un nivel de desglose semejante al de la actividad que los entes desarrollan. En este sentido, si existe una delimitacin de sus diferentes atribuciones se debe, por ende, poder especificar las distintas finalidades de los sistemas de datos personales. Por ejemplo, si un mismo ente presta diversos servicios sociales, tales como atencin mdica a domicilio, ayuda econmica, uniformes escolares gratuitos, apoyo a madres solteras, lo lgico es que tenga un sistema de datos personales para cada uno de estos servicios, ya que prestar uno u otro implica la obtencin de datos distintos en cada uno de los supuestos. Por disposicin legal,27 a cada ente pblico le corresponde determinar a travs de su titular o, en su caso del rgano competente, la
66
Es importante que los sistemas de datos personales en posesin de los entes pblicos, se inscriban en el registro que al efecto habilite el InfoDF
creacin, modificacin y supresin de sistemas de datos personales de acuerdo a su mbito de competencia. As, en el caso de la Jefatura de Gobierno, correspondera a su titular, el Jefe de Gobierno, esta determinacin. En el caso del InfoDF, correspondera al Pleno, al ser ste la instancia directiva, en tanto que dicha facultad, en el caso del Instituto Electoral del Distrito Federal, est atribuida al Consejo General. Esto depender de la estructura de cada ente.
Aspectos de todo sistema de datos personales Esta determinacin debe ser publicada en la Gaceta Oficial del Distrito Federal y es necesario incluir, en los casos de creacin de sistemas de datos personales, al menos, los siguientes aspectos: a) La finalidad del sistema de datos personales y los usos previstos para el mismo. b) Las personas o grupos de personas sobre los que se pretenda obtener datos de carcter personal o que resulten obligados a suministrarlos. c) El procedimiento de recoleccin de los datos de carcter personal. d) La estructura bsica del sistema de datos personales y la descripcin de los tipos de datos incluidos en el mismo.
67
e) De la cesin de las que pueden ser objeto los datos. f) Las instancias responsables del tratamiento del sistema de datos personales. g) La unidad administrativa ante la que podrn ejercitarse los derechos de acceso, rectificacin, cancelacin u oposicin. h) El nivel de proteccin exigible.
En caso de que el titular decida cambiar el sistema de datos personales en cualquiera de los anteriores aspectos, dicha modificacin tambin debe publicarse en la Gaceta Oficial indicando cules de stos fueron modificados. Las disposiciones que se dicten para la supresin de sistemas de datos personales, deben indicar el destino que vaya a darse a los datos contenidos en los mismos o, en su caso, las medidas previstas para su destruccin. En este caso, podrn excluirse aquellos datos que, previa disociacin, sean tratados para finalidades estadsticas o histricas. La publicacin en la Gaceta Oficial del Distrito Federal, de los acuerdos por medio de los cuales se determina la creacin de un sistema de datos personales, adems de darle publicidad al acto, permite dotar a dichos acuerdos de cierta fuerza normativa, ya que con ello, los interesados cuentan con certeza jurdica acerca de la finalidad del tratamiento que van a recibir los datos que proporcionen y, de la instancia a la que pueden acudir a ejercer los derechos que la Ley les otorga. Es importante que los sistemas de datos personales en posesin de los entes pblicos, se inscriban en el registro que al efecto habilite el InfoDF, ya que esto permitir a los interesados, conocer los sistemas de datos personales que obran en las distintas dependencias locales, y les facilitar, tambin, el ejercicio de sus derechos ARCO. La informacin que debe contener el registro es similar a la del acuerdo de creacin de un sistema de datos personales. Los Lineamientos regulan con mayor detalle, los campos que deben contener tanto el acuerdo de creacin como los del registro:
Un sistema de datos personales es un conjunto organizado de datos de carcter personal, cualquiera que sea su soporte, organizacin o acceso, siempre que tenga una estructura que permita un fcil acceso a los datos de una persona determinada
68
Creacin I. Denominacin del sistema de datos personales, indicando normativa aplicable, as como la descripcin de la finalidad y usos previstos II. El origen de los datos, indicando el colectivo de personas sobre las que se pretende obtener datos de carcter personal, o que resulten obligados a suministrarlos; su procedencia (propio interesado, representante, ente pblico, etctera) as como el procedimiento de obtencin de los mismos (formulario, Internet, transmisin electrnica, etctera) III. La estructura bsica del sistema con descripcin detallada de datos identificativos y, en su caso, de los especialmente protegidos, as como las restantes categoras de datos de carcter personal; modo de tratamiento utilizado en su organizacin (manual o automatizado). En su caso, sealar los datos de carcter obligatorio y facultativo IV. Las cesiones de datos que se tengan previstas, indicando, en su caso, los destinatarios o categoras de destinatarios V. La identificacin de la unidad administrativa a la que corresponde el sistema de datos personales, as como del cargo del responsable VI. Domicilio oficial y direccin electrnica de la Oficina de Informacin Pblica VII. Indicacin del nivel de seguridad que resulte aplicable: bsico, medio o alto
Registro I. Nombre del Sistema y, en su caso, fecha de publicacin en la Gaceta Oficial del Distrito Federal II. Nombre y cargo del responsable del sistema
III. Identificacin del sistema, finalidades y usos previstos, as como el soporte en el que se encuentra
IV. La categora de los datos personales contenidos en el sistema, forma de recoleccin y actualizacin de los mismos V. Unidad administrativa en la que se encuentra el sistema
VI. Destino y personas fsicas o morales a las que puedan ser transmitidos VII. Modo de interrelacionar la informacin contenida en el sistema y el plazo de conservacin de los datos
(Contina en la siguiente pgina)
69
(Viene de la pgina anterior)
Creacin
Registro VIII. Telfono y correo electrnico del responsable IX. Normativa aplicable al sistema X. Indicacin del nivel de seguridad aplicable: bsico, medio o alto
Un principio fundamental que se regula en el captulo en estudio, es la obligacin de cumplir con el denominado deber de informacin o derecho de informacin al interesado, el cual constituye el fundamento previo necesario para el correcto funcionamiento de un esquema jurdico de proteccin de datos, ya que sera difcil que se puedan ejercer derechos tales como el de acceso o de oposicin al tratamiento de sus datos, si previamente no conocemos en qu sistema y bajo qu parmetros sern tratados nuestros datos. Los entes pblicos tienen deber de informar a los interesados, al momento de recabar datos personales de stos, de forma expresa, precisa e inequvoca lo siguiente (artculo 9): 1) De la existencia de un sistema de datos personales, del tratamiento de datos personales, de la finalidad de la obtencin de stos y de los destinatarios de la informacin. 2) Del carcter obligatorio o facultativo de responder a las preguntas que les sean planteadas. 3) De las consecuencias de la obtencin de los datos personales, de la negativa a suministrarlos o de la inexactitud de los mismos. 4) De la posibilidad para que estos datos sean difundidos, en cuyo caso deber constar el consentimiento expreso del interesado, salvo cuando se trate de datos personales que por disposicin de una Ley sean considerados pblicos. 5) De la posibilidad de ejercitar los derechos de acceso, rectificacin, cancelacin y oposicin.
70
6) Del nombre del responsable del sistema de datos personales y en su caso de los destinatarios.
Para el cumplimiento de esta obligacin, el InfoDF emiti un acuerdo por medio del cual aprob la leyenda que deben utilizar los entes pblicos para informar a los interesados de estas advertencias:
Los datos personales recabados sern protegidos, incorporados y tratados en el Sistema de Datos Personales (nombre del sistema de datos personales), el cual tiene su fundamento en (fundamento legal que faculta al Ente pblico para recabar los datos personales), cuya finalidad es (describir la finalidad del sistema) y podrn ser transmitidos a (destinatario y finalidad de la transmisin), adems de otras transmisiones previstas en la Ley de Proteccin de Datos Personales para el Distrito Federal. Los datos marcados con un asterisco (*) son obligatorios y sin ellos no podr acceder al servicio o completar el trmite (indicar el servicio o trmite de que se trate). Asimismo, se le informa que sus datos no podrn ser difundidos sin su consentimiento expreso, salvo las excepciones previstas en la Ley. El responsable del Sistema de datos personales es (nombre del responsable), y la direccin donde podr ejercer los derechos de acceso, rectificacin, cancelacin y oposicin, as como la revocacin del consentimiento es (indicar el domicilio de la Oficina de Informacin Pblica correspondiente). El interesado podr dirigirse al Instituto de Acceso a la Informacin Pblica del Distrito Federal, donde recibir asesora sobre los derechos que tutela la Ley de Proteccin de Datos Personales para el Distrito Federal al telfono: 5636-4636; correo electrnico: datos.personales@ infodf.org.mx o www.infodf.org.mx.
Otro principio bsico en materia de proteccin de datos es el relativo a los datos especialmente protegidos, conocidos como datos sensibles
En los casos en que los datos no fueron obtenidos directamente del interesado, el ente pblico debe hacer de su conocimiento los aspectos que conforman el deber de informacin dentro de un plazo de tres meses. En este sentido, no hay obligacin de hacerlo, si el interesado fue informado con anterioridad que:
71
UU Sus datos estn incorporados en un sistema. UU Del tratamiento. UU La finalidad y destinatarios de la informacin. UU De una posible difusin, en la que habr que otorgar su consentimiento expreso, salvo que por ley sean considerados pblicos. UU De la posibilidad de ejercer los derechos ARCO. Entonces las excepciones al deber de informar son: 1) Que se haya informado al interesado con anterioridad. 2) Que as lo prevea expresamente una Ley. 3) Cuando los datos provengan de fuentes accesibles al pblico en general. Los datos personales recabados con fines policiales se cancelarn cuando dejen de ser necesarios para las investigaciones que motivaron su almacenamiento 4) Cuando resulte imposible o exija un esfuerzo desproporcionado realizar tal comunicacin, siempre atendiendo al nmero de interesados y antigedad de los datos. Otro principio bsico en materia de proteccin de datos es el relativo a los datos especialmente protegidos, conocidos como datos sensibles. Este es un principio muy importante que establece que nadie est obligado a proporcionar datos como: UU Origen tnico o racial. UU Caractersticas morales o emocionales. UU Ideologa y opiniones polticas. UU Creencias. UU Convicciones religiosas. UU Ideas filosficas. UU Preferencia sexual.
72
Datos no obligatorios En este sentido, est prohibida la creacin de sistemas de datos personales que tengan la finalidad exclusiva de almacenar este tipo de datos personales, con la excepcin de que slo pueden ser tratados cuando: UU Medien razones de inters general. UU As lo disponga una ley. UU Lo consienta expresamente el interesado. UU Con fines estadsticos o histricos, esto siempre y cuando se hubiera realizado previamente el procedimiento de disociacin. El procedimiento de disociacin no es necesario en caso de estudios cientficos o de salud pblica.
73
Los datos sensibles son aquellos que por su propia naturaleza impulsan a la persona a la ms absoluta reserva de dicha informacin y suponen que su divulgacin, le coloque en una situacin de vulnerabilidad en el entorno social o familiar. La salud, la sexualidad, la ideologa poltica, as como las creencias religiosas son consideradas como datos sensibles que se colocan en la esfera ntima del ser humano y que slo el titular del dato puede divulgar. La proteccin de datos personales sensibles, tiene como objetivo dificultar la identificacin de personas por sus caractersticas ntimas que las hacen ms vulnerables, se trata, en definitiva, de una proteccin que se basa en el riesgo de discriminacin o de persecucin poltica, social, racial o religiosa. Adems de lo relativo a los datos sensibles, en este captulo, se hace referencia a los sistemas creados con fines administrativos por instituciones de seguridad pblica, establecindose que los mismos quedarn sujetos al rgimen general de proteccin de la Ley. Datos de carcter personal obtenidos para fines policiales. Se establece (artculo 11) que pueden ser recabados sin consentimiento y que deben estar limitados a los supuestos y categoras que resulten necesarios para la prevencin de un peligro real para la seguridad pblica o para la prevencin o persecucin de los delitos. La obtencin y tratamiento de estos datos, solo podr realizarse en los supuestos en que sea absolutamente necesario para los fines de una investigacin concreta, sin perjuicio del control de legalidad de la actuacin administrativa, o de la obligacin de resolver las pretensiones formuladas por los interesados ante los rganos jurisdiccionales. Los datos personales recabados con fines policiales se cancelarn cuando dejen de ser necesarios para las investigaciones que motivaron su almacenamiento, y debern tomarse en consideracin aspectos como: UU La edad del interesado. UU El carcter de los datos. UU La necesidad de mantenerlos hasta la conclusin de una investigacin o procedimiento concreto.
74
Los entes pblicos estn obligados a adoptar medidas de seguridad tan slo por el hecho de contar con sistemas de datos personales y realizar tratamientos de datos, tanto de particulares, como de servidores pblicos
UU La resolucin judicial firme, en especial la absolutoria. UU El indulto. UU La rehabilitacin. UU La prescripcin de responsabilidad. Lo que se busca con la cancelacin de este tipo de datos, es lo que se conoce como derecho al olvido mediante la eliminacin de datos caducos. Bajo este principio, determinados datos deben ser borrados de los sistemas transcurrido cierto tiempo desde que sucedi el hecho para el cual se recabaron, esto con la finalidad de evitar que las personas queden prisioneras de su pasado. En este sentido, si una persona fue parte de una investigacin policial pero al final de la misma result inocente, tiene derecho a solicitar que sus datos sean eliminados de los archivos policiales y as mantener su reputacin intacta. Los responsables de los sistemas de datos personales con fines policiales, para la prevencin de conductas delictivas o en materia tributaria, podrn negar el acceso, rectificacin, oposicin y cancelacin de datos personales, en funcin de los peligros que pudieran derivarse para la defensa del Estado o la seguridad pblica, la proteccin de los derechos y libertades de terceros o, las necesidades de las investigaciones que se estn realizando, as como cuando los mismos obstaculicen la actuacin de la autoridad durante el cumplimiento de sus atribuciones. Tema 5. Medidas de Seguridad Los entes pblicos estn obligados a adoptar medidas de seguridad tan slo por el hecho de contar con sistemas de datos personales y realizar tratamientos de datos, tanto de particulares, como de servidores pblicos. Las medidas de seguridad previstas en la Ley28 revisten dos caractersticas principales: 1) Se trata de medidas que constituyen mnimos exigibles, por lo que el ente pblico deber observarlas sin perjuicio del estado
75
La documentacin
la tecnologa, la naturaleza de los datos almacenados y los riesgos a los que estn expuestos. El ente pblico debe adoptar las medidas adicionales que estime necesarias para garantizar la proteccin y resguardo de la informacin. 2) Las medidas son acumulativas, es decir, el nivel medio implica la adopcin de medidas de seguridad descritas en este nivel, ms las dispuestas para el nivel bsico. Las de nivel alto, implican la adopcin de las medidas definidas para los tres niveles (bsico, medio y alto). La Ley establece (artculo 13) una serie de obligaciones que deben ser observadas por los entes pblicos en cuanto a las medidas de seguridad, mismas que debern: 1) Responder al nivel de proteccin que ameriten los datos. 2) Constar por escrito y comunicar el nivel aplicable al Instituto para su registro. 3) Sealar nombre y cargo del servidor pblico responsable del sistema de datos personales. 4) Especificar a la persona fsica o moral que intervenga como usuario e indicar datos del acto jurdico por el que se otorg el tratamiento. 5) Notificar al Instituto la actualizacin de estos datos dentro de los 30 das hbiles siguientes a su modificacin. Se regulan tambin los tipos y niveles de seguridad que deben adoptarse (artculo 14). La Ley distingue a los tipos de seguridad en: UU Fsica. UU Lgica. UU De desarrollo y aplicaciones. UU De cifrado. UU De comunicaciones y redes.
76
Por otro lado, se distingue entre medidas de seguridad de nivel bsico, medio y alto. Bsico. Se aplica a todos los sistemas de datos personales como: a) Documentos de seguridad. b) Funciones y obligaciones del personal que intervenga en el tratamiento de los sistemas de datos personales. c) Registro de incidencias. d) Identificacin y autentificacin. e) Control de acceso. f ) Gestin de soportes. g) Copias de respaldo y recuperacin.
Medio. Aplica a los sistemas que contienen datos relativos a la comisin de infracciones administrativas o penales, hacienda pblica, servicios financieros, datos patrimoniales, as como a los sistemas que contengan datos que permitan obtener una evaluacin de la personalidad del individuo. Adems de las medidas del nivel bsico considera los siguientes aspectos: a) Responsable de seguridad. b) Auditora. c) Control de acceso fsico. d) Pruebas con datos reales.
Alto. Se aplica a sistemas de datos concernientes a ideologa, religin, creencias, afiliacin poltica, origen racial o tnico, salud, biomtricos, genticos o vida sexual, as como los que contengan datos recabados para fines policiales, de seguridad, prevencin, investigacin y persecucin de delitos. Los sistemas de datos a los que corresponde adoptar este nivel de seguridad, adems de incorporar las medidas de nivel bsico y medio, debern contemplar: a) Distribucin de soportes. b) Registro de acceso. c) Telecomunicaciones.
77
Niveles de seguridad En los Lineamientos se define al documento de seguridad, como el instrumento que establece las medidas y procedimientos administrativos, fsicos y tcnicos de seguridad aplicables a los sistemas de datos personales, necesarios para garantizar la proteccin, confidencialidad, integridad y disponibilidad de los datos contenidos en dichos sistemas.
78
Este instrumento debe generarse para todos los sistemas de datos personales que existan en los entes pblicos, ya que es un aspecto de seguridad aplicable a todos los niveles y su contenido variar dependiendo del nivel de cada sistema, por lo que una cuestin fundamental es identificar el tipo de datos contenidos en ellos. Veamos en qu consisten cada uno de los aspectos correspondientes a los diferentes niveles de seguridad. Nivel bsico, contempla: La elaboracin del documento de seguridad, que debe contener: 1) Nombre del sistema. 2) Cargo y adscripcin del responsable. 3) mbito de aplicacin. 4) Estructura y descripcin del sistema de datos personales. 5) Especificacin detallada de la categora de datos personales contenidos en el sistema. 6) Funciones y obligaciones del personal que intervenga en el tratamiento de los sistemas de datos personales. 7) Medidas, normas, procedimientos y criterios enfocados a garantizar el nivel de seguridad exigido por la Ley y los presentes Lineamientos. 8) Procedimientos de notificacin, gestin y respuesta ante incidencias. 9) Procedimientos para la realizacin de copias de respaldo y recuperacin de los datos. 10) Procedimientos para la realizacin de auditoras, en su caso. La responsabilidad de la elaboracin del documento de seguridad, recae en el responsable del sistema de datos personales y, como ya se ha mencionado, es posible la adopcin de medidas adicionales a las establecidas en la Ley, que pueden ser plasmadas en este documento. Su actualizacin debe realizarse anualmente, o cada vez que se produzcan cambios relevantes en el tratamiento que puedan repercutir en el cumplimiento de las medidas de seguridad implantadas.
79
La responsabilidad de la elaboracin del documento de seguridad recae en el responsable del sistema de datos personales
Funciones y obligaciones del personal que interviene en el tratamiento de los sistemas de datos personales, deben estar claramente definidas en el documento de seguridad. El responsable, debe adoptar las medidas necesarias para que el personal conozca las normas de seguridad que afecten el desarrollo de sus funciones, as como las responsabilidades y consecuencias en que pudiera incurrir en caso de incumplimiento. Se deben prever, para traslado de la documentacin, medidas dirigidas a evitar la sustraccin, prdida o acceso indebido a la informacin durante su transporte En este punto, es til apoyarse en el Manual de Organizacin de la institucin, pues se trata de plasmar la clasificacin de los puestos de trabajo partiendo de un anlisis funcional de la organizacin, detallar las funciones y obligaciones de los diferentes puestos y especificar las autorizaciones al personal para el tratamiento de datos personales. Registro de incidencias. Consiste en un procedimiento de notificacin y gestin de cualquier anomala que afecte o pudiera afectar la seguridad de los datos. Este registro, debe plasmarse en una bitcora y contener: a) La descripcin del tipo de incidencia. b) El momento en que se present. c) Persona que realiza la notificacin. d) A quin se comunica. e) Los efectos que se hubieran derivado de la misma y las acciones implementadas.
Identificacin y autenticacin. El primero, consiste en el procedimiento para el reconocimiento de la identidad de la persona que acceda al sistema de datos personales, en tanto que el segundo, se refiere al procedimiento de comprobacin de identidad de la persona autorizada para el tratamiento de datos personales. Se aplica a los sistemas de datos personales automatizados, pues se trata de procedimientos de asignacin de claves tanto de identificacin como de autenticacin, en suma, se trata de las claves de usuario y contrasea. En este sentido, el responsable tiene a su cargo la elaboracin de una relacin actualizada de los servidores pblicos que tienen acceso autorizado al sistema de datos personales, y de establecer procedimientos:
80
1) Que permitan la correcta identificacin y autenticacin para el acceso. 2) Que permitan la identificacin, de forma inequvoca y personalizada, de toda aquella persona que intente acceder al sistema de datos personales y la verificacin de que est autorizada. Cuando el mecanismo de autenticacin se base en la existencia de contraseas, debe establecerse un procedimiento especfico para la asignacin, distribucin y almacenamiento de las mismas que garantice su confidencialidad e integridad. Las contraseas deben ser creadas bajo un procedimiento que especifique su longitud, formato y contenido. La modificacin de las mismas, debe realizarse de manera peridica, registrarse en el documento de seguridad y conservarse cifradas. Control de acceso. Se refiere a los procedimientos que deben existir para regular el acceso a los lugares donde se encuentren instalados o resguardados los sistemas de datos personales. El responsable debe mantener actualizada la relacin de personas y los accesos autorizados para cada una de ellas y solamente l podr conceder, alterar o anular la autorizacin para el acceso a los sistemas de datos personales. Gestin de soportes. Se refiere a que los soportes y documentos que contengan datos de carcter personal permitan identificar el tipo de informacin que contienen, ser inventariados y ser accesibles slo por el personal autorizado para ello en el documento de seguridad. La salida de estos soportes y documentos de los locales bajo el control del responsable, debe ser autorizada por ste, o encontrarse acreditada en el documento de seguridad. Nivel bsico de seguridad
81
Se deben prever, para traslado de la documentacin, medidas dirigidas a evitar la sustraccin, prdida o acceso indebido a la informacin durante su transporte. Siempre que vaya a desecharse cualquier documento o soporte que contenga datos de carcter personal, su destruccin o borrado, deber contemplar medidas encaminadas a impedir el acceso a la informacin contenida en el mismo o su recuperacin posterior. Copias de respaldo y recuperacin. Es el ltimo aspecto que debe incorporarse a las medidas de seguridad del nivel bsico y hace alusin a los procedimientos para: El periodo de conservacin de los datos consignados en el registro de acceso debe ser de, al menos, dos aos a) La realizacin de copias de respaldo y su periodicidad. En caso de que los datos personales se encuentren en soporte fsico, debe procurarse que el respaldo se efecte mediante la digitalizacin de los documentos. b) Procedimientos para la recuperacin de datos de modo que se garantice su reconstruccin en el estado en que se encontraban al tiempo de producirse la prdida involuntaria o destruccin accidental.
El responsable debe verificar cada seis meses la correcta definicin, funcionamiento y aplicacin de los procedimientos de realizacin de copias de respaldo y de recuperacin de los datos. Se trata de que existan procedimientos de recuperacin de los datos, de forma que si ocurre algn accidente, se puedan reconstruir y llegar al estado en que estaban al momento de ocurrir el accidente. Nivel medio de seguridad. Adems de las medidas del bsico, los aspectos que debe contener son: Responsable de seguridad. Persona a la que el responsable del sistema de datos personales asigna formalmente la funcin de coordinar y controlar las medidas de seguridad aplicables. Debe estar dotado de la autoridad suficiente para implantar y vigilar el cumplimiento de las medidas de seguridad por parte del resto de las personas que intervienen en el tratamiento de datos de un sistema. Puede haber uno o varios responsables de seguridad para coordinar y controlar las medidas definidas en el documento de seguridad.
82
La designacin puede ser nica para todos los sistemas de datos en posesin del ente pblico, o diferenciada, dependiendo de los mtodos de organizacin y tratamiento de los mismos. Esta designacin nunca supone una delegacin de las facultades y atribuciones que corresponden al responsable del sistema de datos personales. En relacin con los sistemas automatizados, la figura del responsable de seguridad, se asocia con un perfil tcnico, sin embargo, dado que muchas de las medidas de seguridad son organizativas ste no es un requerimiento indispensable. Auditora. Las instalaciones y soportes en que se encuentren los sistemas de datos personales, deben ser sometidos a auditoras para verificar el cumplimiento de la Ley, de los Lineamientos y dems procedimientos vigentes en materia de seguridad de datos. Las auditoras pueden ser internas o externas y debern efectuarse cada dos aos. Las auditoras internas pueden ser realizadas por los rganos de control de los entes pblicos, en tanto que las externas por despachos o profesionistas debidamente acreditados. El informe de resultados, debe dictaminar sobre la adecuacin de las medidas de seguridad previstas en la Ley los Lineamientos, as como en las recomendaciones emitidas por el Instituto. Adems, de identificar sus deficiencias y proponer las medidas preventivas, correctivas o complementarias necesarias. El responsable debe comunicar al Instituto el informe de auditora dentro de los 20 das hbiles siguientes a su emisin, e informar sobre la adopcin de las medidas correctivas derivadas de la auditora en el plazo referido, a partir de que stas hayan sido atendidas. Nivel medio de seguridad
83
Control de acceso fsico. El acceso a las instalaciones donde se encuentren los sistemas de datos personales, ya sea en soporte fsico o automatizado, deber permitirse nicamente a quienes estn expresamente autorizados en el documento de seguridad. La diferencia entre el control de acceso del nivel bsico y medio, estriba en que las personas autorizadas en el nivel medio, debern especificarse en el documento de seguridad, en tanto que en el bajo, slo deben establecerse procedimientos para regular y controlar el acceso. Pruebas con datos reales. Las pruebas que se lleven a cabo para verificar la correcta aplicacin y funcionamiento de los procedimientos para la obtencin de copias de respaldo y de recuperacin de los datos, que sean anteriores a la implantacin o modificacin de los sistemas informticos que traten sistemas de datos personales, no se realizarn con datos reales, salvo que se asegure el nivel de seguridad correspondiente al tipo de datos tratados. En caso de que las pruebas se realicen con datos reales, deber elaborarse una copia de respaldo con anterioridad a fin de evitar su prdida o alteracin durante la realizacin de las pruebas. Nivel de seguridad alto. Adems de las medidas del bsico y medio le corresponde: Distribucin de soportes. La distribucin de los soportes que contengan datos de carcter personal, debe realizarse cifrando los datos o utilizando cualquier otro mecanismo que garantice
Nivel alto de seguridad

84
que dicha informacin no sea inteligible, ni manipulada durante su traslado o transmisin. La finalidad ltima de esta medida es evitar que, ante cualquier incidencia que pueda producirse en la distribucin de los datos, o en el soporte que los contiene, personas no autorizadas puedan acceder a la informacin y modificarla. Por ello, se recomienda la utilizacin de mecanismos de seguridad mediante claves de acceso a los sistemas, o la encriptacin de los datos con programas especializados para evitarlo. Registro de acceso. Implica que el acceso a los sistemas de datos personales, est limitado exclusivamente al personal autorizado. En el caso en que los sistemas puedan ser utilizados por mltiples autorizados deben existir mecanismos que permitan identificar sus accesos. Los mecanismos de registro de accesos, estarn bajo el control directo del responsable de seguridad correspondiente, y no estar permitida la desactivacin o manipulacin de los mismos. De cada acceso deben conservarse como mnimo: a) La identificacin de quien accedi. b) La fecha y hora. c) El sistema accedido. d) El tipo de acceso y si ste fue autorizado o denegado.
El periodo de conservacin de los datos consignados en el registro de acceso debe ser de, al menos, dos aos. Todas las aplicaciones o programas internos que traten con datos de carcter personal, deben configurarse para que registren y almacenen los datos de todas aquellas personas que acceden o intentan acceder a la aplicacin. Esta medida de seguridad se ve aumentada en el nivel alto para los sistemas automatizados respecto del registro de accesos: identificacin, hora, fichero, tipo de acceso, autorizado o denegado. No es necesario este registro si el responsable del sistema es una persona fsica y es el nico que accede al mismo. Telecomunicaciones. La transmisin de datos de carcter personal a travs de redes pblicas o redes inalmbricas de comunicaciones
85
electrnicas, debe realizarse cifrando dichos datos, o bien, utilizando cualquier otro mecanismo que garantice que la informacin no sea inteligible ni manipulable por terceros. Por lo general, se utilizan redes de telecomunicaciones abiertas para transmitir datos y archivos. Para evitar que durante la transmisin de estos datos puedan producirse intercepciones o manipulaciones no deseadas, deben utilizarse mecanismos de cifrado de los datos con programas especializados, o transmitir datos a travs de redes privadas, que garanticen que la comunicacin entre dos puntos es segura, y no pueda ser interceptada por terceras personas. Tema 6. Tratamiento de Datos Personales Los entes pblicos realizan tratamiento de datos personales necesarios para el ejercicio de sus atribuciones, derivado de este tratamiento, deben atender una serie de obligaciones que reflejan la observancia de los principios bsicos de la proteccin de datos, entre ellas: UU Informar al interesado con carcter previo al tratamiento de los datos de carcter personal. UU Recabar slo datos imprescindibles para ejercer sus atribuciones. UU Facilitar a las personas el ejercicio de los derechos de Acceso, Rectificacin, Cancelacin y Oposicin (ARCO). La Ley, en el captulo relativo al tratamiento de datos personales, establece que ste requerir el consentimiento inequvoco, expreso y por escrito del interesado (artculo 16). El consentimiento del interesado implica, la manifestacin de voluntad, libre, inequvoca, especfica e informada, mediante la cual ste consiente el tratamiento de sus datos personales. Sin embargo, la ley prev una serie de excepciones a este principio, en las cuales no se requiere del consentimiento para el tratamiento de datos personales: 1) En el ejercicio de las atribuciones legales conferidas a los entes pblicos. Por ejemplo, cuando la Secretara de Finanzas solicita datos personales para el ejercicio de su funcin recaudadora.
86
2) Cuando los datos se refieren a las partes de un convenio de una relacin de negocios, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento. Por ejemplo, no es necesario que se preste el consentimiento cuando los datos personales son utilizados para elaborar una tarjeta para el control de horario, puesto que es deber de los trabajadores cumplir con la jornada laboral y los datos son necesarios para dicho control. 3) Cuando el interesado no est en posibilidad de otorgar su consentimiento por motivos de salud, y el tratamiento de datos es necesario para la prevencin o diagnstico mdico, siempre que dicho tratamiento se realice por una persona sujeta al secreto profesional. 4) En materia de salud, si median razones de salubridad pblica, de emergencia o pa ra la realizacin de estudios epidemiolgicos, por ejemplo, para la prevencin de una eventual epidemia. 5) Cuando la transmisin de datos se encuentre prevista Cundo no se requiere consentimiento en una ley, como puede ser el acceso a la informacin contenida en el padrn electoral y en las listas nominales de electores, por parte de los partidos polticos y que est bajo
87
resguardo del Instituto Federal Electoral. El acceso a esta informacin, se encuentra previsto en el Cdigo Federal de Instituciones y Procedimientos Electorales (COFIPE), norma con rango de ley expedida por el Congreso de la Unin. 6) Cuando hay transmisin de datos entre organismos gubernamentales para su tratamiento posterior con fines estadsticos, histricos o cientficos. En este sentido, no se requerir del consentimiento para la transmisin a la informacin amparada por la Ley del Sistema Nacional de Informacin Estadstica y Geogrfica. Esta Ley establece en su artculo 46:
Las Unidades estarn obligadas a respetar la confidencialidad y reserva de los datos que para fines estadsticos proporcionen los Informantes del Sistema. Los servidores pblicos de la Federacin, de las entidades federativas y de los municipios, tendrn la obligacin de proporcionar la informacin bsica que hubieren obtenido en el ejercicio de sus funciones y sirva para generar Informacin de Inters Nacional, que les solicite el Instituto en los trminos de la presente Ley. Lo anterior, con excepcin de los secretos bancario, fiduciario y burstil, no ser violatorio de la confidencialidad o reserva que se establezca en otras disposiciones.
7) La cesin de datos personales de un ente pblico a la compaa aseguradora con quien tiene contratada la pliza de gastos mdicos mayores para sus empleados, no requiere del consentimiento de los interesados, ya que est amparada por la excepcin que prev la cesin de datos a terceros para la prestacin de un servicio, siempre y cuando, el tratamiento se limite a una finalidad legtima establecida en un contrato. 8) Cuando media una orden judicial, si una autoridad jurisdiccional requiere acceso a ciertos datos para el desarrollo de su labor, no se considera que se vulnere este principio. 9) Cuando los datos figuren en registros pblicos en general y el tratamiento sea necesario, siempre que no se vulneren sus derechos y libertades. En la definicin de fuente de acceso pblico contenida en los lineamientos, se dice que tienen este carcter: los registros pblicos, los diarios, gacetas y boletines gubernamentales, as como otros medios oficiales de difusin. Por lo
88
tanto, la consulta puede ser realizada por cualquier persona, no impedida por una norma limitativa, sin ms exigencia que, en su caso, el pago de una contraprestacin, para acceder a determinado medio de informacin. En cuanto al consentimiento, la Ley prev que ste puede ser revocado cuando exista causa justificada para ello y no se le atribuyan efectos retroactivos. Por su parte, los Lineamientos precisan que, el interesado podr revocar su consentimiento mediante solicitud presentada ante la Oficina de Informacin Pblica que corresponda, a travs de los formatos que para tal efecto emita el Instituto. Los interesados deben especificar la finalidad para la cual se revoca el consentimiento para tratar sus datos personales, adems de cumplir con los requisitos establecidos en el artculo 34 de la Ley: 1) Nombre del ente pblico a quien se dirija. 2) Nombre completo del interesado, en su caso, el de su representante legal. 3) Descripcin clara y precisa de los datos personales respecto de los que se pretende revocar el consentimiento. 4) Cualquier otro elemento que facilite su localizacin. 5) El domicilio, mismo que se debe encontrar dentro del Distrito Federal, o medio electrnico para recibir notificaciones. 6) Opcionalmente, la modalidad en la que prefiere se otorgue el acceso a sus datos personales, la cual podr ser consulta directa, copias simples o certificadas. La Oficina de Informacin Pblica realizar las gestiones necesarias ante el responsable que corresponda hasta la culminacin del procedimiento conforme al artculo 32 de la Ley, relativo a la recepcin y trmite de las solicitudes para ejercer los derechos ARCO. En caso de que sea procedente la solicitud de revocacin del consentimiento, el responsable debe cesar en el tratamiento de los datos, sin perjuicio de la obligacin de bloquear los datos conforme a la Ley y Lineamientos.
89
El interesado podr revocar su consentimiento mediante solicitud presentada ante la Oficina de Informacin Pblica que corresponda, a travs de los formatos que para tal efecto emita el Instituto
En el supuesto de que los datos hubieren sido cedidos previamente, el responsable, una vez revocado el consentimiento, deber comunicarlo a los cesionarios. Tambin se prev que ante la improcedencia de la revocacin del consentimiento, el interesado podr ejercer su derecho de cancelacin. La revocacin del consentimiento sigue el mismo trmite que el utilizado en un supuesto de cancelacin, procedindose al bloqueo de los datos y, posteriormente, al cumplirse el plazo de prescripcin de las posibles responsabilidades, a la eliminacin de los datos del sistema correspondiente. Por otra parte, la Ley prev, en el captulo sobre tratamiento, que en los supuestos de utilizacin o cesin de de los datos de carcter personal en que se impida gravemente o se atente de igual modo contra el ejercicio de derechos de las personas, el Instituto podr requerir a los responsables de los sistemas de datos personales, la suspensin en la utilizacin o cesin de los datos. Si el requerimiento fuera desatendido, mediante resolucin fundada y motivada, el Instituto podr bloquear tales sistemas, de conformidad con el procedimiento que al efecto se establezca. El incumplimiento a la inmovilizacin ordenada por el Instituto ser sancionado por la autoridad competente de conformidad por la Ley Federal de Responsabilidades de los Servidores Pblicos. La inmovilizacin a que se refiere el prrafo anterior y que se encuentra prevista en el artculo 17 de la Ley, consiste en una medida cautelar que puede adoptarse en supuestos constitutivos de tratamiento ilcito de datos personales y siempre que el responsable hubiera desatendido el requerimiento previo de suspender o interrumpir la utilizacin o comunicacin de los datos. En los Lineamientos se establece el procedimiento para la aplicacin de este artculo. En cuanto a los sistemas de datos personales en materia de salud, la Ley establece un rgimen de excepcin en cuanto a su tratamiento, el cual se regir por lo dispuesto en la Ley General de Salud, la Ley de Salud para el Distrito Federal y dems normas que de ellas deriven.29 Sin embargo, se establece la obligacin de preservar los datos de identificacin personal del paciente, separados de los de carcter clnico-asistencial, de manera tal que se mantenga la confidencialidad de
90
los mismos, salvo que el propio paciente haya dado su consentimiento para no separarlos. Se exceptan los supuestos de investigacin cientfica, de salud pblica o con fines judiciales, en los que se considere imprescindible la unificacin de los datos identificativos con los clnicoasistenciales.30 En la Ley se establece una manifestacin del principio de temporalidad de los datos que se refiere a la cancelacin de los mismos cuando concluyan los plazos de conservacin establecidos en las disposiciones aplicables o cuando dejen de ser necesarios para los fines para los que fueron recabados (artculo 19). En tanto que en los Lineamientos se prev que los datos personales que hayan sido objeto de tratamiento y no contengan valores histricos, cientficos o estadsticos, debern ser cancelados del sistema de datos personales, teniendo en cuenta los siguientes plazos: a) El que se haya establecido en el formato fsico o electrnico por medio del cual se recabaron. b) El establecido por las disposiciones aplicables. c) El establecido en el instrumento jurdico formalizado entre un tercero y el ente pblico. Finalmente, dentro del apartado relativo al tratamiento de datos personales, cabe abordar lo relativo a las cesiones de datos, entendiendo por cesin:
...toda obtencin de datos resultante de la consulta de un archivo, registro, base o banco de datos, una publicacin de los datos contenidos en l, su interconexin con otros ficheros y la comunicacin de datos realizada por una persona distinta a la interesada, as como la transferencia o comunicacin de datos realizada entre entes pblicos.
En los Lineamientos se prev que la cesin de datos personales slo podr realizarse cuando el cesionario garantice por escrito un nivel de proteccin similar al empleado en el sistema de datos personales. As mismo existe la obligacin de presentar un informe anual de datos sobre el particular.
91
Tema 7. Obligaciones de los Entes Pblicos La primera obligacin a cumplir por parte de los entes pblicos recae sobre el titular del mismo, ya que es quien debe designar al responsable de los sistemas de datos personales. La Ley y los Lineamientos definen al Responsable de los Sistemas de Datos Personales como:
Ley La persona fsica que decida sobre su proteccin y tratamiento, as como el contenido y finalidad de los sistemas Lineamientos El servidor pblico de la unidad administrativa a la que se encuentre adscrito el sistema de datos personales, designado por el titular del ente pblico, que decide sobre el tratamiento de datos personales, as como el contenido y finalidad de los sistemas de datos personales
La definicin contenida en los lineamientos, es un reflejo de lo que dispone la Ley en su artculo 22 donde se prev que el titular puede delegar la atribucin de decidir sobre la finalidad, contenido y uso del tratamiento de datos personales en la unidad administrativa en la que est adscrito el responsable y el propio sistema de datos. El responsable del sistema de datos personales tiene, entre sus obligaciones, la de adoptar las medidas necesarias para evitar una vulneracin en cualquiera de los principios de proteccin de datos y debe asegurarse que toda persona que intervenga en el tratamiento de datos del sistema bajo su responsabilidad los conozca y respete. Las obligaciones a observar por parte de los responsables de sistemas de datos personales estn previstas en el artculo 21 de la Ley, entre las que destacan: UU Cumplir polticas y lineamientos para el tratamiento de datos personales. UU Adoptar las medidas de seguridad y comunicar al InfoDF el nivel de seguridad aplicable para su registro. UU Presentar un informe anual sobre el cumplimiento de la Ley.
92
UU Adoptar procedimientos para el trmite de los derechos ARCO y capacitar para su atencin y seguimiento. UU Actualizar datos personales de oficio. UU Establecer criterios especficos sobre medidas de seguridad, as como un plan de capacitacin. UU Resolver sobre el ejercicio de derechos ARCO. En el tratamiento de datos personales no slo interviene el responsable, sino que al interior del ente pblico y para el cumplimiento de sus funciones, son otras personas las que cotidianamente utilizan datos personales para el desarrollo de su labor, sin que esta utilizacin implique una delegacin de responsabilidad. A estas personas se les define en los Lineamientos bajo la figura de encargado. En tanto que el usuario es aquella persona fsica o moral externa al ente pblico que le presta servicios para tratar datos personales o que implica el tratamiento de los mismos. En estos casos, el responsable deber asegurarse que el tratamiento de datos personales est regulado en un contrato por escrito o en alguna otra forma que permita acreditar su celebracin y contenido. En este contrato debe estipularse que el usuario: UU nicamente tratar los datos conforme a las instrucciones del responsable del tratamiento. UU No aplicar o utilizar los datos con una finalidad distinta a la que figura en el contrato. UU No comunicar los datos a otras personas. UU Adoptar las medidas de seguridad que se deban implementar para su tratamiento. Concluida la relacin contractual, los datos de carcter personal debern ser destruidos o devueltos al responsable. Por otra parte, en los Lineamientos se inserta la figura de enlace que se define como:
93
Los rganos de control de proteccin de datos han sido creados con el objetivo de asegurar el cumplimiento de la legislacin en la materia y, por ende, el respeto al derecho de los ciudadanos
...el servidor pblico designado por el titular que fungir como vnculo, entre el ente pblico y el Instituto, en materia de proteccin de datos personales, quien, entre otras obligaciones, coordinar a los distintos responsables de sistemas dentro del ente y remitir el informe a que hace referencia el artculo 21 de la Ley.
El informe que deben presentar los entes pblicos a ms tardar el ltimo da hbil del mes de enero de cada ao debe contener los siguientes rubros: 1) Nmero de solicitudes de acceso, rectificacin, cancelacin y oposicin de datos personales presentadas ante el ente pblico, as como su resultado. 2) Tiempo de respuesta a la solicitud. 3) Estado de las denuncias presentadas ante los rganos internos de control, as como de las vistas dadas por el Instituto. 4) Dificultades observadas en el cumplimiento de la Ley. 5) Descripcin de los recursos pblicos utilizados en la materia. 6) Sistemas de datos personales creados, modificados y/o suprimidos. 7) Acciones de capacitacin. Dentro del catlogo de obligaciones de los entes pblicos, no se encuentra claramente establecida la que se refiere al deber de secreca, la cual constituye un principio fundamental en la proteccin de datos. Sin embargo, s est prevista en el artculo 5 de la Ley en relacin con el principio de confidencialidad. Tema 8. Instituto de Acceso a la Informacin Pblica y Proteccin de Datos Personales del Distrito Federal Los rganos de control de proteccin de datos han sido creados con el objetivo de asegurar el cumplimiento de la legislacin en la materia y, por ende, el respeto al derecho de los ciudadanos. El control es aquella actividad desplegada con el fin de comprobar, inspeccionar o fiscalizar un desempeo y que constituye un quehacer indispensable en todo sistema jurdico organizado.
94
Las leyes que existen sobre la materia normalmente atribuyen a las autoridades de control ciertas facultades tales como ordenar medidas cautelares, conferir o negar autorizacin para tratar determinada categora de datos, as como ordenar la implementacin de medidas de seguridad especficas y, en algunos casos, estn dotadas de amplias facultades sancionadoras.31 En la Ciudad de Mxico, el Instituto de Acceso a la Informacin Pblica y Proteccin de Datos Personales del Distrito Federal (InfoDF), es el encargado de dirigir y vigilar el cumplimiento de la Ley de Proteccin a Datos Personales del Distrito Federal (LPDPDF), as como de las normas que de ella deriven. Recordemos que el InfoDF es un rgano autnomo creado por la Ley de Transparencia y Acceso a la Informacin Pblica del Distrito Federal y cuenta con personalidad jurdica y patrimonio propios, autonoma presupuestaria de operacin y de decisin en materia de transparencia y acceso a la informacin pblica. El InfoDF es ahora al mismo tiempo, la autoridad encargada de garantizar la proteccin y el correcto tratamiento de datos personales con la atribucin de establecer, en el mbito de su competencia, polticas y lineamientos de observancia general para el manejo, tratamiento, seguridad y proteccin de los datos personales que estn en posesin de los entes pblicos, as como expedir aquellas normas que resulten necesarias para su cumplimiento. Fruto del ejercicio de esa atribucin es la emisin, por parte del Instituto, de los Lineamientos para la Proteccin de Datos Personales en el Distrito Federal que hemos venido analizando a lo largo de este documento que, tambin, es producto de las atribuciones legales conferidas por la Ley al InfoDF. Pero la Ley no slo faculta al Instituto para establecer normas, sino tambin le otorga otras atribuciones (artculo 24) con el fin de que sea capaz de garantizar el derecho a la proteccin de los datos personales en posesin de los entes pblicos del Distrito Federal. Dentro de stas destacan:
Cualquier persona puede ejercitar los derechos de acceso, rectificacin, cancelacin y oposicin sobre datos de carcter personal que le conciernan tratados por los entes pblicos
95
Atribuciones del InfoDF

96
UU Disear los formatos y sistema electrnico para solicitudes de derechos ARCO. UU Establecer el registro de sistemas de datos personales en posesin de los entes pblicos y mantener actualizado el de niveles de seguridad. UU Emitir opiniones, observaciones y recomendaciones derivadas de incumplimiento a los principios. UU Solicitar informes a los entes y presentarlo a la ALDF. UU Asesora, investigacin, seminarios, capacitacin, guas, promocin para difundir el conocimiento de la Ley. UU Promover en las instituciones educativas la inclusin dentro de sus actividades acadmicas de los temas que ponderen la importancia de la proteccin de datos personales. UU Resolver el recurso de revisin y, en su caso, dar vista al rgano interno de control. UU Conciliar intereses de particulares con los de entes pblicos. UU Realizar visitas de inspeccin de oficio a los entes pblicos para verificar el cumplimiento de los principios.32 En los siguientes prrafos, se presenta una breve sistematizacin de las atribuciones del Instituto en materia de proteccin de datos personales: 1) Difusin, asistencia y promocin. El InfoDF es responsable de la difusin de las disposiciones legales y reglamentarias aplicables al tratamiento de datos personales. Adems de brindar asistencia tanto a los titulares de datos como a los responsables de los sistemas que los contienen. A esta tarea, se suma la de realizar acciones de promocin en la materia, por ejemplo, mediante el desarrollo de eventos que fomenten la profesionalizacin de los servidores pblicos sobre la proteccin de datos personales. 2) Registro. Es responsable de llevar un registro de los sistemas de datos personales en posesin de los entes pblicos, quienes deben notificar al Instituto la creacin, modificacin o supresin de sistemas de datos personales.
97
Mediante los derechos ARCO, toda persona tiene derecho a que se le informe gratuitamente del origen de sus datos
3) Inspeccin. Est dotado de facultades de inspeccin, las que incluyen el requerimiento de informes y antecedentes de los responsables de sistemas de datos personales, as como el ingreso y registro de los establecimientos y equipos en que se realizan las operaciones. Por su parte, los inspectores quedan obligados a guardar confidencialidad con respecto a la informacin a que acceden con motivo del ejercicio de las facultades fiscalizadoras; y, en contrapartida, la obstruccin al desempeo fiscalizador negativa a suministrar informacin, proporcionar informacin falsa y resistencia al acceso, entre otras constituye una infraccin a la ley y faculta a la autoridad correspondiente para imponer sanciones de naturaleza administrativas a los responsables. 4) Facultades cautelares. Dispone de facultades excepcionales para adoptar medidas cautelares -tales como decretar la suspensin temporal en la utilizacin o cesin de datos, la inmovilizacin de un sistema de datos personales, o el bloqueo de determinados datos- en casos graves en que exista un riesgo real o inminente para los derechos del o los titulares de los datos personales. 5) Facultades normativas. Tiene facultades normativas, ya sea de orden general, que se concreta en disposiciones reglamentarias, o bien particular, mediante la emisin de dictmenes y pronunciamientos especficos. 6) Facultad revisora. Es la instancia ante la cual los particulares pueden presentar un recurso de revisin si consideran que la respuesta a su solicitud de un derecho ARCO les agravia. Las resoluciones que emita sern definitivas, inatacables y obligatorias. Tema 9. Derechos ARCO y Procedimiento para su Ejercicio Un aspecto fundamental de los sistemas jurdicos en materia de proteccin de datos lo constituye el establecimiento en las leyes de los denominados derechos ARCO:
A. Acceso. R. Rectificacin. C. Cancelacin. O. Oposicin.

98
La posibilidad de ejercer estos derechos es lo que dota a la persona de una verdadera facultad de disposicin sobre sus propios datos personales, ya que mediante ellos: UU Puede conocer qu datos tienen los entes pblicos. UU Rectificarlos en caso de errores. UU Cancelarlos si dejaron de ser necesarios. UU Oponerse a su tratamiento si es que fueron obtenidos sin su consentimiento. La Ley establece la posibilidad de ejercer los derechos ARCO a toda persona, y precisa que se trata de derechos independientes, por lo que el ejercicio de alguno no es condicionante ni impedimento para ejercer otro. Por tanto, cualquier persona puede ejercitar los derechos de acceso, rectificacin, cancelacin y oposicin sobre datos de carcter personal que le conciernan tratados por los entes pblicos. Un requisito indispensable para el ejercicio de estos derechos es la identificacin del interesado o, en su caso, la de su representante legal. Mediante los derechos ARCO, toda persona tiene derecho a que se le informe gratuitamente del origen de sus datos y a saber a qu otras personas o entidades, sean de derecho pblico o
Cualquier persona puede ejercer los Derechos ARCO
99
privado, han sido comunicados. Este derecho se complementa con el de rectificar la informacin incorrecta o no actualizada, con el derecho a solicitar que se destruyan aquellos datos que sean inexactos o incompletos, o aqullos que no cumplan el principio de adecuacin con la finalidad para la que fueron recabados. A continuacin describiremos cada uno de estos derechos ARCO: Derecho de Acceso. Nos permite solicitar y obtener informacin de nuestros datos personales sometidos a tratamiento, la finalidad, su origen, as como las comunicaciones realizadas o previstas. Asimismo, nos permite obtener datos concretos, as como los datos incluidos en un determinado sistema o la totalidad de los datos sometidos a tratamiento en los sistemas de datos personales en posesin de un ente pblico. Derecho de Rectificacin. Nos otorga la facultad de solicitar que se modifiquen los datos que resulten inexactos o incompletos con respecto a la finalidad para la cual fueron obtenidos. Los datos deben ser considerados exactos cuando: 1) Corresponden a nuestra situacin actual. 2) Reflejen hechos constatados en un procedimiento administrativo o judicial. Derecho de Cancelacin. Procede cuando nuestros datos son inadecuados o excesivos: 1) Inadecuados cuando no guardan relacin con el mbito de aplicacin y finalidad por la cual fueron recabados, o bien, si dejaron de ser necesarios con respecto a dicha finalidad. 2) Excesivos, si los datos obtenidos son ms de los estrictamente necesarios en relacin a dicha finalidad.
La cancelacin tambin procede cuando el tratamiento de nuestros datos personales no se ajuste a lo dispuesto en la Ley o en los Lineamientos. Aqu cabe recordar el principio de calidad que determina que, los datos personales recabados deben ser ciertos, adecuados, pertinentes
100
y no excesivos con relacin al mbito y finalidad para los que fueron obtenidos. La cancelacin no implica la desaparicin fsica del dato de modo tal que no permita su recuperacin posterior, sino que existe un paso intermedio en el que se bloquea el dato y slo permanece accesible para algunos y en determinadas circunstancias, como es el caso de autoridades pblicas y jurisdiccionales para la atencin de las posibles responsabilidades nacidas del tratamiento y slo durante los plazos de prescripcin aplicables. Pensemos, por ejemplo, en la responsabilidad administrativa, la cual tiene plazos de prescripcin para imponer sanciones que van desde los tres hasta los cinco aos, por lo que los datos relacionados con este tema tienen que conservarse hasta que ese tiempo transcurra.33 Derecho de Oposicin. Acta cuando los datos fueron recabados sin nuestro consentimiento. Ante este supuesto, podemos solicitar que no se lleve a cabo el tratamiento de nuestros datos personales para un fin determinado o se cese en el mismo. En caso de que la oposicin sea procedente, esta dar lugar a la cancelacin del dato. Es importante tener en cuenta que tanto la cancelacin, como la oposicin, de ser procedentes, dan lugar al bloqueo de los datos. El bloqueo de datos consiste en la conservacin de datos personales con el nico propsito de determinar posibles responsabilidades en relacin con su tratamiento, hasta el plazo, legal o contractual, de prescripcin de stas. Durante este periodo, los datos personales no pueden ser objeto de tratamiento y transcurrido ste, se procede a su eliminacin del sistema. Lo mismo sucede en caso de que sea procedente la revocacin del consentimiento que tratamos anteriormente. En caso de que se realice cualquier rectificacin o cancelacin sobre unos datos que previamente fueron cedidos, el responsable tendr que notificar al cesionario dicha actuacin para que ste a su vez efecte las operaciones correspondientes sobre los datos cedidos. Derecho de cancelacin: Procede cuando nuestros datos son inadecuados o excesivos
101
Los derechos ARCO no son absolutos, por lo que el responsable del sistema de datos personales podr denegarlos cuando exista una causa legal o justificada para ello. En este sentido, no procede la rectificacin si se trata de datos que: UU Reflejen hechos que formen parte de un procedimiento administrativo o un proceso judicial. UU Resulte imposible o exija esfuerzos desproporcionados, como podra ser el caso de una solicitud para que se corrijan datos de un expediente laboral de 1980 que ya no se encuentre en los archivos del ente pblico. Puede denegarse la cancelacin cuando: UU Exista un deber de conservacin de los datos. UU Pudiera afectar derechos o intereses legtimos de otras personas, como lo es el propio Estado. En este sentido, se puede negar la cancelacin de datos por motivos de seguridad pblica. Procedimiento ejercicio derechos ARCO: En relacin con este apartado diremos en primera instancia que la aplicacin cotidiana de cualquier instrumento jurdico requiere del establecimiento de un procedimiento preciso y claro que facilite la concrecin, en el terreno de lo prctico, de los preceptos y fundamentos que tutela. En este sentido, el procedimiento para el ejercicio de los derechos ARCO establecido en la Ley y los Lineamientos seala los instrumentos y mecanismos para dar cumplimiento a esta necesidad. Se refiere tanto a lo que debe cubrir el interesado como a lo que los servidores pblicos de los entes estn obligados a realizar para atender las solicitudes en esta materia. Instancia ante la que se presenta la solicitud:
102
Todos los entes pblicos cuentan con una unidad administrativa denominada Oficina de Informacin Pblica (OIP), que es la encargada, entre otras funciones, de recibir las solicitudes para el ejercicio de tus derechos ARCO. Medios de Acceso: Recordemos que estos derechos ARCO slo los puede ejercer el titular de los datos (interesado), o en su caso, su representante legal. Existen diversos medios para la presentacin de una solicitud ante la OIP correspondiente: 1) Por escrito material ante la OIP, o enviado por correo ordinario, certificado o mensajera. 2) Verbal, de manera oral y directa, la cual ser capturada por el responsable de la OIP en el formato respectivo e ingresada al sistema INFOMEX-DF. 3) Correo electrnico a la direccin de correo electrnico asignada a la OIP. 4) Por el sistema electrnico INFOMEX-DF. 5) Va telefnica, al 5636-4636, a travs del servicio TELINFODF. Requisitos: A fin de que el Ente te atienda de la forma adecuada, en cualquiera de los medios de acceso disponibles, es necesario que en tu solicitud proporciones los siguientes datos: 1) Ente pblico a quien diriges la solicitud. 2) Tu nombre completo y, en su caso, el de tu representante legal. 3) Descripcin clara y precisa de los datos personales respecto de los que buscas ejercer algn derecho ARCO. 4) Cualquier otro elemento que facilite su localizacin. Procedimiento de los Derechos ARCO
103
5) El domicilio, mismo que se debe encontrar dentro del Distrito Federal, u otro medio para recibir notificaciones (correo electrnico, OIP, si no lo indicas se te notificar por estrados).
Adems de estos requisitos, existen algunos otros que son especficos del derecho que vayas a ejercer: UU Derecho de Acceso: Indicar la modalidad en la que prefiere se otorgue el acceso que puede ser consulta directa, copias simples o certificadas. UU Derecho de Rectificacin: Sealar el dato errneo y la correccin que deba realizarse, acompaado de la documentacin que lo avale. UU Derecho de Cancelacin: Indicar las razones por las cuales se considera que el tratamiento de los datos no se apega a las disposiciones normativas. UU Derecho de Oposicin: Sealar los motivos por los que no se est de acuerdo en el uso o difusin de los datos. Si sucede que tu solicitud no es clara o no cumple con todos los requisitos que ya te mencionamos, la OIP puede, dentro del plazo de cinco das despus de recibida tu solicitud, pedirte que corrijas las deficiencias que detect. Si este es el caso, tendrs cinco das para hacerlo, de lo contrario, la OIP no dar trmite a tu solicitud, pues se tendr por no presentada. Cabe precisar que este requerimiento interrumpe el plazo para dar respuesta. Tiempos y tipo de respuesta: Una vez que la OIP recibe tu solicitud mediante cualquiera de los medios previstos, se realiza un proceso interno de anlisis para determinar la aceptacin o rechazo de la misma. El ente pblico cuenta con un plazo de quince das hbiles para responderla, aunque debes considerar que este plazo puede ampliarse por un periodo igual, si existe alguna causa justificada para ello. La respuesta a tu solicitud puede ser:
104
UU Procedente, esto es decir, el ente te estar dando una respuesta positiva a la peticin que hiciste, y deber hacerlo de tu conocimiento a travs del medio que indicaste para recibir notificaciones. La determinacin se har efectiva dentro de los siguientes diez das. UU No procedente, significa que te han negado la peticin que hiciste y la respuesta que te den debe especificar las razones y las normas jurdicas aplicables que determinaron la negativa. Esta respuesta debe estar suscrita y firmada por el responsable del sistema y por el titular de la OIP del ente pblico que corresponda, pudiendo recaer ambas funciones en la misma persona. En caso de que los datos personales sobre los cuales ests solicitando ejercer un derecho ARCO no se localicen en los sistemas del ente, se elaborar un acta, misma que se har de tu conocimiento dentro del plazo de respuesta. En esta acta, se dar cuenta de los sistemas en que fueron buscados tus datos personales y deber estar firmada por un representante del rgano interno de control, del titular de la OIP y del responsable del sistema de datos personales. Acreditacin de tu identidad para recibir la respuesta: Es importante que recuerdes que independientemente del medio a travs del cual se reciba tu solicitud, es necesario que acredites tu identidad o, en su caso, la personalidad, identidad y facultades de tu representante legal, esto debe hacerse en el momento que te presentes en la OIP correspondiente para obtener la respuesta sobre la solicitud de tus datos personales. Para acreditar tu identidad o la de tu representante legal, debes presentar cualquier documento oficial en original como: UU Credencial para votar. UU Pasaporte vigente. UU Cartilla del servicio militar. UU Cdula profesional.
105
El InfoDF es el rgano garante de hacer cumplir la Ley. Ante el caso de una violacin a alguna de sus disposiciones, se debe presentar un escrito denominado recurso de revisin
UU Credencial de afiliacin al Instituto de Seguridad y Servicios Sociales de los Trabajadores del Estado (ISSSTE), al Instituto Mexicano del Seguro Social (IMSS) o al Instituto Nacional de Personas Adultas Mayores (INAPAM). Del pago de derechos: La Ley establece que el trmite de la solicitud es gratuito, lo cual constituye un principio comnmente adoptado en las leyes sobre la materia. Sin embargo, se prev que el solicitante debe cubrir los costos de reproduccin de los datos solicitados segn lo previsto en el Cdigo Financiero. Estos derechos se cobrarn previo a la entrega de la informacin y se calcularn atendiendo a los costos de los materiales, del envo y, en su caso, de la certificacin de documentos. Tema 10. Recurso de Revisin Primero que nada es conveniente definir qu es un recurso administrativo, ya que el recurso de revisin que puede interponerse ante el Instituto de Acceso a la Informacin Pblica y Proteccin de Datos Personales del Distrito Federal es un ejemplo de este tipo de recursos. Un recurso administrativo es un medio de defensa con el que cuenta un ciudadano en contra de los actos de autoridad que considere ilegales y que le causen un agravio especfico; se interpone ante el mismo rgano de autoridad, su superior jerrquico o la instancia que determine la Ley, para que ese acto sea revocado (es decir, dejado sin efectos) o bien modificado. Cabe sealar que el rgano que resuelve el recurso tambin puede confirmar el acto que se impugna o recurre. Como el InfoDF es el rgano garante de hacer cumplir la Ley, ante el caso de una violacin a alguna de sus disposiciones, se debe presentar un escrito denominado recurso de revisin. El recurso de revisin es el medio de defensa con el que cuentan las personas que se consideren agraviadas con la respuesta
106
Procedimiento para el recurso de revisin que haya recado a su solicitud para ejercer cualquiera de los derechos ARCO o ante la omisin de la misma. La OIP, tiene la obligacin de informarte, en la respuesta a tu solicitud, sobre el derecho que tienes a presentar un recurso de revisin, as como el modo y plazo que tienes para hacerlo. Independientemente al recurso de revisin, y en caso de que lo consideres pertinente, tambin tienes derecho a presentar una queja ante el rgano interno de control correspondiente. La LPDPDF prev que el recurso de revisin se tramite de conformidad con el procedimiento previsto en la Ley de Transparencia y Acceso a la Informacin Pblica del Distrito Federal (LTAIPDF), del cual haremos un breve repaso.34 Requisitos: El recurso de revisin se interpone por escrito o por medio electrnico dentro de los 15 das hbiles contados a partir de la fecha en que
107
surta efectos la notificacin de la resolucin con la cual no se est de acuerdo. Ahora bien, si el recurso de revisin se presenta por falta de respuesta del Ente Pblico, el plazo para presentarlo se cuenta a partir del momento en que concluye el periodo que tena el Ente para dar contestacin a la solicitud, en este caso, basta que el solicitante acompae al recurso el documento que pruebe la fecha en que present la solicitud. El recurso de revisin debe cumplir los siguientes requisitos, de acuerdo con lo que seala el artculo 78 de la Ley de Transparencia y Acceso a la Informacin Pblica del Distrito Federal: UU Dirigirse al Instituto de Acceso a la Informacin Pblica y Proteccin de Datos Personales del D. F. UU Contener el nombre del inconforme o representante legal y el nombre del tercero interesado o afectado en su caso. UU El domicilio o medio electrnico para or y recibir las notificaciones. UU Precisar el acto que se impugna y la autoridad responsable. UU Sealar la fecha en la que se le notific al solicitante el acto o resolucin que se impugna. UU Mencionar los hechos y agravios que le causa el acto al solicitante, y los artculos violados. UU Acompaar copia de la resolucin correspondiente o copia de la iniciacin del trmite. Los agravios los podemos entender como la aplicacin indebida de las disposiciones de la Ley de Proteccin de Datos Personales para el Distrito Federal u otros ordenamientos legales que el recurrente (persona afectada que presenta un recurso de revisin) considera cometi la autoridad responsable al emitir la resolucin que se impugna, o bien la falta de respuesta. Si se da el caso de que el recurrente no cumple con alguno de los requisitos mencionados, el Instituto, en un plazo no mayor a cinco das,
Un recurso administrativo es un medio de defensa con el que cuenta un ciudadano en contra de los actos de autoridad que considere ilegales y que le causen un agravio especfico
108
lo prevendr para que en un periodo de cinco das hbiles corrija las irregularidades encontradas. Procedimiento: Una vez presentado el recurso, el Instituto tiene hasta 40 das35 para emitir una resolucin a travs del siguiente procedimiento: 1) El InfoDF revisa y emite el acuerdo de correspondiente (puede ser de admisin, prevencin o desechamiento) dentro de los 3 das hbiles siguientes. En caso de no cumplir con alguno de los requisitos establecidos, el InfoDF puede solicitarte que corrijas las deficiencias en un lapso mximo de 5 das hbiles (prevencin). En este caso tambin se tienen 5 das hbiles para hacerlo. Si no lo haces, se tendr por no presentado tu recurso. 2) Admitido el recurso, el InfoDF solicita al ente pblico que rinda un informe sobre la situacin, dentro de los 5 das hbiles siguientes. 3) En caso de existir tercero interesado, se le dar vista para que en el mismo plazo acredite su carcter y manifieste lo que a su derecho convenga. 4) El informe del ente se har del conocimiento del recurrente para que presente pruebas y manifieste lo que considere conveniente, en un plazo de 5 das hbiles. 5) Las partes tienen 3 das hbiles para presentar sus alegatos. 6) Finalmente en una sesin pblica, el Pleno del InfoDF emite la resolucin respectiva y ordena su notificacin al recurrente, al ente pblico correspondiente, as como al tercero interesado, en su caso. La resolucin deber ser por escrito y contener el plazo y los procedimientos para su cumplimiento. En algunos casos, el InfoDF podr convocar, con 3 das hbiles de anticipacin, al ente pblico y al recurrente a efecto de reunirse y evitar pasos dilatorios en la entrega de la informacin.
109
Tipos de resolucin: El Instituto puede resolver los recursos en estos sentidos: UU Desechar el recurso. UU Sobreseerlo, es decir, dar por terminado su trmite. UU Confirmar la respuesta que haya emitido el Ente Pblico. UU Revocar o modificar la respuesta del Ente Pblico y ordenarle que: a) Permita el acceso a los datos solicitados. b) Rectifique los datos. c) Cancele los datos. Las resoluciones del Instituto son definitivas, inatacables es decir, no se pueden impugnar, salvo a travs del juicio de amparo y obligatorias para los particulares y para los entes pblicos. En el texto de las resoluciones se debe hacer mencin a qu instancia puede acudir el inconforme en defensa de sus derechos constitucionales (en este caso ante un juez de distrito, en demanda de amparo indirecto). El Ente que haya recibido una resolucin del Instituto est obligado a cumplirla y a informar sobre su cumplimiento en un plazo no mayor a cinco das hbiles, en caso contrario, el Instituto debe notificar al superior jerrquico del Ente Pblico responsable, a fin de que ordene el cumplimiento en un plazo que no debe exceder de diez das. Si se diera el caso de que persistiera el incumplimiento, se notificar al rgano interno de control para su inmediata intervencin e inicie el procedimiento de responsabilidad correspondiente. Tema 11. Infracciones Las infracciones constituyen mecanismos coercitivos para exigir el cumplimiento de las leyes. Infraccin. Se entiende por infraccin a la transgresin, quebrantamiento, violacin, incumplimiento de ley, reglamento, convenio, tratado, contrato u orden.
110
La LPDPDF dedica su Ttulo Quinto De las Responsabilidades a establecer, en un Captulo nico, las infracciones a la Ley, como son: UU Omisin o irregularidad en la atencin de solicitudes ARCO. UU Recabar datos personales sin cumplir con el deber de Informacin o sin el consentimiento cuando ste es procedente. UU Crear sistemas sin la publicacin correspondiente en la GODF. UU Incumplir con los principios, con las resoluciones del InfoDF o con la presentacin del informe. UU Obtencin fraudulenta o engaosa de datos; transmisiones indebidas (lucro). UU Obstaculizar inspeccin del InfoDF. UU Destruir, alterar o ceder datos personales sin autorizacin. Estas infracciones o cualquiera otra derivada del incumplimiento de las obligaciones establecidas en la Ley, ser sancionada en trminos de la Ley de Federal de Responsabilidades de los Servidores Pblicos. Las sanciones son independientes de las de orden civil o penal que procedan, as como los procedimientos para el resarcimiento del dao ocasionado por el ente pblico. Por otra parte, se da atribucin al Instituto para denunciar cualquier infraccin a la Ley ante las autoridades competentes y podr aportar las pruebas que considere convenientes. En este ltimo apartado se establece la obligacin, hacia los rganos internos de control y fiscalizacin de los entes pblicos, de entregar un informe estadstico semestral sobre procedimientos administrativos iniciados por incumplimiento a la LPDPDF y sus resultados, informacin que debe ser incorporada al informe anual que presenta el Instituto a la Asamblea Legislativa. Las resoluciones que se adopten sobre el particular deben ser notificadas al ente pblico, al responsable del sistema de datos personales y, en su caso, a los interesados.
Las infracciones constituyen mecanismos coercitivos para exigir el cumplimiento de las leyes
111
Sntesis
La proteccin de datos personales es un derecho que

consiste en ofrecer a los individuos los medios jurdicos necesarios para controlar el uso de la informacin personal que les concierne. La LPDPDF, a efecto de garantizar la debida proteccin de los mismos, adems de establecer los derechos ARCO, incluye una serie de principios rectores en el tratamiento de este tipo de datos, como son el de finalidad, calidad, consentimiento, deber de informacin, seguridad, confidencialidad, disponibilidad y temporalidad. Asimismo, la Ley establece la obligacin, por parte de los entes pblicos, de que los datos organizados en sus archivos, registros, ficheros, bases o bancos de datos personales denominados en la Ley como sistemas de datos personales deban contar con medidas y tipos de seguridad, en atencin a la sensibilidad de los datos contenidos en cada sistema. De igual forma, los entes pblicos deben realizar el tratamiento de los datos estrictamente necesarios para el ejercicio de sus atribuciones, atendiendo a una serie de obligaciones, que reflejan la observancia de los principios bsicos de la proteccin de datos, como lo son (i) informar al interesado con carcter previo al tratamiento de datos; (ii) recabar slo los datos imprescindibles para el ejercicio de sus atribuciones; y (iii) facilitar a las personas el ejercicio de los derechos de Acceso, Rectificacin, Cancelacin y Oposicin (ARCO). En este sentido, todas aquellas personas que de alguna forma se relacionen con el tratamiento de los datos personales y, en particular el responsable del sistema, deben cumplir con ciertas obligaciones, entre las que se encuentran: guardar confidencialidad de los datos que
112
manejan en el ejercicio de sus funciones; presentar un informe anual sobre el cumplimiento de la Ley; actualizar los datos personales de oficio; establecer criterios especficos sobre medidas de seguridad, as como elaborar un plan de capacitacin y resolver sobre el ejercicio de derechos ARCO. Ahora bien, los titulares de los datos personales, cuentan con el derecho de recurrir ante el Instituto de Acceso a la Informacin Pblica y Proteccin de Datos Personales del Distrito Federal (InfoDF) -rgano garante del derecho de acceso a la informacin pblica, y de la proteccin de los datos personales, cuando se consideren agraviados por la respuesta que haya recado a su solicitud para ejercer cualquiera de los derechos ARCO o ante la omisin de la misma, lo anterior a travs de un recurso de revisin. El procedimiento para el ejercicio de los derechos ARCO se har de conformidad con lo dispuesto en la LPDPDF; los Lineamientos para la Gestin de Solicitudes de Informacin Pblica y de Datos Personales a travs del Sistema INFOMEX-DF; y los Lineamientos para la Proteccin de Datos Personales en el Distrito Federal. Finalmente debemos sealar que la Ley contiene un captulo relativo a las infracciones que, derivadas del incumplimiento de la LPDPDF, pueden existir, las cuales sern aplicadas por el rgano Interno de Control correspondiente y atendern a las sanciones establecidas en la Ley Federal de Responsabilidades de los Servidores Pblicos, siendo stas independientes de las sanciones civiles y/o penales que pudieran presentarse.
113
AUTOEVALUACIN
Autoevaluacin Cuestionario sobre los contenidos generales del mdulo tres, Aspectos Relevantes de la Ley de Proteccin de Datos Personales para el Distrito Federal (LPDPDF).
1. Constituye un principio en materia de proteccin de datos personales: A. Mxima publicidad. B. Licitud. C. Derecho de peticin. D. Informacin reservada.
2. En atencin al principio de calidad los datos personales deben

ser: A. Ciertos, adecuados, pertinentes y no excesivos. B. Histricos, estadsticos o cientficos. C. Secretos. D. Disponibles.
3. El consentimiento se refiere a la manifestacin de la voluntad:
114
A. Cierta, presente y unvoca. B. Libre, inequvoca, especfica e informada. C. Veraz, oportuna y pertinente. D. Secreta, confidencial y reservada.
4. Se considera como un dato sensible:

A. Informacin patrimonial. B. Caractersticas personales. C. Datos de origen. D. B y C.
AUTOEVALUACIN
5. El derecho de proteccin de datos es:

A. El poder de disposicin y control que faculta a su titular a decidir cules de sus datos proporciona a un tercero, as como el saber quin posee esos datos y para qu, pudiendo oponerse a esa posesin o uso. B. El derecho que tiene toda persona de acceder y corregir sus datos. C. El derecho de manifestar su oposicin a cualquier tratamiento. D. Ninguna de las anteriores.
k
115
Anexos
Temario 1. Entes Pblicos Obligados del Distrito Federal 2. Ley de Proteccin de Datos Personales para el Distrito Federal (LPDPDF) 3. Lineamientos para la Proteccin de Datos Personales en el Distrito Federal 4. Bibliografa 5. Glosario 6. Notas
Entes Pblicos
rgano Ejecutivo
Obligados
del
Distrito Federal
Administracin Pblica Centralizada PP Jefatura de Gobierno del Distrito Federal. PP Secretara de Gobierno. PP Secretara de Desarrollo Urbano y Vivienda. PP Secretara de Desarrollo Econmico. PP Secretara de Turismo.
http://www.sma.df.gob.mx http://www.sedeco.df.gob.mx http://www.mexicocity.gob.mx http://www.seduvi.df.gob.mx http://www.sg.df.gob.mx http://www.df.gob.mx/
PP Secretara del Medio Ambiente. PP Secretara de Obras y Servicios. PP Secretara de Desarrollo Social. PP Secretara de Finanzas.
http://www.setravi.df.gob.mx http://portal.ssp.df.gob.mx http://www.sds.df.gob.mx http://www.finanzas.df.gob.mx http://www.obras.df.gob.mx
PP Secretara de Transportes y Vialidad. PP Secretara de Seguridad Pblica. PP Secretara de Salud.

http://www.salud.df.gob.mx
PP Secretara de Cultura. PP Oficiala Mayor.

http://www.om.df.gob.mx
http://www.cultura.df.gob.mx
119
PP Contralora General del Distrito Federal. PP Procuradura General de Justicia del Distrito Federal. PP Consejera Jurdica y de Servicios Legales. PP Secretara de Educacin.
http://www.consejeria.df.gob.mx http://www.educacion.df.gob.mx http://www.pgjdf.gob.mx http://www.contraloria.df.gob.mx
PP Secretara de Desarrollo Rural y Equidad para las Comunidades. PP Secretara de Proteccin Civil. PP Secretara de Trabajo y Fomento al Empleo.
http://www.styfe.df.gob.mx/ http://www.proteccioncivil.df.gob.mx/ http://www.sederec.df.gob.mx
Delegaciones PP Delegacin lvaro Obregn. PP Delegacin Azcapotzalco.

http://www.aobregon.df.gob.mx http://www.azcapotzalco.gob.mx
PP Delegacin Benito Jurez. PP Delegacin Coyoacn.

http://www.coyoacan.df.gob.mx
http://www.delegacionbenitojuarez.gob.mx
PP Delegacin Cuajimalpa de Morelos. PP Delegacin Cuauhtmoc.

http://www.gamadero.gob.mx http://www.cuajimalpa.df.gob.mx http://www.cuauhtemoc.df.gob.mx
PP Delegacin Gustavo A. Madero. PP Delegacin Iztacalco.

http://www.iztacalco.df.gob.mx http://www.iztapalapa.gob.mx
PP Delegacin Iztapalapa.
PP Delegacin La Magdalena Contreras. PP Delegacin Miguel Hidalgo. PP Delegacin Milpa Alta. PP Delegacin Tlhuac.
http://www.miguelhidalgo.gob.mx http://www.milpa-alta.df.gob.mx http://www.tlahuac.df.gob.mx http://www.mcontreras.df.gob.mx
120
PP Delegacin Tlalpan.
PP Delegacin Venustiano Carranza. PP Delegacin Xochimilco.

http://www.vcarranza.df.gob.mx http://www.xochimilco.df.gob.mx
http://www.tlalpan.gob.mx
Desconcentrados, Descentralizados, Paraestatales y Auxiliares PP Autoridad del Espacio Pblico del Distrito Federal PP Caja de Previsin de la Polica Auxiliar del Distrito Federal PP Caja de Previsin de la Polica Preventiva del Distrito Federal PP Caja de Previsin para Trabajadores a Lista de Raya del Distrito Federal PP Calidad de Vida, Progreso y Desarrollo para la Ciudad de Mxico S.A. de C.V. PP Centro de Atencin a Emergencias y Proteccin Ciudadana de la Ciudad de Mxico PP Comisin de Filmaciones de la Ciudad de Mxico PP Consejo de Evaluacin del Desarrollo Social del Distrito Federal PP Consejo Econmico y Social de la Ciudad de Mxico PP Corporacin Mexicana de Impresin, S.A. de C.V. PP Escuela de Administracin Pblica del Distrito Federal PP Fideicomiso Central de Abasto de la Ciudad de Mxico PP Fideicomiso Centro Histrico de la Ciudad de Mxico PP Fideicomiso de Recuperacin Crediticia del Distrito Federal PP Fideicomiso Educacin Garantizada del Distrito Federal PP Fideicomiso Museo de Arte Popular Mexicano PP Fideicomiso Museo del Estanquillo
http://www.museodelestanquillo.com http://www.map.df.gob.mx http://www.fideicomisoed.df.gob.mx http://www.fidere3.df.gob.mx http://www.centrohistorico.df.gob.mx http://www.ficeda.com.mx http://www.eap.df.gob.mx http://www.comisa.df.gob.mx http://www.ces.df.gob.mx http://www.evalua.df.gob.mx http://cfilma.cultura.df.gob.mx/ http://www.caepccm.df.gob.mx/ http://www.calidaddevidadf.com.mx http://www.captralir.df.gob.mx/ http://www.caprepol.df.gob.mx http://www.caprepa.df.gob.mx/ http://www.aep.df.gob.mx/aep/transparencia/transparencia.php
121
PP Fideicomiso para el Fondo de Promocin para el Financiamiento del Transporte Pblico PP Fideicomiso Pblico Complejo Ambiental Xochimilco PP Fideicomiso Pblico del Fondo de Apoyo a la Procuracin de Justicia del Distrito Federal PP Fondo Ambiental Pblico del Distrito Federal PP Fondo de Desarrollo Econmico del Distrito Federal PP Fondo de Seguridad Pblica del Distrito Federal PP Fondo Mixto de Promocin Turstica del Distrito Federal PP Fondo para el Desarrollo Social de la Ciudad de Mxico PP Fondo para la Atencin y Apoyo a las Vctimas del Delito PP Heroico Cuerpo de Bomberos del Distrito Federal PP Instituto de Ciencia y Tecnologa del Distrito Federal PP Instituto de Educacin Media Superior del Distrito Federal PP Instituto de Formacin Profesional PP Instituto de la Juventud del Distrito Federal PP Instituto de las Mujeres del Distrito Federal PP Instituto de Verificacin Administrativa del Distrito Federal PP Instituto de Vivienda del Distrito Federal PP Instituto del Deporte del Distrito Federal PP Instituto Local de la Infraestructura Fsica Educativa del Distrito Federal PP Instituto para la Atencin de los Adultos Mayores en el Distrito Federal PP Instituto para la Atencin y Prevencin de las Adicciones PP Instituto Tcnico de Formacin Policial
http://www.jap.org.mx http://www.iapa.df.gob.mx/ http://www.adultomayor.df.gob.mx http://www.ilife.df.gob.mx/index.jsp http://www.deporte.df.gob.mx http://www.invi.df.gob.mx http://www.inveadf.df.gob.mx http://www.inmujeres.df.gob.mx http://www.jovenes.df.gob.mx http://www.ifp.pgjdf.gob.mx http://www.iems.df.gob.mx http://www.icyt.df.gob.mx http://www.bomberos.df.gob.mx http://www.pgjdf.gob.mx http://www.fondeso.df.gob.mx http://www.fmpt.df.gob.mx http://www.pgjdf.gob.mx/ http://www.fondeco.df.gob.mx http://www.sma.df.gob.mx/sma/index.php http://www.pgjdf.gob.mx http://alturl.com/4kkct http://alturl.com/ysygu
PP Junta de Asistencia Privada del Distrito Federal
http://www.ssp.df.gob.mx/ITFP/Pages/Historia.aspx
122
PP Metrobs
PP Planta de Asfalto del Distrito Federal PP Polica Auxiliar

http://www.obras.df.gob.mx/?page_id=478
http://www.metrobus.df.gob.mx
PP Polica Bancaria e Industrial
http://portal.ssp.df.gob.mx/OrgPolicial/PA/Pages/Historia.aspx http://www.policiabancaria.df.gob.mx/ http://www.paot.org.mx
PP Procuradura Ambiental y del Ordenamiento Territorial del Distrito Federal PP Procuradura Social del Distrito Federal PP Proyecto Metro del Distrito Federal PP Red de Transporte de Pasajeros del Distrito Federal PP Servicio de Transportes Elctricos del Distrito Federal PP Servicios de Salud Pblica del Distrito Federal PP Servicios Metropolitanos, S.A. de C.V. PP Sistema de Aguas de la Ciudad de Mxico PP Sistema de Radio y Televisin Digital del Gobierno del Distrito Federal (Capital 21) PP Sistema de Transporte Colectivo PP Sistema para el Desarrollo Integral de la Familia del Distrito Federal
http://www.dif.df.gob.mx http://www.stc.df.gob.mx http://www.canal21.df.gob.mx http://www.sacm.df.gob.mx http://www.servimet.df.gob.mx http://vpn.salud.df.gob.mx:88/portalsspdf http://www.ste.df.gob.mx http://www.rtp.gob.mx http://www.proyectometro.df.gob.mx http://www.prosoc.df.gob.mx
rgano Legislativo PP Asamblea Legislativa del Distrito Federal. PP Contadura Mayor de Hacienda de la Asamblea Legislativa del Distrito Federal.
http://www.cmhaldf.gob.mx/ http://www.asambleadf.gob.mx
rgano Judicial PP Tribunal Superior de Justicia del Distrito Federal. PP Consejo de la Judicatura del Distrito Federal.
http://www.cjdf.gob.mx http://www.tsjdf.gob.mx/
123
rganos Autnomos PP Comisin de Derechos Humanos del Distrito Federal. PP Instituto de Acceso a la Informacin Pblica y Proteccin de Datos Personales del Distrito Federal. PP Instituto Electoral del Distrito Federal. PP Junta Local de Conciliacin y Arbitraje del Distrito Federal. PP Tribunal de lo Contencioso Administrativo del Distrito Federal. PP Tribunal Electoral del Distrito Federal. PP Universidad Autnoma de la Ciudad de Mxico.
http://www.uacm.edu.mx/ http://www.tedf.org.mx http://www.tcadf.gob.mx http://www.juntalocal.df.gob.mx/ http://www.iedf.org.mx/ http://www.infodf.org.mx http://www.cdhdf.org.mx
Partidos Polticos del Distrito Federal PP Partido Accin Nacional. PP Partido Revolucionario Institucional. PP Partido de la Revolucin Democrtica. PP Partido del Trabajo.
http://www.prddf.org.mx http://www.partidodeltrabajo.org.mx/www.ptdf.php http://www.pvem-df.com http://www.ciudadfutura.org.mx http://www.df.pan.org.mx
PP Partido Verde Ecologista de Mxico. PP Convergencia.

http://www.convergenciadfcomite.org.mx http://www.nuevaalianza-df.org.mx
PP Nueva Alianza.
124
La actualizacin a la lista de entes pblicos obligados de la Ley de Proteccin de Datos Personales para el Distrito Federal la puedes consultar en la pgina web del InfoDF www.infodf.org.mx
125
Ley
de
Personales
Proteccin
para el
de
Distrito Federal (LPDPDF)
Datos
Publicada en la Gaceta Oficial del Distrito Federal el 3 de octubre de 2008 (Al margen superior un escudo que dice: Ciudad de Mxico.- Capital en Movimiento) DECRETO POR EL QUE SE EXPIDE LA LEY DE PROTECCIN DE DATOS PERSONALES PARA EL DISTRITO FEDERAL. (Al margen superior un escudo que dice: Ciudad de Mxico.- Capital en Movimiento) DECRETO POR EL QUE SE EXPIDE LA LEY DE PROTECCIN DE DATOS PERSONALES PARA EL DISTRITO FEDERAL. MARCELO LUIS EBRARD CASAUBON, Jefe de Gobierno del Distrito Federal, a sus habitantes sabed: Que la H. Asamblea Legislativa del Distrito Federal, IV Legislatura se ha servido dirigirme el siguiente: DECRETO (Al margen superior izquierdo un sello con el Escudo Nacional que dice: ESTADOS UNIDOS MEXICANOS.- ASAMBLEA LEGISLATIVA DEL DISTRITO FEDERAL, IV LEGISLATURA)
127
ASAMBLEA LEGISLATIVA DEL DISTRITO FEDERAL IV LEGISLATURA DECRETA DECRETO POR EL QUE SE EXPIDE LA LEY DE PROTECCIN DE DATOS PERSONALES PARA EL DISTRITO FEDERAL. UNICO.- Se crea la Ley de Proteccin de Datos Personales para el Distrito Federal para quedar como sigue: LEY DE PROTECCIN DE DATOS PERSONALES PARA EL DISTRITO FEDERAL TTULO PRIMERO DISPOSICIONES COMUNES PARA LOS ENTES PBLICOS CAPTULO NICO DISPOSICIONES GENERALES Artculo 1.- La presente Ley es de orden pblico e inters general y tiene por objeto establecer los principios, derechos, obligaciones y procedimientos que regulan la proteccin y tratamiento de los datos personales en posesin de los entes pblicos. Artculo 2.- Para los efectos de la presente Ley, se entiende por: Bloqueo de datos personales: La identificacin y reserva de datos personales con el fin de impedir su tratamiento; Cesin de datos personales: Toda obtencin de datos resultante de la consulta de un archivo, registro, base o banco de datos, una publicacin de los datos contenidos en l, su interconexin con otros ficheros y la comunicacin de datos realizada por una persona distinta a la interesada, as como la transferencia o comunicacin de datos realizada entre entes pblicos; Datos personales: La informacin numrica, alfabtica, grfica, acstica o de cualquier otro tipo concerniente a una persona fsica, identificada o identificable. Tal y como son, de manera enunciativa y no
128
limitativa: el origen tnico o racial, caractersticas fsicas, morales o emocionales, la vida afectiva y familiar, el domicilio y telfono particular, correo electrnico no oficial, patrimonio, ideologa y opiniones polticas, creencias, convicciones religiosas y filosficas, estado de salud, preferencia sexual, la huella digital, el ADN y el nmero de seguridad social, y anlogos; Ente Pblico: La Asamblea Legislativa del Distrito Federal; el Tribunal Superior de Justicia del Distrito Federal; El Tribunal de lo Contencioso Administrativo del Distrito Federal; El Tribunal Electoral del Distrito Federal; el Instituto Electoral del Distrito Federal; la Comisin de Derechos Humanos del Distrito Federal; la Junta de Conciliacin y Arbitraje del Distrito Federal; la Jefatura de Gobierno del Distrito Federal; las Dependencias, rganos Desconcentrados, rganos Poltico Administrativos y Entidades de la Administracin Pblica del Distrito Federal; los rganos Autnomos por Ley; los partidos polticos, asociaciones y agrupaciones polticas; as como aquellos que la legislacin local reconozca como de inters pblico y ejerzan gasto pblico; y los entes equivalentes a personas jurdicas de derecho pblico o privado, ya sea que en ejercicio de sus actividades acten en auxilio de los rganos antes citados o ejerzan gasto pblico; Instituto: El Instituto de Acceso a la Informacin Pblica del Distrito Federal. Interesado: Persona fsica titular de los datos personales que sean objeto del tratamiento al que se refiere la presente Ley; Oficina de Informacin Pblica: La unidad administrativa receptora de las solicitudes de acceso, rectificacin, cancelacin y oposicin de datos personales en posesin de los entes pblicos, a cuya tutela estar el trmite de las mismas, conforme a lo establecido en esta Ley y en los lineamientos que al efecto expida el Instituto; Procedimiento de disociacin. Todo tratamiento de datos personales de modo que la informacin que se obtenga no pueda asociarse a una persona fsica identificada o identificable; Responsable del Sistema de Datos Personales: Persona fsica que decida sobre la proteccin y tratamiento de datos personales, as como el contenido y finalidad de los mismos;
129
Sistema de Datos Personales: Todo conjunto organizado de archivos, registros, ficheros, bases o banco de datos personales de los entes pblicos, cualquiera que sea la forma o modalidad de su creacin, almacenamiento, organizacin y acceso; Tratamiento de Datos Personales: Cualquier operacin o conjunto de operaciones efectuadas mediante procedimientos automatizados o fsicos, aplicados a los sistemas de datos personales, relacionados con la obtencin, registro, organizacin, conservacin, elaboracin, utilizacin, cesin, difusin, interconexin o cualquier otra forma que permita obtener informacin de los mismos y facilite al interesado el acceso, rectificacin, cancelacin u oposicin de sus datos; Usuario.- Aquel autorizado por el ente pblico para prestarle servicios para el tratamiento de datos personales. Artculo 3.- La interpretacin de esta ley se realizar conforme a la Constitucin Poltica de los Estados Unidos Mexicanos, la Declaracin Universal de los Derechos Humanos, el Pacto Internacional de Derechos Civiles y Polticos, la Convencin Americana sobre Derechos Humanos, y dems instrumentos internacionales suscritos y ratificados por el Estado Mexicano y la interpretacin que de los mismos hayan realizado los rganos internacionales respectivos. Artculo 4.- En todo lo no previsto en los procedimientos a que se refiere esta Ley, se aplicar de manera supletoria la Ley de Procedimiento Administrativo del Distrito Federal y, en su defecto, el Cdigo de Procedimientos Civiles del Distrito Federal.
130
TITULO SEGUNDO DE LA TUTELA DE DATOS PERSONALES CAPTULO I DE LOS PRINCIPIOS Artculo 5.- Los sistemas de datos personales en posesin de los entes pblicos se regirn por los principios siguientes: Licitud: Consiste en que la posesin y tratamiento de sistemas de datos personales obedecer exclusivamente a las atribuciones legales o reglamentarias de cada ente pblico y debern obtenerse a travs de medios previstos en dichas disposiciones. Los sistemas de datos personales no pueden tener finalidades contrarias a las leyes o a la moral pblica y en ningn caso pueden ser utilizados para finalidades distintas o incompatibles con aquella que motivaron su obtencin. No se considerar incompatible el tratamiento posterior de stos con fines histricos, estadsticos o cientficos. Consentimiento: Se refiere a la manifestacin de voluntad libre, inequvoca, especfica e informada, mediante la cual el interesado consiente el tratamiento de sus datos personales. Calidad de los Datos: Los datos personales recabados deben ser ciertos, adecuados, pertinentes y no excesivos en relacin al mbito y finalidad para los que se hubieren obtenido. Los datos recabados debern ser los que respondan con veracidad a la situacin actual del interesado. Confidencialidad: Consiste en garantizar que exclusivamente la persona interesada puede acceder a los datos personales o, en caso, el responsable o el usuario del sistema de datos personales para su tratamiento, as como el deber de secreca del responsable del sistema de datos personales, as como de los usuarios. Los instrumentos jurdicos que correspondan a la contratacin de servicios del responsable del sistema de datos personales, as como de los usuarios, debern prever la obligacin de garantizar la seguridad y confidencialidad de los sistemas de datos personales, as como la prohibicin de utilizarlos con propsitos distintos para los cuales se
131
llev a cabo la contratacin, as como las penas convencionales por su incumplimiento. Lo anterior, sin perjuicio de las responsabilidades previstas en otras disposiciones aplicables. Los datos personales son irrenunciables, intransferibles e indelegables, por lo que no podrn transmitirse salvo disposicin legal o cuando medie el consentimiento del titular y dicha obligacin subsistir an despus de finalizada la relacin entre el ente pblico con el titular de los datos personales, as como despus de finalizada la relacin laboral entre el ente pblico y el responsable del sistema de datos personales o los usuarios. El responsable del sistema de datos personales o los usuarios podrn ser relevados del deber de confidencialidad por resolucin judicial y cuando medien razones fundadas relativas a la seguridad pblica, la seguridad nacional o la salud pblica. Seguridad: Consiste en garantizar que nicamente el responsable del sistema de datos personales o en su caso los usuarios autorizados puedan llevar a cabo el tratamiento de los datos personales, mediante los procedimientos que para tal efecto se establezcan. Disponibilidad: Los datos deben ser almacenados de modo que permitan el ejercicio de los derechos de acceso, rectificacin, cancelacin y oposicin del interesado. Temporalidad: Los datos personales deben ser destruidos cuando hayan dejado de ser necesarios o pertinentes a los fines para los que hubiesen sido recolectados. Queda exceptuado el tratamiento que con posterioridad se les d con objetivos estadsticos o cientficos, siempre que cuenten con el procedimiento de disociacin. nicamente podrn ser conservados de manera ntegra, permanente y sujetos a tratamiento los datos personales con fines histricos.
132
CAPTULO II DE LOS SISTEMAS DE DATOS PERSONALES Artculo 6.- Corresponde a cada ente pblico determinar, a travs de su titular o, en su caso, del rgano competente, la creacin, modificacin o supresin de sistemas de datos personales, conforme a su respectivo mbito de competencia. Artculo 7.- La integracin, tratamiento y tutela de los sistemas de datos personales se regirn por las disposiciones siguientes: I. Cada ente pblico deber publicar en la Gaceta Oficial del Distrito Federal la creacin, modificacin o supresin de su sistema de datos personales; II. En caso de creacin o modificacin de sistemas de datos personales, se deber indicar por lo menos: a) La finalidad del sistema de datos personales y los usos previstos para el mismo; b) Las personas o grupos de personas sobre los que se pretenda obtener datos de carcter personal o que resulten obligados a suministrarlos; c) El procedimiento de recoleccin de los datos de carcter personal; d) La estructura bsica del sistema de datos personales y la descripcin de los tipos de datos incluidos en el mismo; e) De la cesin de las que pueden ser objeto los datos; f) Las instancias responsables del tratamiento del sistema de datos personales; g) La unidad administrativa ante la que podrn ejercitarse los derechos de acceso, rectificacin, cancelacin u oposicin; y h) El nivel de proteccin exigible. III. En las disposiciones que se dicten para la supresin de los sistemas de datos personales, se establecer el destino de los datos contenidos en los mismos o, en su caso, las previsiones que se adopten para su destruccin.
133
IV. De la destruccin de los datos personales podrn ser excluidos aquellos que, con finalidades estadsticas o histricas, sean previamente sometidos al procedimiento de disociacin. Artculo 8.- Los sistemas de datos personales en posesin de los entes pblicos debern inscribirse en el registro que al efecto habilite el Instituto. El registro debe comprender como mnimo la informacin siguiente: I. Nombre y cargo del responsable y de los usuarios; II. Finalidad del sistema; III. Naturaleza de los datos personales contenidos en cada sistema; IV. Forma de recoleccin y actualizacin de datos; V. Destino de los datos y personas fsicas o morales a las que pueden ser transmitidos; VI. Modo de interrelacionar la informacin registrada; VII. Tiempo de conservacin de los datos, y VIII. Medidas de seguridad. Artculo 9.- Cuando los entes pblicos recaben datos personales debern informar previamente a los interesados de forma expresa, precisa e inequvoca lo siguiente: I. De la existencia de un sistema de datos personales, del tratamiento de datos personales, de la finalidad de la obtencin de stos y de los destinatarios de la informacin; II. Del carcter obligatorio o facultativo de responder a las preguntas que les sean planteadas; III. De las consecuencias de la obtencin de los datos personales, de la negativa a suministrarlos o de la inexactitud de los mismos; IV. De la posibilidad para que estos datos sean difundidos, en cuyo caso deber constar el consentimiento expreso del interesado, salvo cuando se trate de datos personales que por disposicin de una Ley sean considerados pblicos;
134
V. De la posibilidad de ejercitar los derechos de acceso, rectificacin, cancelacin y oposicin; y VI. Del nombre del responsable del sistema de datos personales y en su caso de los destinatarios. Cuando se utilicen cuestionarios u otros impresos para la obtencin de los datos, figurarn en los mismos, en forma claramente legible, las advertencias a que se refiere el presente artculo. En caso de que los datos de carcter personal no hayan sido obtenidos del interesado, ste deber ser informado de manera expresa, precisa e inequvoca, por el responsable del sistema de datos personales, dentro de los tres meses siguientes al momento del registro de los datos, salvo que ya hubiera sido informado con anterioridad de lo previsto en las fracciones I, IV y V del presente artculo. Se excepta de lo previsto en el presente artculo cuando alguna ley expresamente as lo estipule. Asimismo, tampoco regir lo dispuesto en el presente artculo cuando los datos personales procedan de fuentes accesibles al pblico en general. Artculo 10.- Ninguna persona est obligada a proporcionar datos personales considerados como sensibles, tal y como son: el origen tnico o racial, caractersticas morales o emocionales, ideologa y opiniones polticas, creencias, convicciones religiosas, filosficas y preferencia sexual. Queda prohibida la creacin de sistemas de datos personales que tengan la finalidad exclusiva de almacenar los datos personales sealados en el prrafo anterior y slo pueden ser tratados cuando medien razones de inters general, as lo disponga una ley, lo consienta expresamente el interesado o, con fines estadsticos o histricos, siempre y cuando se hubiera realizado previamente el procedimiento de disociacin. Tratndose de estudios cientficos o de salud pblica el procedimiento de disociacin no ser necesario.
135
Artculo 11.- Los archivos o sistemas creados con fines administrativos por las dependencias, instituciones o cuerpos de seguridad pblica, en los que se contengan datos de carcter personal, quedarn sujetos al rgimen general de proteccin previsto en la presente Ley. Los datos de carcter personal obtenidos para fines policiales, podrn ser recabados sin consentimiento de las personas a las que se refieren, pero estarn limitados a aquellos supuestos y categoras de datos que resulten necesarios para la prevencin de un peligro real para la seguridad pblica o para la prevencin o persecucin de delitos, debiendo ser almacenados en sistemas especficos, establecidos al efecto, que debern clasificarse por categoras en funcin de su grado de confiabilidad. La obtencin y tratamiento de los datos a los que se refiere el presente artculo, podrn realizarse exclusivamente en los supuestos en que sea absolutamente necesario para los fines de una investigacin concreta, sin perjuicio del control de legalidad de la actuacin administrativa o de la obligacin de resolver las pretensiones formuladas por los interesados ante los rganos jurisdiccionales. Los datos personales recabados con fines policiales se cancelarn cuando no sean necesarios para las investigaciones que motivaron su almacenamiento. A estos efectos, se considerar especialmente la edad del interesado y el carcter de los datos almacenados, la necesidad de mantener los datos hasta la conclusin de una investigacin o procedimiento concreto, la resolucin judicial firme, en especial la absolutoria, el indulto, la rehabilitacin y la prescripcin de responsabilidad. Artculo 12.- Los responsables de los sistemas de datos personales con fines policiales, para la prevencin de conductas delictivas o en materia tributaria, podrn negar el acceso, rectificacin, oposicin y cancelacin de datos personales en funcin de los peligros que pudieran derivarse para la defensa del Estado o la seguridad pblica, la proteccin de los derechos y libertades de terceros o las necesidades de las investigaciones que se estn realizando, as como cuando los mismos obstaculicen la actuacin de la autoridad durante el cumplimiento de sus atribuciones.
136
CAPTULO III DE LAS MEDIDAS DE SEGURIDAD Artculo 13.- Los entes pblicos establecern las medidas de seguridad tcnica y organizativa para garantizar la confidencialidad e integralidad de cada sistema de datos personales que posean, con la finalidad de preservar el pleno ejercicio de los derechos tutelados en la presente Ley, frente a su alteracin, prdida, transmisin y acceso no autorizado, de conformidad al tipo de datos contenidos en dichos sistemas. Dichas medidas sern adoptadas en relacin con el menor o mayor grado de proteccin que ameriten los datos personales, debern constar por escrito y ser comunicadas al Instituto para su registro. Las medidas de seguridad que al efecto se establezcan debern indicar el nombre y cargo del servidor pblico o, en su caso, la persona fsica o moral que intervengan en el tratamiento de datos personales con el carcter de responsable del sistema de datos personales o usuario, segn corresponda. Cuando se trate de usuarios se debern incluir los datos del acto jurdico mediante el cual, el ente pblico otorg el tratamiento del sistema de datos personales. En el supuesto de actualizacin de estos datos, la modificacin respectiva deber notificarse al Instituto, dentro de los 30 das hbiles siguientes a la fecha en que se efectu. Artculo 14.- El ente pblico responsable de la tutela y tratamiento del sistema de datos personales, adoptar las medidas de seguridad, conforme a lo siguiente: A. Tipos de seguridad: I. Fsica.- Se refiere a toda medida orientada a la proteccin de instalaciones, equipos, soportes o sistemas de datos para la prevencin de riesgos por caso fortuito o causas de fuerza mayor; II. Lgica.- Se refiere a las medidas de proteccin que permiten la identificacin y autentificacin de las personas o usuarios autorizados para el tratamiento de los datos personales de acuerdo con su funcin; III. De desarrollo y aplicaciones.- Corresponde a las autorizaciones con las que deber contar la creacin o tratamiento de sistemas de datos
137
personales, segn su importancia, para garantizar el adecuado desarrollo y uso de los datos, previendo la participacin de usuarios, la separacin de entornos, la metodologa a seguir, ciclos de vida y gestin, as como las consideraciones especiales respecto de aplicaciones y pruebas; IV. De cifrado.- Consiste en la implementacin de algoritmos, claves, contraseas, as como dispositivos concretos de proteccin que garanticen la integralidad y confidencialidad de la informacin; y V. De comunicaciones y redes.- Se refiere a las restricciones preventivas y/o de riesgos que debern observar los usuarios de datos o sistemas de datos personales para acceder a dominios o cargar programas autorizados, as como para el manejo de telecomunicaciones. B. Niveles de seguridad: I. Bsico.- Se entender como tal, el relativo a las medidas generales de seguridad cuya aplicacin es obligatoria para todos los sistemas de datos personales. Dichas medidas corresponden a los siguientes aspectos: a) Documento de seguridad; b) Funciones y obligaciones del personal que intervenga en el tratamiento de los sistemas de datos personales; c) Registro de incidencias; d) Identificacin y autentificacin; e) Control de acceso; f) Gestin de soportes, y g) Copias de respaldo y recuperacin. II. Medio.- Se refiere a la adopcin de medidas de seguridad cuya aplicacin corresponde a aquellos sistemas de datos relativos a la comisin de infracciones administrativas o penales, hacienda pblica, servicios financieros, datos patrimoniales, as como a los sistemas que contengan datos de carcter personal suficientes que permitan obtener una evaluacin de la personalidad del individuo. Este nivel de seguridad, de manera adicional a las medidas calificadas como bsicas, considera los siguientes aspectos: a) Responsable de seguridad;
138
b) Auditora; c) Control de acceso fsico; y d) Pruebas con datos reales. III. Alto.- Corresponde a las medidas de seguridad aplicables a sistemas de datos concernientes a la ideologa, religin, creencias, afiliacin poltica, origen racial o tnico, salud, biomtricos, genticos o vida sexual, as como los que contengan datos recabados para fines policiales, de seguridad, prevencin, investigacin y persecucin de delitos. Los sistemas de datos a los que corresponde adoptar el nivel de seguridad alto, adems de incorporar las medidas de nivel bsico y medio, debern completar las que se detallan a continuacin: a) Distribucin de soportes; b) Registro de acceso; y c) Telecomunicaciones. Los diferentes niveles de seguridad sern establecidos atendiendo a las caractersticas propias de la informacin. Artculo 15.- Las medidas de seguridad a las que se refiere el artculo anterior constituyen mnimos exigibles, por lo que el ente pblico adoptar las medidas adicionales que estime necesarias para brindar mayores garantas en la proteccin y resguardo de los sistemas de datos personales. Por la naturaleza de la informacin, las medidas de seguridad que se adopten sern consideradas confidenciales y nicamente se comunicar al Instituto, para su registro, el nivel de seguridad aplicable. CAPTULO IV DEL TRATAMIENTO DE DATOS PERSONALES Artculo 16.- El tratamiento de los datos personales, requerir el consentimiento inequvoco, expreso y por escrito del interesado, salvo en los casos y excepciones siguientes: I. Cuando se recaben para el ejercicio de las atribuciones legales conferidas a los entes pblicos;
139
II. Cuando exista una orden judicial; III. Cuando se refieran a las partes de un convenio de una relacin de negocios, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento; IV. Cuando el interesado no est en posibilidad de otorgar su consentimiento por motivos de salud y el tratamiento de sus datos resulte necesario para la prevencin o para el diagnstico mdico, la prestacin o gestin de asistencia sanitaria o tratamientos mdicos, siempre que dicho tratamiento de datos se realice por una persona sujeta al secreto profesional u obligacin equivalente; V. Cuando la transmisin se encuentre expresamente prevista en una ley; VI. Cuando la transmisin se produzca entre organismos gubernamentales y tenga por objeto el tratamiento posterior de los datos con fines histricos, estadsticos o cientficos; VII. Cuando se den a conocer a terceros para la prestacin de un servicio que responda al tratamiento de datos personales, mediante la libre y legtima aceptacin de una relacin jurdica cuyo desarrollo, cumplimiento y control implique necesariamente que la comunicacin de los datos ser legtima en cuanto se limite a la finalidad que la justifique; VIII. Cuando se trate de datos personales relativos a la salud, y sea necesario por razones de salud pblica, de emergencia, o para la realizacin de estudios epidemiolgicos; y IX. Cuando los datos figuren en registros pblicos en general y su tratamiento sea necesario siempre que no se vulneren los derechos y libertades fundamentales del interesado. El consentimiento a que se refiere el presente artculo podr ser revocado cuando exista causa justificada para ello y no se le atribuyan efectos retroactivos. El ente pblico no podr difundir o ceder los datos personales contenidos en los sistemas de datos desarrollados en el ejercicio de sus funciones, salvo que haya mediado el consentimiento expreso por escrito o por un medio de autenticacin similar, de las personas a que haga referencia la informacin. Al efecto, la oficina de informacin pblica contar con los formatos necesarios para recabar dicho consentimiento.
140
El cesionario quedar sujeto a las mismas obligaciones legales y reglamentarias del cedente, respondiendo solidariamente por la inobservancia de las mismas. Artculo 17.- En los supuestos de utilizacin o cesin de los datos de carcter personal en que se impida gravemente o se atente de igual modo contra el ejercicio de derechos de las personas, el Instituto podr requerir a los responsables de los sistemas de datos personales, la suspensin en la utilizacin o cesin de los datos. Si el requerimiento fuera desatendido, mediante resolucin fundada y motivada, el Instituto podr bloquear tales sistemas, de conformidad con el procedimiento que al efecto se establezca. El incumplimiento a la inmovilizacin ordenada por el Instituto ser sancionado por la autoridad competente de conformidad por la Ley Federal de Responsabilidades de los Servidores Pblicos. Artculo 18.- El tratamiento de los sistemas de datos personales en materia de salud, se rige por lo dispuesto en la Ley General de Salud, la Ley de Salud para el Distrito Federal y dems normas que de ellas deriven. El tratamiento y cesin a esta informacin obliga a preservar los datos de identificacin personal del paciente, separados de los de carcter clnico asistencial, de manera tal que se mantenga la confidencialidad de los mismos, salvo que el propio paciente haya dado su consentimiento para no separarlos. Se exceptan los supuestos de investigacin cientfica, de salud pblica o con fines judiciales, en los que se considere imprescindible la unificacin de los datos identificativos con los clnico-asistenciales. El acceso a los datos y documentos relacionados con la salud de las personales queda limitado estrictamente a los fines especficos de cada caso. Artculo 19.- Los sistemas de datos personales que hayan sido objeto de tratamiento, debern ser suprimidos una vez que concluyan los plazos de conservacin establecidos por las disposiciones aplicables, o cuando dejen de ser necesarios para los fines por los cuales fueron recabados.
141
En el caso de que el tratamiento de los sistemas haya sido realizado por una persona distinta al ente pblico, el instrumento jurdico que dio origen al mismo deber establecer el plazo de conservacin por el usuario, al trmino del cual los datos debern ser devueltos en su totalidad al ente pblico, quien deber garantizar su tutela o proceder, en su caso, a la supresin. Artculo 20.- En caso de que los destinatarios de los datos sean instituciones de otras entidades federativas, los entes pblicos debern asegurarse que tales instituciones garanticen que cuentan con niveles de proteccin, semejantes o superiores, a los establecidos en esta Ley y, en la propia normatividad del ente pblico de que se trate. En el supuesto de que los destinatarios de los datos sean personas o instituciones de otros pases, el responsable del sistema de datos personales deber realizar la cesin de los mismos, conforme a las disposiciones previstas en la legislacin federal aplicable, siempre y cuando se garanticen los niveles de seguridad y proteccin previstos en la presente Ley. CAPTULO V DE LAS OBLIGACIONES DE LOS ENTES PBLICOS Artculo 21.- El titular del ente pblico designar al responsable de los sistemas de datos personales, mismo que deber: I. Cumplir con las polticas y lineamientos as como las normas aplicables para el manejo, tratamiento, seguridad y proteccin de datos personales; II. Adoptar las medidas de seguridad necesarias para la proteccin de datos personales y comunicarlas al Instituto para su registro, en los trminos previstos en esta Ley; III. Elaborar y presentar al Instituto un informe correspondiente sobre las obligaciones previstas en la presente Ley, a ms tardar el ltimo da hbil del mes de enero de cada ao. La omisin de dicho informe ser motivo de responsabilidad; IV. Informar al interesado al momento de recabar sus datos personales, sobre la existencia y finalidad de los sistemas de datos personales,
142
as como el carcter obligatorio u optativo de proporcionarlos y las consecuencias de ello; V. Adoptar los procedimientos adecuados para dar trmite a las solicitudes de informes, acceso, rectificacin, cancelacin y oposicin de datos personales y, en su caso, para la cesin de los mismos; debiendo capacitar a los servidores pblicos encargados de su atencin y seguimiento; VI. Utilizar los datos personales nicamente cuando stos guarden relacin con la finalidad para la cual se hayan obtenido; VII. Permitir en todo momento al interesado el ejercicio del derecho de acceso a sus datos personales, a solicitar la rectificacin o cancelacin, as como a oponerse al tratamiento de los mismos en los trminos de esta Ley; VIII. Actualizar los datos personales cuando haya lugar, debiendo corregir o completar de oficio aquellos que fueren inexactos o incompletos, a efecto de que coincidan con los datos presentes del interesado, siempre y cuando se cuente con el documento que avale la actualizacin de dichos datos. Lo anterior, sin perjuicio del derecho del interesado para solicitar la rectificacin o cancelacin de los datos personales que le conciernen; IX. Establecer los criterios especficos sobre el manejo, mantenimiento, seguridad y proteccin del sistema de datos personales; X. Elaborar un plan de capacitacin en materia de seguridad de datos personales; XI. Resolver sobre el ejercicio de los derechos de acceso, rectificacin, cancelacin y oposicin de los datos de las personas; XII. Establecer los criterios especficos sobre el manejo, mantenimiento, seguridad y proteccin del sistema de datos personales; XIII. Llevar a cabo o, en su caso, coordinar la ejecucin material de las diferentes operaciones y procedimientos en que consista el tratamiento de datos y sistemas de datos de carcter personal a su cargo; XIV. Coordinar y supervisar la adopcin de las medidas de seguridad a que se encuentren sometidos los sistemas de datos personales de acuerdo con la normativa vigente;
143
XV. Dar cuenta de manera fundada y motivada a la autoridad competente de la aplicacin de las excepciones al rgimen general previsto para el acceso, rectificacin, cancelacin u oposicin de datos personales; y XVI. Las dems que se deriven de la presente Ley o dems ordenamientos jurdicos aplicables. Artculo 22.- El titular del ente pblico ser el responsable de decidir sobre la finalidad, contenido y uso del tratamiento del sistema de datos personales, quien podr delegar dicha atribucin en la unidad administrativa en la que se concrete la competencia material, a cuyo ejercicio sirva instrumentalmente el sistema de datos y est adscrito el responsable del mismo. TTULO TERCERO DE LA AUTORIDAD RESPONSABLE DEL CONTROL Y VIGILANCIA CAPTULO NICO DEL INSTITUTO Y SUS ATRIBUCIONES Artculo 23.- El Instituto de Acceso a la Informacin Pblica del Distrito Federal es el rgano encargado de dirigir y vigilar el cumplimiento de la presente Ley, as como de las normas que de ella deriven; ser la autoridad encargada de garantizar la proteccin y el correcto tratamiento de datos personales. Artculo 24.- El Instituto tendr las atribuciones siguientes: I. Establecer, en el mbito de su competencia, polticas y lineamientos de observancia general para el manejo, tratamiento, seguridad y proteccin de los datos personales que estn en posesin de los entes pblicos, as como expedir aquellas normas que resulten necesarias para el cumplimiento de esta Ley; II. Disear y aprobar los formatos de solicitudes de acceso, rectificacin, cancelacin y oposicin de datos personales;
144
III. Establecer sistemas electrnicos para la recepcin y trmite de solicitudes de acceso, rectificacin, cancelacin y oposicin de datos personales; IV. Llevar a cabo el registro de los sistemas de datos personales en posesin de los entes pblicos; V. Elaborar y mantener actualizado el registro del nivel de seguridad aplicable a los sistemas de datos personales, en posesin de los entes pblicos, en trminos de esta Ley; VI. Emitir opiniones sobre temas relacionados con la presente Ley, as como formular observaciones y recomendaciones a los entes pblicos, derivadas del incumplimiento de los principios que rigen esta Ley; VII. Hacer del conocimiento del rgano de control interno del ente pblico que corresponda, las resoluciones que emita relacionadas con la probable violacin a las disposiciones materia de la presente Ley; VIII. Orientar y asesorar a las personas que lo requieran acerca del contenido y alcance de la presente ley; IX. Elaborar y publicar estudios e investigaciones para difundir el conocimiento de la presente Ley; X. Solicitar y evaluar los informes presentados por los entes pblicos respecto del ejercicio de los derechos previstos en esta Ley. Dicha evaluacin se incluir en el informe que de conformidad con el artculo 74 de la Ley de Transparencia y Acceso a la informacin pblica presenta el Instituto a la Asamblea Legislativa del Distrito Federal y deber incluir por lo menos: a) El nmero de solicitudes de acceso, rectificacin, cancelacin y oposicin de datos personales presentadas ante cada Ente Pblico, as como su resultado; b). El tiempo de respuesta a la solicitud; c). El estado que guardan las denuncias presentadas ante los rganos internos de control y las dificultades observadas en el cumplimiento de esta Ley; d). El uso de los recursos pblicos en la materia; e). Las acciones desarrolladas; f). Sus indicadores de gestin; y
145
g). El impacto de su actuacin. XI. Organizar seminarios, cursos, talleres y dems actividades que promuevan el conocimiento de la presente Ley y los derechos de las personas sobre sus datos personales; XII. Establecer programas de capacitacin en materia de proteccin de datos personales y promover acciones que faciliten a los entes pblicos y a su personal participar de estas actividades, a fin de garantizar el adecuado cumplimiento de los principios que rigen la presente Ley; XIII. Promover entre las instituciones educativas, pblicas y privadas, la inclusin dentro de sus actividades acadmicas, curriculares y extracurriculares, los temas que ponderen la importancia del derecho a la proteccin de datos personales; XIV. Promover la elaboracin de guas que expliquen los procedimientos y trmites materia de esta Ley; XV. Investigar, substanciar y resolver el recurso de revisin en los trminos previstos en esta Ley y en la Ley de Transparencia y Acceso a la Informacin Pblica del Distrito Federal; XVI. Evaluar la actuacin de los Entes Pblicos, mediante la prctica de visitas de inspeccin peridicas de oficio, a efecto de verificar la observancia de los principios contenidos en esta Ley, las cuales en ningn caso podrn referirse a informacin de acceso restringido de conformidad con la legislacin aplicable; XVII. Procurar la conciliacin de los intereses de los interesados con los de los entes pblicos, cuando stos entren en conflicto con motivo de la aplicacin de la presente Ley; y XVIII. Las dems que establezca esta Ley, y dems ordenamientos aplicables. Artculo 25.- A efecto de impulsar una cultura de proteccin de datos personales, se deber promover el desarrollo de eventos que fomenten la profesionalizacin de los servidores pblicos del Distrito Federal, sobre los sistemas y las medidas de seguridad que precisa la tutela de los datos personales de cada ente pblico.
146
TTULO CUARTO DE LOS DERECHOS Y DEL PROCEDIMIENTO PARA SU EJERCICIO CAPTULO I DERECHOS EN MATERIA DE DATOS PERSONALES Artculo 26.- Todas las personas, previa identificacin mediante documento oficial, contarn con los derechos de acceso, rectificacin, cancelacin y oposicin de sus datos personales en posesin de los entes pblicos, siendo derechos independientes, de tal forma que no puede entenderse que el ejercicio de alguno de ellos sea requisito previo o impida el ejercicio de otro. La respuesta a cualquiera de los derechos previstos en la presente ley, deber ser proporcionada en forma legible e inteligible, pudiendo suministrase, a opcin del interesado, por escrito o mediante consulta directa. Artculo 27.- El derecho de acceso se ejercer para solicitar y obtener informacin de los datos de carcter personal sometidos a tratamiento, el origen de dichos datos, as como las cesiones realizadas o que se prevn hacer, en trminos de lo dispuesto por esta Ley. Artculo 28.- Proceder el derecho de rectificacin de datos del interesado, en los sistemas de datos personales, cuando tales datos resulten inexactos o incompletos, inadecuados o excesivos, siempre y cuando no resulte imposible o exija esfuerzos desproporcionados. No obstante, cuando se trate de datos que reflejen hechos constatados en un procedimiento administrativo o en un proceso judicial, aquellos se considerarn exactos siempre que coincidan con stos. Artculo 29.- El interesado tendr derecho a solicitar la cancelacin de sus datos cuando el tratamiento de los mismos no se ajuste a lo dispuesto en la Ley o en los lineamientos emitidos por el Instituto, o cuando hubiere ejercido el derecho de oposicin y ste haya resultado procedente.
147
La cancelacin dar lugar al bloqueo de los datos, conservndose nicamente a disposicin de los entes pblicos, para la atencin de las posibles responsabilidades nacidas del tratamiento, durante el plazo de prescripcin de stas. Cumplido el plazo deber procederse a su supresin, en trminos de la normatividad aplicable. La supresin de datos no procede cuando pudiese causar perjuicios a derechos o intereses legtimos de terceros, o cuando exista una obligacin legal de conservar dichos datos. Artculo 30.- El interesado tendr derecho a oponerse al tratamiento de los datos que le conciernan, en el supuesto en que los datos se hubiesen recabado sin su consentimiento, cuando existan motivos fundados para ello y la ley no disponga lo contrario. De actualizarse tal supuesto, el responsable del sistema de datos personales deber cancelar los datos relativos al interesado. Artculo 31.- Si los datos rectificados o cancelados hubieran sido transmitidos previamente, el responsable del tratamiento deber notificar la rectificacin o cancelacin efectuada a quien se hayan transmitido, en el caso de que se mantenga el tratamiento por este ltimo, quin deber tambin proceder a la rectificacin o cancelacin de los mismos. CAPTULO II DEL PROCEDIMIENTO Artculo 32.- La recepcin y trmite de las solicitudes de acceso, rectificacin, cancelacin u oposicin de datos personales que se formule a los entes pblicos se sujetarn al procedimiento establecido en el presente captulo. Sin perjuicio de lo que dispongan otras leyes, slo el interesado o su representante legal, previa acreditacin de su identidad, podrn solicitar al ente pblico, a travs de la oficina de informacin pblica competente, que le permita el acceso, rectificacin, cancelacin o haga efectivo su derecho de oposicin, respecto de los datos personales que le conciernan y que obren en un sistema de datos personales en posesin del ente pblico.
148
La oficina de informacin pblica del ente pblico deber notificar al solicitante en el domicilio o medio electrnico sealado para tales efectos, en un plazo mximo de quince das hbiles contados desde la presentacin de la solicitud, la determinacin adoptada en relacin con su solicitud, a efecto que, de resultar procedente, se haga efectiva la misma dentro de los diez das hbiles siguientes a la fecha de la citada notificacin. El plazo de quince das, referido en el prrafo anterior, podr ser ampliado una nica vez, por un periodo igual, siempre y cuando as lo justifiquen las circunstancias del caso. Si al ser presentada la solicitud no es precisa o no contiene todos los datos requeridos, en ese momento el Ente Pblico, en caso de ser solicitud verbal, deber ayudar al solicitante a subsanar las deficiencias. Si los detalles proporcionados por el solicitante no bastan para localizar los datos personales o son errneos, la oficina de informacin pblica del ente pblico podr prevenir, por una sola vez y, dentro de los cinco das hbiles siguientes a la presentacin de la solicitud, para que aclare o complete su solicitud, apercibido de que de no desahogar la prevencin se tendr por no presentada la solicitud. Este requerimiento interrumpe los plazos establecidos en los dos prrafos anteriores. En el supuesto que los datos personales a que se refiere la solicitud obren en los sistemas de datos personales del ente pblico y ste considere improcedente la solicitud de acceso, rectificacin, cancelacin u oposicin, se deber emitir una resolucin fundada y motivada al respecto. Dicha respuesta deber estar firmada por el titular de la oficina de informacin pblica y por el responsable del sistema de datos personales del ente pblico. Cuando los datos personales respecto de los cuales se ejerciten los derechos de acceso, rectificacin, cancelacin u oposicin, no sean localizados en los sistemas de datos del ente pblico, se har del conocimiento del interesado a travs de acta circunstanciada, en la que se indiquen los sistemas de datos personales en los que se realiz la bsqueda. Dicha acta deber estar firmada por un representante del rgano de control interno, el titular de la oficina de informacin pblica y el responsable del sistema de datos personales del ente pblico.
149
Artculo 33.- La solicitud de acceso, rectificacin, cancelacin u oposicin de datos personales, se deber presentar ante la oficina de informacin pblica del ente pblico que el interesado considere que est procesando informacin de su persona. El procedimiento de acceso, rectificacin, cancelacin u oposicin de datos personales, iniciar con la presentacin de una solicitud en cualquiera de las siguientes modalidades: I. Por escrito material, ser la presentada personalmente por el interesado o su representante legal, en la oficina de informacin pblica, o bien, a travs de correo ordinario, correo certificado o servicio de mensajera; II. En forma verbal, ser la que realiza el interesado o su representante legal directamente en la oficina de informacin pblica, de manera oral y directa, la cual deber ser capturada por el responsable de la oficina en el formato respectivo; III. Por correo electrnico, ser la que realiza el interesado a travs de una direccin electrnica y sea enviada a la direccin de correo electrnico asignada a la oficina de informacin pblica del ente pblico; IV. Por el sistema electrnico que el Instituto establezca para tal efecto, y V. Por va telefnica, en trminos de los lineamientos que expida el Instituto. Artculo 34.- La solicitud de acceso, rectificacin, cancelacin u oposicin de los datos personales deber contener, cuando menos, los requisitos siguientes: I. Nombre del ente pblico a quien se dirija; II. Nombre completo del interesado, en su caso, el de su representante legal; III. Descripcin clara y precisa de los datos personales respecto de los que se busca ejercer alguno de los derechos antes mencionados; IV. Cualquier otro elemento que facilite su localizacin; V. El domicilio, mismo que se debe encontrar dentro del Distrito Federal, o medio electrnico para recibir notificaciones, y
150
VI. Opcionalmente, la modalidad en la que prefiere se otorgue el acceso a sus datos personales, la cual podr ser consulta directa, copias simples o certificadas. En el caso de solicitudes de acceso a datos personales, el interesado, o en su caso, su representante legal deber acreditar su identidad y personalidad al momento de la entrega de la informacin. Asimismo, deber acreditarse la identidad antes de que el ente pblico proceda a la rectificacin o cancelacin. En el caso de solicitudes de rectificacin de datos personales, el interesado deber indicar el dato que es errneo y la correccin que debe realizarse y acompaar la documentacin probatoria que sustente su peticin, salvo que la misma dependa exclusivamente del consentimiento del interesado y sta sea procedente. En el caso de solicitudes de cancelacin de datos personales, el interesado deber sealar las razones por las cuales considera que el tratamiento de los datos no se ajusta a lo dispuesto en la Ley, o en su caso, acreditar la procedencia del ejercicio de su derecho de oposicin. Los medios por los cuales el solicitante podr recibir notificaciones y acuerdos de trmite sern: correo electrnico, notificacin personal en su domicilio o en la propia oficina de informacin pblica que corresponda. En el caso de que el solicitante no seale domicilio o algn medio de los autorizados por esta ley para or y recibir notificaciones, la prevencin se notificar por lista que se fije en los estrados de la Oficina de Informacin Pblica del Ente Pblico que corresponda. El nico medio por el cual el interesado podr recibir la informacin referente a los datos personales ser la oficina de informacin pblica, y sin mayor formalidad que la de acreditar su identidad y cubrir los costos de conformidad con la presente Ley y el Cdigo Financiero del Distrito Federal. El Instituto y los entes pblicos contarn con la infraestructura y los medios tecnolgicos necesarios para garantizar el efectivo acceso a la informacin de las personas con discapacidad.
151
Artculo 35.- Presentada la solicitud de acceso, rectificacin, cancelacin u oposicin de datos personales, la oficina de informacin pblica del ente pblico, observar el siguiente procedimiento: I. Proceder a la recepcin y registro de la solicitud y devolver al interesado, una copia de la solicitud registrada, que servir de acuse de recibo, en la que deber aparecer sello institucional, la hora y la fecha del registro; II. Registrada la solicitud, se verificar si cumple con los requisitos establecidos por el artculo anterior, de no ser as se prevendr al interesado, tal y como lo seala el artculo 32 de la presente Ley. De cumplir con los requisitos se turnar a la unidad administrativa que corresponda para que proceda a la localizacin de la informacin solicitada, a fin de emitir la respuesta que corresponda; III. La unidad administrativa informar a la oficina de informacin pblica de la existencia de la informacin solicitada. En caso de inexistencia, se proceder de conformidad con lo previsto por el artculo 32 para que la oficina de informacin pblica a su vez realice una nueva bsqueda en otra rea o unidad administrativa. En la respuesta, la oficina de informacin pblica, sealar el costo que por concepto de reproduccin deber pagar el solicitante en los trminos del Cdigo Financiero del Distrito Federal; IV. La oficina de informacin pblica, notificar en el domicilio o a travs del medio sealado para tal efecto, la existencia de una respuesta para que el interesado o su representante legal pasen a recogerla a la oficina de informacin pblica; V. En cualquier caso, la entrega en soporte impreso o el acceso electrnico directo a la informacin solicitada se realizar de forma personal al interesado o a su representante legal; y VI. Previa exhibicin del original del documento con el que acredit su identidad el interesado o su representante legal, se har entrega de la informacin requerida. En caso de que el ente pblico determine que es procedente la rectificacin o cancelacin de los datos personales, deber notificar al interesado la procedencia de su peticin, para que, dentro de los 10 das hbiles siguientes, el interesado o su representante legal acrediten
152
fehacientemente su identidad ante la oficina de informacin pblica y se proceda a la rectificacin o cancelacin de los datos personales. Artculo 36.- En caso de que no proceda la solicitud, la oficina de informacin pblica deber notificar al peticionario de manera fundada y motivada las razones por las cuales no procedi su peticin. La respuesta deber estar firmada por el titular de la oficina de informacin pblica y por el responsable del sistema de datos personales, pudiendo recaer dichas funciones en la misma persona. Artculo 37.- El trmite de solicitud de acceso, rectificacin, cancelacin u oposicin de datos de carcter personal es gratuito. No obstante, el interesado deber cubrir los costos de reproduccin de los datos solicitados, en trminos de lo previsto por el Cdigo Financiero del Distrito Federal. Los costos de reproduccin de la informacin solicitada se cobrarn al solicitante de manera previa a su entrega y se calcular atendiendo a: I. El costo de los materiales utilizados en la reproduccin de la informacin; II. El costo de envo; y III. La certificacin de documentos cuando proceda. Los Entes Pblicos debern esforzarse por reducir al mximo, los costos de entrega de informacin. CAPTULO III DEL RECURSO DE REVISIN Artculo 38.- Podr interponer recurso de revisin ante el Instituto, el interesado que se considere agraviado por la resolucin definitiva, que recaiga a su solicitud de acceso, rectificacin, cancelacin u oposicin o ante la omisin de la respuesta. Para este efecto, las oficinas de informacin pblica al dar respuesta a las solicitudes, orientarn al particular sobre su derecho de interponer el recurso de revisin y el modo y plazo para hacerlo.
153
Lo anterior, sin perjuicio del derecho que les asiste a los interesados de interponer queja ante los rganos de control interno de los entes obligados. Artculo 39.- El Instituto tendr acceso a la informacin contenida en los sistemas de datos personales que resulte indispensable para resolver el recurso. Dicha informacin deber ser mantenida con carcter confidencial y no estar disponible en el expediente. Las resoluciones que emita el Instituto sern definitivas, inatacables y obligatorias para los entes pblicos y los particulares. En contra de las resoluciones del Instituto el particular podr interponer juicio de amparo. La autoridad judicial competente tendr acceso a los sistemas de datos personales cuando resulte indispensable para resolver el asunto y hubiera sido ofrecida en juicio. Dicha informacin deber ser mantenida con ese carcter y no estar disponible en el expediente. Artculo 40.- El recurso de revisin ser tramitado de conformidad con los trminos, plazos y requisitos sealados en la Ley de Transparencia y Acceso a la Informacin Pblica del Distrito Federal. Igualmente, el recurrente podr interponer el recurso de revocacin, que ser sustanciado en los trminos que establezca la propia Ley de Transparencia y Acceso a la Informacin Pblica del Distrito Federal y el Reglamento Interior del Instituto. TTULO QUINTO DE LAS RESPONSABILIDADES CAPTULO NICO DE LAS INFRACCINES Artculo 41.- Constituyen infracciones a la presente Ley: I. La omisin o irregularidad en la atencin de solicitudes de acceso, rectificacin, cancelacin u oposicin de datos personales;
154
II. Impedir, obstaculizar o negar el ejercicio de derechos a que se refiere la presente Ley; III. Recabar datos de carcter personal sin proporcionar la informacin prevista en la presente Ley; IV. Crear sistema de datos de carcter personal, sin la publicacin previa en la Gaceta Oficial del Distrito Federal; V. Obtener datos sin el consentimiento expreso del interesado cuando ste es requerido; VI. Incumplir los principios previstos por la presente Ley; VII. Transgredir las medidas de proteccin y confidencialidad a las que se refiere la presente Ley; VIII. Omitir total o parcialmente el cumplimiento de las resoluciones realizadas por el Instituto, as como obstruir las funciones del mismo; IX. Omitir o presentar de manera extempornea los informes a que se refiere la presente Ley; X. Obtener datos personales de manera engaosa o fraudulenta; XI. Transmitir datos personales, fuera de los casos permitidos, particularmente cuando la transmisin haya tenido por objeto obtener un lucro indebido; XII. Impedir u obstaculizar la inspeccin ordenada por el Instituto o su instruccin de bloqueo de sistemas de datos personales, y XIII. Destruir, alterar, ceder datos personales, archivos o sistemas de datos personales sin autorizacin; XIV. Incumplir con la inmovilizacin de sistemas de datos personales ordenada por el Instituto, y XV. El incumplimiento de cualquiera de las disposiciones contenidas en esta Ley. Las infracciones a que se refiere este artculo o cualquiera otra derivada del incumplimiento de las obligaciones establecidas en esta Ley, ser sancionada en trminos de la Ley de Federal de Responsabilidades de los Servidores Pblicos, siendo independientes de las de orden civil o penal que procedan, as como los procedimientos para el resarcimiento del dao ocasionado por el ente pblico.
155
Artculo 42.- El Instituto denunciar ante las autoridades competentes cualquier conducta prevista en el artculo anterior y aportar las pruebas que considere pertinentes. Los rganos de control y fiscalizacin internos de los entes pblicos entregarn semestralmente al Instituto, un informe estadstico de los procedimientos administrativos iniciados con motivo del incumplimiento de la presente Ley y sus resultados. Esta informacin ser incorporada al informe anual del Instituto. Dicha resolucin se comunicar al Ente Pblico y al responsable del sistema de datos personales y, en su caso, a los interesados de los datos personales que resultaren afectados. Lo anterior sin perjuicio de las responsabilidades penales o civiles que pudieran derivarse. TRANSITORIOS PRIMERO.- El presente decreto entrar en vigor al da siguiente de su publicacin en la Gaceta Oficial del Distrito Federal. Publquese en el Diario de la Federacin para su mayor difusin. SEGUNDO.- Publquese en la Gaceta Oficial del Distrito Federal para su debida observancia y aplicacin. TERCERO.- Los entes pblicos debern notificar al Instituto, treinta das hbiles despus de la entrada en vigor de la presente Ley, la relacin de Sistemas de Datos Personales que posean para su registro. CUARTO.- El documento en el que se establezcan los niveles de seguridad a las que se refiere el captulo III del Ttulo II de la presente Ley, deber ser emitido por los entes pblicos dentro de los sesenta das hbiles posteriores a la entrada en vigor de la Ley, mismo que deber ser remitido al Instituto para su registro dentro del mismo plazo. Recinto de la Asamblea Legislativa del Distrito Federal, a los veintisiete das del mes de agosto del ao dos mil ocho.-POR LA MESA DIRECTIVA.- DIP. AGUSTN CARLOS CASTILLA MARROQUN, PRESIDENTE
156
SECRETARIA, DIP. LETICIA QUEZADA CONTRERAS.- SECRETARIO, DIP. ALFREDO VINALAY MORA.-FIRMAS. En cumplimiento de lo dispuesto por los artculos 122, apartado C, Base Segunda, fraccin II, inciso b), de la Constitucin Poltica de los Estados Unidos Mexicanos; 48, 49 y 67, fraccin II, del Estatuto de Gobierno del Distrito Federal, para su debida publicacin y observancia, expido el presente Decreto Promulgatorio, en la Residencia Oficial del Jefe de Gobierno del Distrito Federal, en la Ciudad de Mxico, a los dieciocho das del mes de septiembre del ao dos mil ocho.- JEFE DE GOBIERNO DEL DISTRITO FEDERAL, MARCELO LUIS EBRARD CASAUBON.- FIRMA.- SECRETARIO DE GOBIERNO, JOS NGEL VILA PREZ.- FIRMA.- SECRETARIO DE DESARROLLO URBANO Y VIVIENDA, JESS ARTURO AISPURO CORONEL.- FIRMA.- SECRETARIA DE DESARROLLO ECONMICO, LAURA VELSQUEZ ALZA.- FIRMA.- SECRETARIA DEL MEDIO AMBIENTE, MARTHA TERESA DELGADO PERALTA.- FIRMA.- SECRETARIO DE OBRAS Y SERVICIOS, JORGE ARGANIS DAZ LEAL.- FIRMA.- SECRETARIO DE DESARROLLO SOCIAL, MART BATRES GUADARRAMA.FIRMA.-SECRETARIO DE SALUD, DR. ARMANDO AHUE ORTEGA.- FIRMA.- SECRETARIO DE FINANZAS, LIC. MARIO MARTN DELGADO CARRILLO.- FIRMA.- SECRETARIO DE TRANSPORTES Y VIALIDAD, ARMANDO QUINTERO MARTNEZ.- FIRMA.- SECRETARIO DE SEGURIDAD PBLICA, MANUEL MONDRAGN Y KALB.FIRMA.- SECRETARIO DE TURISMO, ALEJANDRO ROJAS DAZ DURN.-FIRMA.- SECRETARIA DE CULTURA, ELENA CEPEDA DE LEN.- FIRMA.- SECRETARIO DE PROTECCIN CIVIL, ELAS MIGUEL MORENO BRIZUELA.- FIRMA.- SECRETARIO DE TRABAJO Y FOMENTO AL EMPLEO, BENITO MIRN LINCE.- FIRMA.- SECRETARIO DE EDUCACIN, AXEL DIDRIKSSON TAKAYANAGUI.- FIRMA.- SECRETARIA DE DESARROLLO RURAL Y EQUIDAD PARA LAS COMUNIDADES, MARA ROSA MRQUEZ CABRERA.- FIRMA.
157
Lineamientos
de
Datos Personales
para la Proteccin
en el
Distrito Federal
TTULO PRIMERO. DISPOSICIONES COMUNES PARA LOS ENTES PBLICOS CAPTULO NICO. DISPOSICIONES GENERALES TTULO SEGUNDO. DE LA TUTELA DE DATOS PERSONALES CAPTULO I. DE LOS SISTEMAS DE DATOS PERSONALES CAPTULO II. DE LAS MEDIDAS DE SEGURIDAD CAPTULO III. DEL TRATAMIENTO DE DATOS PERSONALES CAPTULO IV. DE LAS OBLIGACIONES DE LOS ENTES PBLICOS TTULO TERCERO. DE LA AUTORIDAD RESPONSABLE DEL CONTROL Y VIGILANCIA CAPTULO NICO. INSTITUTO DE ACCESO A LA INFORMACIN PBLICA DEL DISTRITO FEDERAL TTULO CUARTO. DE LOS DERECHOS Y DEL PROCEDIMIENTO PARA SU EJERCICIO CAPTULO NICO. DERECHOS DE ACCESO, RECTIFICACIN, CANCELACIN Y OPOSICIN. TRANSITORIOS
159
TTULO PRIMERO. DISPOSICIONES COMUNES PARA LOS ENTES PBLICOS CAPTULO NICO. DISPOSICIONES GENERALES Objeto 1. Los presentes Lineamientos son de observancia obligatoria para los entes pblicos y tienen por objeto establecer las directrices y criterios para la aplicacin e implementacin de la Ley de Proteccin de Datos Personales para el Distrito Federal. Interpretacin 2. La interpretacin de estos Lineamientos se realizar conforme a lo dispuesto por el artculo 3 de la Ley de Proteccin de Datos Personales para el Distrito Federal. Definiciones 3. Para los efectos de la Ley de Proteccin de Datos Personales para el Distrito Federal y de los presentes Lineamientos, adems de las definiciones contenidas en la propia Ley, se entender por: Autentificacin: Comprobacin de la identidad de aquella persona autorizada para el tratamiento de datos personales; Bloqueo: Identificacin y conservacin de datos personales con el nico propsito de determinar posibles responsabilidades en relacin con su tratamiento, hasta el plazo, legal o contractual, de prescripcin de stas. Durante dicho periodo, los datos personales no podrn ser objeto de tratamiento y transcurrido ste, se proceder a su cancelacin del sistema a que correspondan; Cancelacin: Eliminacin de determinados datos de un sistema de datos personales previo bloqueo de los mismos; Cesionario: Persona fsica o moral, pblica o privada, a la que un ente pblico realice una cesin de datos personales; Documentos: Los expedientes, reportes, estudios, actas, resoluciones, oficios, correspondencia, acuerdos, directivas, directrices, circulares,
160
contratos, convenios, instructivos, notas, memorandos, estadsticas, o bien cualquier otro registro en posesin de los entes pblicos sin importar su fuente o fecha de elaboracin. Los documentos podrn estar en cualquier soporte, dems anlogos escrito, impreso, sonoro, visual, electrnico, informtico u hologrfico; Documento de seguridad: Instrumento que establece las medidas y procedimientos administrativos, fsicos y tcnicos de seguridad aplicables a los sistemas de datos personales necesarios para garantizar la proteccin, confidencialidad, integridad y disponibilidad de los datos contenidos en dichos sistemas; Encargado: Servidor pblico que en ejercicio de sus atribuciones, realiza tratamiento de datos personales de forma cotidiana; Enlace: Servidor pblico que fungir como vnculo entre el ente pblico y el Instituto para atender los asuntos relativos a la Ley de la materia; Fuente de acceso pblico: Aquella cuya consulta pueda ser realizada por cualquier persona, no impedida por una norma limitativa, sin ms exigencia que, en su caso, el pago que genere el acceso a determinado medio de informacin. Tendrn el carcter de fuentes de acceso pblico los Registros Pblicos, los diarios, gacetas y boletines gubernamentales, as como otros medios oficiales de difusin; Incidencia: Cualquier anomala que afecte o pudiera afectar la seguridad de los datos personales; INFOMEX: Sistema electrnico mediante el cual las personas podrn presentar sus solicitudes de acceso a la informacin pblica y de acceso, rectificacin, cancelacin y oposicin de datos personales y es el sistema nico para el registro y captura de todas las solicitudes recibidas por los entes pblicos a travs de los medios sealados en la Ley de Transparencia y Acceso a la Informacin Pblica del Distrito Federal y la Ley de Proteccin de Datos Personales para el Distrito Federal, as como para la recepcin de los recursos de revisin interpuestos a travs del propio sistema; Inmovilizacin: Medida cautelar que consiste en la interrupcin temporal en el uso de un sistema de datos personales ordenada por el Instituto en los supuestos de tratamiento ilcito de datos de carcter personal;
161
Lineamientos: Lineamientos para la Proteccin de Datos Personales en el Distrito Federal; Ley: Ley de Proteccin de Datos Personales para el Distrito Federal; Registro Electrnico de Sistemas de Datos Personales: Aplicacin informtica desarrollada por el Instituto para la inscripcin de los sistemas de datos personales en posesin de los entes pblicos; Responsable: El servidor pblico de la unidad administrativa a la que se encuentre adscrito el sistema de datos personales, designado por el titular del ente pblico, que decide sobre el tratamiento de datos personales, as como el contenido y finalidad de los sistemas de datos personales; Responsable de seguridad: persona a la que el responsable del sistema de datos personales asigna formalmente la funcin de coordinar y controlar las medidas de seguridad aplicables; Sistema de Datos Personales: Conjunto organizado de datos personales que estn en posesin de los entes pblicos, contenidos en archivos, registros, ficheros, bases o bancos de datos, que permita el acceso a datos con arreglo a criterios determinados, cualquiera que fuere la modalidad de su creacin, almacenamiento, organizacin o acceso; Soporte fsico: Son los medios de almacenamiento inteligibles a simple vista, es decir, que no requieren de ningn aparato que procese su contenido para examinar, modificar o almacenar los datos; es decir, documentos, oficios, formularios impresos llenados a mano o a mquina, fotografas, placas radiolgicas, carpetas, expedientes, dems anlogos; Soporte electrnico: Son los medios de almacenamiento inteligibles slo mediante el uso de algn aparato con circuitos electrnicos que procese su contenido para examinar, modificar o almacenar los datos; es decir, cintas magnticas de audio, vdeo y datos, fichas de microfilm, discos pticos (CDs y DVDs), discos magneto-pticos, discos magnticos (flexibles y duros) y dems medios de almacenamiento masivo no voltil; Supresin: Eliminacin de un sistema de datos personales mediante acuerdo publicado en la Gaceta Oficial del Distrito Federal; y
162
Suspensin: Medida cautelar ordenada por el Instituto que consiste en la interrupcin temporal en el tratamiento de determinados datos personales contenidos en un sistema de datos personales. TTULO SEGUNDO. DE LA TUTELA DE DATOS PERSONALES CAPTULO I. DE LOS SISTEMAS DE DATOS PERSONALES Tipos de sistemas de datos personales 4. Los sistemas de datos personales se distinguen en: Fsicos: Conjunto ordenado de datos de carcter personal que para su tratamiento estn contenidos en registros manuales, impresos, sonoros, magnticos, visuales u hologrficos, estructurado conforme a criterios especficos relativos a personas fsicas que permitan acceder sin esfuerzos desproporcionados a sus datos personales; y Automatizados: Conjunto ordenado de datos de carcter personal que permita acceder a la informacin relativa a una persona fsica utilizado una herramienta tecnolgica. Categoras de datos personales 5. Los datos personales contenidos en los sistemas se clasificarn, de manera enunciativa, ms no limitativa, de acuerdo a las siguientes categoras: Datos identificativos: El nombre, domicilio, telfono particular, telfono celular, firma, clave del Registro Federal de Contribuyentes (RFC), Clave nica de Registro de Poblacin (CURP), Matrcula del Servicio Militar Nacional, nmero de pasaporte, lugar y fecha de nacimiento, nacionalidad, edad, fotografa, dems anlogos; Datos electrnicos: Las direcciones electrnicas, tales como, el correo electrnico no oficial, direccin IP (Protocolo de Internet), direccin MAC (direccin Media Access Control o direccin de control de acceso al medio), as como el nombre del usuario, contraseas, firma electrnica; o cualquier otra informacin empleada por la persona, para su identificacin en Internet u otra red de comunicaciones electrnicas;
163
Datos laborales: Documentos de reclutamiento y seleccin, nombramiento, incidencia, capacitacin, actividades extracurriculares, referencias laborales, referencias personales, solicitud de empleo, hoja de servicio, dems anlogos; Datos patrimoniales: Los correspondientes a bienes muebles e inmuebles, informacin fiscal, historial crediticio, ingresos y egresos, cuentas bancarias, seguros, fianzas, servicios contratados, referencias personales, dems anlogos; Datos sobre procedimientos administrativos y/o jurisdiccionales: La informacin relativa a una persona que se encuentre sujeta a un procedimiento administrativo seguido en forma de juicio o jurisdiccional en materia laboral, civil, penal, fiscal, administrativa o de cualquier otra rama del Derecho; Datos acadmicos: Trayectoria educativa, calificaciones, ttulos, cdula profesional, certificados y reconocimientos, dems anlogos; Datos de trnsito y movimientos migratorios: Informacin relativa al trnsito de las personas dentro y fuera del pas, as como informacin migratoria; Datos sobre la salud: El expediente clnico de cualquier atencin mdica, referencias o descripcin de sintomatologas, deteccin de enfermedades, incapacidades mdicas, discapacidades, intervenciones quirrgicas, vacunas, consumo de estupefacientes, uso de aparatos oftalmolgicos, ortopdicos, auditivos, prtesis, as como el estado fsico o mental de la persona; Datos biomtricos: huellas dactilares, ADN, geometra de la mano, caractersticas de iris y retina, dems anlogos; Datos especialmente protegidos (sensibles): origen tnico o racial, caractersticas morales o emocionales, ideologa y opiniones polticas, creencias, convicciones religiosas, filosficas y preferencia sexual; y Datos personales de naturaleza pblica: aquellos que por mandato legal sean accesibles al pblico.
164
Creacin, modificacin o supresin de sistemas de datos personales 6. La creacin, modificacin o supresin de sistemas de datos personales de los entes pblicos slo podr efectuarse mediante acuerdo emitido por el titular del ente o, en su caso, del rgano competente, publicado en la Gaceta Oficial del Distrito Federal. En los casos de creacin y modificacin el acuerdo deber dictarse y publicarse con, al menos quince das hbiles previos a la creacin o modificacin del sistema correspondiente. Contenido del acuerdo de creacin de un sistema de datos personales 7. El acuerdo de creacin de sistemas de datos personales deber contener: La identificacin del sistema de datos personales, indicando su denominacin y normativa aplicable, as como la descripcin de la finalidad y usos previstos; El origen de los datos, indicando el colectivo de personas sobre las que se pretende obtener datos de carcter personal, o que resulten obligados a suministrarlos; su procedencia (propio interesado, representante, ente pblico, etctera) as como el procedimiento de obtencin de los mismos (formulario, Internet, transmisin electrnica, etctera); La estructura bsica del sistema de datos personales mediante la descripcin detallada de los datos identificativos que contiene y, en su caso, de los datos especialmente protegidos, as como las restantes categoras de datos de carcter personal, incluidas en el mismo y el modo de tratamiento utilizado en su organizacin (manual o automatizado). En su caso, sealar los datos de carcter obligatorio y facultativo; Las cesiones de datos que se tengan previstas, indicando, en su caso, los destinatarios o categoras de destinatarios; La identificacin de la unidad administrativa a la que corresponde el sistema de datos personales, as como del cargo del responsable; Domicilio oficial y direccin electrnica de la Oficina de Informacin Pblica ante la cual se presentarn las solicitudes para ejercer los
165
derechos de acceso, rectificacin, cancelacin y oposicin, as como la revocacin del consentimiento; e Indicacin del nivel de seguridad que resulte aplicable: bsico, medio o alto. Modificacin de sistemas de datos personales 8. El acuerdo mediante el cual se determine la modificacin de un sistema de datos personales deber indicar las modificaciones producidas en cualquiera de las fracciones a que se hace referencia en el numeral 7 de estos Lineamientos. Todo acuerdo de modificacin que afecte la integracin y tratamiento de un sistema de datos personales debe publicarse en la Gaceta Oficial del Distrito Federal y ser notificado al Instituto dentro de los diez das hbiles siguientes a su publicacin. Dicha modificacin tambin deber ser inscrita por el responsable en el Registro Electrnico de Sistemas de Datos Personales, dentro del mismo plazo. Supresin de sistemas de datos personales 9. En caso de que el titular del ente pblico o, en su caso, el responsable del sistema de datos personales determine la supresin de un sistema de datos personales mediante la publicacin del acuerdo respectivo en la Gaceta Oficial del Distrito Federal, la supresin deber ser notificada al Instituto dentro de los diez das hbiles siguientes, a efecto de que se proceda a la cancelacin de inscripcin en el registro correspondiente. En los acuerdos que se emitan para la supresin de sistemas de datos personales se establecer el destino que vaya a darse a los datos contenidos en los mismos o, en su caso, las previsiones que se adopten para su destruccin, de conformidad con la Ley de Archivos del Distrito Federal y dems normativa que resulte aplicable. Asimismo, la publicacin de estos acuerdos en la Gaceta Oficial del Distrito Federal deber ser, al menos, treinta das hbiles previos a la supresin del sistema de que se trate.
166
No proceder la supresin de los sistemas de datos personales cuando exista una previsin expresa en una Ley que exija su conservacin. Registro de sistemas de datos personales 10. Los responsables de los sistemas de datos personales en posesin de los entes pblicos debern inscribir dichos sistemas en el Registro Electrnico de Sistemas de Datos Personales habilitado por el Instituto, en un plazo no mayor a los 10 das hbiles siguientes a la publicacin de su creacin en la Gaceta Oficial del Distrito Federal. Contenido del Registro 11. El registro de cada sistema contendr los siguientes campos: Nombre del Sistema y, en su caso, fecha de publicacin en la Gaceta Oficial del Distrito Federal; Nombre y cargo del responsable del sistema; Finalidades y usos previstos, as como el soporte en el que se encuentra; La categora de los datos personales contenidos en el sistema, forma de recoleccin y actualizacin de los mismos; Unidad administrativa en la que se encuentra el sistema; Destino y personas fsicas o morales a las que puedan ser transmitidos; Modo de interrelacionar la informacin contenida en el sistema y el plazo de conservacin de los datos; Telfono y correo electrnico del responsable; Normativa aplicable al sistema; e Indicacin del nivel de seguridad aplicable: bsico, medio o alto. El Instituto otorgar al Responsable un folio de identificacin por cada sistema de datos personales inscrito. Deber de informacin 12. A efecto de cumplir con el deber de informacin previsto en el artculo 9 de la Ley, en el momento en que se recaben datos personales,
167
por cualquier medio, el ente pblico deber hacer del conocimiento del interesado las advertencias a las que se refiere dicho artculo. Modelo de leyenda 13. Sin perjuicio de la modalidad mediante la cual los entes pblicos recaben datos personales, stos, debern utilizar el siguiente modelo de leyenda para informar al interesado de las advertencias a que se refiere el artculo 9 de la Ley: Los datos personales recabados sern protegidos, incorporados y tratados en el Sistema de Datos Personales (nombre del sistema de datos personales), el cual tiene su fundamento en (fundamento legal que faculta al Ente pblico para recabar los datos personales), cuya finalidad es (describir la finalidad del sistema) y podrn ser transmitidos a (destinatario y finalidad de la transmisin), adems de otras transmisiones previstas en la Ley de Proteccin de Datos Personales para el Distrito Federal. Los datos marcados con un asterisco (*) son obligatorios y sin ellos no podr acceder al servicio o completar el trmite (indicar el servicio o trmite de que se trate) Asimismo, se le informa que sus datos no podrn ser difundidos sin su consentimiento expreso, salvo las excepciones previstas en la Ley. El responsable del Sistema de datos personales es (nombre del responsable), y la direccin donde podr ejercer los derechos de acceso, rectificacin, cancelacin y oposicin, as como la revocacin del consentimiento es (indicar el domicilio de la Oficina de Informacin Pblica correspondiente). El interesado podr dirigirse al Instituto de Acceso a la Informacin Pblica del Distrito Federal, donde recibir asesora sobre los derechos que tutela la Ley de Proteccin de Datos Personales para el Distrito Federal al telfono: 5636-4636; correo electrnico: datos.personales@ infodf.org.mx o www.infodf.org.mx Excepciones al deber de informacin 14. En el caso de datos personales que no hayan sido obtenidos directamente del interesado, no habr obligacin de cumplir con el de168
ber de informacin cuando resulte material o jurdicamente imposible o requiera de esfuerzos desproporcionados, en razn del nmero de interesados y/o la antigedad de los datos. CAPTULO II. DE LAS MEDIDAS DE SEGURIDAD 15. Las medidas de seguridad aplicables a los sistemas de datos personales respondern a los niveles establecidos en la Ley para cada tipo de datos. Dichas medidas debern tomar en consideracin las recomendaciones, que en su caso, emita el Instituto para este fin, con el objeto de garantizar la confidencialidad, integridad y disponibilidad de los datos personales durante su tratamiento. Niveles de seguridad 16. Las medidas de seguridad se clasifican, en trminos del artculo 14 de la Ley, en tres niveles: bsico, medio y alto. Estas medidas son acumulativas y atendern a lo siguiente: I. Nivel Bsico. El nivel de seguridad bsico es aplicable a todos los sistemas de datos personales y comprende los siguientes aspectos: a) Documento de seguridad: El responsable elaborar, difundir e implementar la normativa de seguridad mediante el documento de seguridad que ser de observancia obligatoria para todos los servidores pblicos del ente pblico, as como para toda aquella persona que debido a la prestacin de un servicio tenga acceso a los sistemas de datos personales y/o al sitio donde se ubican los mismos, tomando en cuenta lo dispuesto en la Ley y en los presentes Lineamientos. El documento de seguridad deber contener, como mnimo, los siguientes aspectos: Nombre del sistema; Cargo y adscripcin del responsable; mbito de aplicacin;
169
Estructura y descripcin del sistema de datos personales; Especificacin detallada de la categora de datos personales contenidos en el sistema; Funciones y obligaciones del personal que intervenga en el tratamiento de los sistemas de datos personales; Medidas, normas, procedimientos y criterios enfocados a garantizar el nivel de seguridad exigido por el artculo 14 de la Ley y los presentes Lineamientos; Procedimientos de notificacin, gestin y respuesta ante incidencias; Procedimientos para la realizacin de copias de respaldo y recuperacin de los datos, para los sistemas de datos personales automatizados; y Procedimientos para la realizacin de auditoras, en su caso. El documento de seguridad deber actualizarse anualmente o cuando se produzcan cambios relevantes en el tratamiento, que puedan repercutir en el cumplimiento de las medidas de seguridad implantadas. b) Funciones y obligaciones del responsable, encargado y de toda persona que intervenga en el tratamiento de los sistemas de datos personales: Las funciones y obligaciones de todos los que intervengan en el tratamiento de datos personales deben estar claramente definidas en el documento de seguridad. El responsable adoptar las medidas necesarias para que el personal conozca las normas de seguridad que afecten al desarrollo de sus funciones, as como las responsabilidades y consecuencias en que pudiera incurrir en caso de incumplimiento. c) Registro de incidencias: Los procedimientos de notificacin gestin y respuesta ante incidencias contarn necesariamente con un registro en el que se haga constar el tipo de incidencia, el momento en que se ha producido, la persona que realiza la notificacin, a quin se le comunica, los efectos que se hubieran derivado de la misma y las acciones implementadas.
170
d) Identificacin y autentificacin: El responsable tendr a su cargo la elaboracin de una relacin actualizada de servidores pblicos que tengan acceso autorizado al sistema de datos personales y de establecer procedimientos que permitan la correcta identificacin y autenticacin para dicho acceso. El responsable establecer un mecanismo que permita la identificacin, de forma inequvoca y personalizada, de toda aquella persona que intente acceder al sistema de datos personales y la verificacin de que est autorizada. Cuando el mecanismo de autenticacin se base en la existencia de contraseas se establecer un procedimiento de asignacin, distribucin y almacenamiento que garantice su confidencialidad e integridad. Las contraseas se cambiarn con la periodicidad que se determine en el documento de seguridad y se conservarn cifradas. Asimismo, se establecer un procedimiento de creacin y modificacin de contraseas (longitud, formato, contenido). e) Control de acceso: El responsable deber adoptar medidas para que los encargados y usuarios tengan acceso autorizado nicamente a aquellos datos y recursos que precisen para el desarrollo de sus funciones. El responsable deber mantener actualizada una relacin de personas autorizadas y los accesos autorizados para cada una de ellas. Asimismo, deber establecer los procedimientos para el uso de bitcoras respecto de las acciones cotidianas llevadas a cabo en el sistema de datos personales. Solamente el responsable podr conceder, alterar o anular la autorizacin para el acceso a los sistemas de datos personales. f) Gestin de soportes: Al almacenar los soportes fsicos y electrnicos que contengan datos de carcter personal se deber cuidar que estn etiquetados para permitir identificar el tipo de informacin que contienen, ser inventariados
171
y slo podrn ser accesibles por el personal autorizado para ello en el documento de seguridad. La salida de soportes y documentos que contengan datos de carcter personal, fuera de las instalaciones u oficinas bajo el control del responsable, deber ser autorizada por ste, o encontrarse debidamente autorizada en el documento de seguridad. En el traslado de soportes fsicos y electrnicos se adoptarn medidas dirigidas a evitar la sustraccin, prdida o acceso indebido a la informacin durante su transporte. Siempre que vaya a desecharse cualquier soporte que contenga datos de carcter personal deber procederse a su destruccin o borrado, mediante la adopcin de medidas dirigidas a evitar el acceso a la informacin contenida en el mismo o su recuperacin posterior. g) Copias de respaldo y recuperacin: Debern establecerse procedimientos para la realizacin de copias de respaldo y su periodicidad. En caso de que los datos personales se encuentren en soporte fsico, se procurar que el respaldo se efecte mediante la digitalizacin de los documentos. Asimismo, para soportes electrnicos se establecern procedimientos para la recuperacin de los datos que garanticen en todo momento su reconstruccin en el estado en que se encontraban al tiempo de producirse la prdida involuntaria o destruccin accidental. El responsable se encargar de verificar, al menos, cada seis meses la correcta definicin, funcionamiento y aplicacin de los procedimientos de realizacin de copias de respaldo y de recuperacin de los datos. II. Nivel Medio. El nivel de seguridad medio es aplicable a los sistemas de datos personales relativos a la comisin de infracciones administrativas o penales, hacienda pblica, servicios financieros, datos patrimoniales, as como a los sistemas que contengan datos de carcter personal suficientes que permitan obtener una evaluacin de la personalidad del individuo.
172
Este nivel, adems de las medidas de seguridad previstas para el nivel bsico, deber comprender: a) Responsable de seguridad: El responsable designar uno o varios responsables de seguridad para coordinar y controlar las medidas definidas en el documento de seguridad. Esta designacin podr ser nica para todos los sistemas de datos en posesin del ente pblico, o diferenciada, dependiendo de los mtodos de organizacin y tratamiento de los mismos. En todo caso dicha circunstancia deber especificarse en el documento de seguridad. En ningn caso esta designacin supone una delegacin de las facultades y atribuciones que corresponden al responsable del sistema de datos personales de acuerdo con la Ley y los Lineamientos. b) Auditora: Las medidas de seguridad implementadas para la proteccin de los sistemas de datos personales se sometern a una auditora interna o externa, mediante la que se verifique el cumplimiento de la Ley, de los presentes Lineamientos y dems procedimientos vigentes en materia de seguridad de datos, al menos, cada dos aos. El informe de resultados de la auditora deber dictaminar sobre la adecuacin de las medidas de seguridad previstas en los Lineamientos, as como en las recomendaciones, que en su caso, haya emitido el Instituto. Adems, deber identificar sus deficiencias y proponer las medidas preventivas, correctivas o complementarias necesarias. El informe de auditora deber ser comunicado por el responsable al Instituto dentro de los 20 das hbiles siguientes a su emisin. Asimismo, se deber informar al Instituto de la adopcin de las medidas correctivas derivadas de la auditora en el plazo referido, a partir de que stas hayan sido atendidas. c) Control de acceso fsico: El acceso a las instalaciones donde se encuentren los sistemas de datos personales, ya sea en soporte fsico o electrnico, deber permi-
173
tirse exclusivamente a quienes estn expresamente autorizados en el documento de seguridad. d) Pruebas con datos reales: Las pruebas que se lleven a cabo con efecto de verificar la correcta aplicacin y funcionamiento de los procedimientos para la obtencin de copias de respaldo y de recuperacin de los datos, anteriores a la implantacin o modificacin de los sistemas informticos que traten sistemas de datos personales, no se realizarn con datos reales, salvo que se asegure el nivel de seguridad correspondiente al tipo de datos tratados. Si se realizan pruebas con datos reales, se elaborar con anterioridad una copia de respaldo. III. Nivel Alto. El nivel de seguridad alto es aplicable a los sistemas de datos personales que contengan datos relativos a la ideologa, religin, creencias, afiliacin poltica, origen racial o tnico, salud, biomtricos, genticos o vida sexual, as como los que contengan datos recabados para fines policiales, de seguridad, prevencin, investigacin y persecucin de delitos. Este nivel, adems de las medidas de seguridad previstas para el nivel bsico y medio, deber comprender: a) Distribucin de soportes: La distribucin de los soportes que contengan datos de carcter personal se realizar cifrando dichos datos, o bien utilizando cualquier otro mecanismo que garantice que dicha informacin no sea inteligible ni manipulada durante su traslado o transmisin. b) Registro de acceso: El acceso a los sistemas de datos personales se limitar exclusivamente al personal autorizado, estableciendo mecanismos que permitan identificar los accesos realizados en el caso en que los sistemas puedan ser utilizados por mltiples autorizados.
174
Los mecanismos que permiten el registro de accesos estarn bajo el control directo del responsable de seguridad correspondiente, sin que se permita la desactivacin o manipulacin de los mismos. De cada acceso se guardarn, al menos, la identificacin del usuario, la fecha y hora en que se realiz, el sistema accedido, el tipo de acceso y si ste fue autorizado o denegado. El periodo de conservacin de los datos consignados en el registro de acceso ser de, al menos, dos aos. c) Telecomunicaciones: La transmisin de datos de carcter personal a travs de redes pblicas o redes inalmbricas de comunicaciones electrnicas se realizar cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que la informacin no sea inteligible ni manipulable por terceros. Notificacin del nivel de seguridad 17. Los responsables slo debern comunicar al Instituto el nivel de seguridad aplicable a los sistemas de datos personales para su registro. CAPTULO III. DEL TRATAMIENTO DE DATOS PERSONALES Principios 18. En el tratamiento de los datos personales los entes pblicos debern observar los principios de licitud, consentimiento, calidad de los datos, confidencialidad, seguridad, disponibilidad y temporalidad que establece el artculo 5 de la Ley. 19. Para los efectos de la Ley y de los presentes Lineamientos se entender que: I. Con relacin al principio de licitud se considerar que la finalidad es distinta o incompatible cuando el tratamiento de los datos personales no coincida con los motivos para los cuales fueron recabados. II. Con relacin al principio de consentimiento se entender que ste es:
175
Libre: Cuando es obtenido sin la intervencin de vicio alguno de la voluntad; Inequvoco: Cuando existe expresamente una accin que implique su otorgamiento; Especfico: Cuando se otorga referido a una determinada finalidad; e Informado: Cuando se otorga con conocimiento de las finalidades para las que el mismo se produce. III. Con relacin al principio de calidad de los datos, el tratamiento de los datos personales deber ser: Cierto: Cuando los datos se mantienen actualizados de tal manera que no se altere la veracidad de la informacin que traiga como consecuencia que el titular se vea afectado por dicha situacin; Adecuado: Cuando se observa una relacin proporcional entre los datos recabados y la finalidad del tratamiento; Pertinente: Cuando es realizado por el personal autorizado para el cumplimiento de las atribuciones de los entes pblicos que los hayan recabado; e No excesivo: Cuando la informacin solicitada al titular de los datos es la estrictamente necesaria para cumplir con los fines para los cuales se hubieran recabado. IV. Con relacin al principio de confidencialidad, se entender que los datos personales son: Irrenunciables: El interesado est imposibilitado de privarse voluntariamente de las garantas que le otorga la legislacin en materia de proteccin de datos personales; Intransferibles: El interesado es el nico titular de los datos y stos no pueden ser cedidos a otra persona; e Indelegables: Slo el interesado tiene la facultad de decidir a quin transmite sus datos personales. El deber de secreca y el de confidencialidad se considerarn equiparables.
176
Deber de confidencialidad 20. El responsable y toda persona que intervenga en cualquier fase del tratamiento de los datos personales en posesin de los entes pblicos estn obligados a guardar absoluta confidencialidad respecto de los mismos, obligacin que subsistir aun despus de finalizada la relacin por la cual se dio el tratamiento. Finalidad determinada 21. Los datos personales en posesin de los entes pblicos debern tratarse nicamente para la finalidad para la cual fueron obtenidos. Dicha finalidad deber ser explcita, determinada y legal. Deber de actualizacin 22. Los datos deben ser exactos y actualizarse en el caso de que ello fuere necesario para responder con veracidad a la situacin actual de su titular. Cuando los datos de carcter personal sometidos a tratamiento sean inexactos o incompletos, el responsable proceder de oficio a actualizarlos en el momento en que tenga conocimiento de la inexactitud, siempre que cuente con la documentacin que justifique la actualizacin de dichos datos. En el caso de que los datos hubieren sido cedidos previamente, el responsable deber comunicarlo a los cesionarios dentro del plazo de diez das hbiles. Consentimiento 23. El responsable deber obtener el consentimiento del interesado para el tratamiento de sus datos personales, salvo en aquellos supuestos en que el mismo no sea exigible con arreglo a lo dispuesto en el artculo 16 de la Ley. El consentimiento del interesado deber ir referido a un tratamiento especfico, con delimitaciones de temporalidad y finalidad. Destino de los datos 24. Cuando se solicite el consentimiento del interesado para la cesin de sus datos, ste deber ser informado de forma que conozca
177
inequvocamente la finalidad a la que se destinarn los datos respecto de cuya comunicacin se solicita el consentimiento, as como el tipo de actividad desarrollada por el cesionario. En caso contrario, el consentimiento ser nulo. Menores o incapaces 25. En caso de que el ente pblico requiera obtener datos personales de menores de edad o incapaces, el responsable, o en su defecto, el encargado, deber cerciorarse de que quien otorga el consentimiento es la persona que ejerce la patria potestad, tutela o la representacin legal del menor o incapaz de que se trate en trminos del Cdigo Civil para el Distrito Federal. Forma de recabar el consentimiento 26. El responsable deber dirigirse al interesado por escrito para hacer de su conocimiento los aspectos a que se refiere el artculo 9 de la Ley, concedindole un plazo de quince das hbiles para manifestar su negativa al tratamiento, bajo la advertencia de que en caso de no pronunciarse a tal efecto se entender que consiente el tratamiento de sus datos personales. Para efectos de cumplir con el deber de informacin, el responsable deber incorporar al escrito la Leyenda a que hace referencia el numeral 13 de estos Lineamientos. En caso de los sistemas de datos creados con anterioridad a la entrada en vigor de la Ley, as como en los casos y excepciones sealados en el artculo 16 de la misma, no se requerir la notificacin a la que se hace referencia en el prrafo anterior, salvo que los datos reciban un tratamiento distinto a aquel para el que fueron recabados. La comunicacin podr realizarse en el domicilio del ente pblico; por correo electrnico o por correo certificado. Revocacin del consentimiento 27. El interesado podr revocar su consentimiento de conformidad con lo dispuesto en el artculo 16 de la Ley, mediante solicitud presentada ante la Oficina de Informacin Pblica que corresponda, a travs de los
178
formatos que para tal efecto emita el Instituto. La solicitud deber ser acompaada de un medio de identificacin oficial. Adems de cumplir con los requisitos establecidos en el artculo 34 de la Ley, los interesados debern, en su caso, especificar la finalidad para la cual se revoca el consentimiento para tratar sus datos personales. La Oficina de Informacin Pblica realizar las gestiones necesarias ante el responsable que corresponda hasta la culminacin del procedimiento que se har de conformidad con lo dispuesto en el artculo 32 de la Ley. Efectos de la revocacin 28. En caso de que el responsable determine que la solicitud de revocacin del consentimiento es procedente, ste deber cesar en el tratamiento de los datos, sin perjuicio de la obligacin de bloquear los datos conforme a la Ley y estos Lineamientos. En el caso de que los datos hubieren sido cedidos previamente, el responsable, una vez revocado el consentimiento, deber comunicarlo a los cesionarios dentro del plazo de diez das hbiles para que procedan de conformidad con el primer prrafo de este numeral. Ante la improcedencia de la revocacin del consentimiento, el interesado podr ejercer su derecho de cancelacin, conforme a la Ley y los Lineamientos. Tratamiento ilcito de datos personales 29. El Instituto podr, en los supuestos a que hace referencia el artculo 17 de la Ley, requerir, mediante resolucin fundada y motivada del Pleno, que los responsables de sistemas de datos personales suspendan la utilizacin o cesin de determinados datos. El requerimiento deber ser atendido dentro del plazo improrrogable de cinco das hbiles al trmino del cual el responsable deber rendir un informe en el cual seale las medidas adoptadas para la suspensin y en el que alegue lo que a su derecho convenga.
179
Transcurrido el plazo, el Instituto deber emitir una resolucin, dentro del trmino de quince das hbiles, en la que podr: Emitir recomendaciones en las que requiera al ente pblico se subsanen las irregularidades detectadas, mismas que tendrn que ser solventadas dentro del plazo y condiciones que al efecto se establezcan; Requerir al responsable la cancelacin o rectificacin de determinados datos contenidos en el sistema que corresponda; Requerir que el responsable modifique el sistema a efecto de que se ajuste a lo establecido en la Ley y dems normativa aplicable; y Determinar que no hay elementos que permitan establecer que se actualizan los supuestos a que hace referencia el artculo 17 de la Ley. En los supuestos previstos en las fracciones I a la IV, del presente numeral, el Instituto podr ordenar el levantamiento de la suspensin y el archivo del expediente. 30. En caso de que el requerimiento de suspensin fuera desatendido, el Instituto, mediante resolucin fundada y motivada del Pleno, podr requerir la inmovilizacin del sistema correspondiente, con el nico fin de restaurar los derechos de las personas afectadas, lo que se har de conformidad con el lineamiento anterior. Si el requerimiento de inmovilizacin del sistema fuera desatendido, el Instituto dar vista a la autoridad competente para el deslinde de responsabilidades. El Instituto podr evaluar el cumplimiento de la actuacin del ente pblico mediante la realizacin de visitas de inspeccin en los trminos de la Ley y estos Lineamientos. Cuando el Instituto advierta una presunta infraccin a la Ley dar vista al rgano interno de control o su equivalente para que determine lo que en derecho corresponda. Cancelacin de datos personales por los entes pblicos 31. Los datos de carcter personal sern cancelados, de oficio o a peticin del interesado, una vez que hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hayan sido recabados. Sin embargo, debern conservarse durante el tiempo en que pueda exigir180
se algn tipo de responsabilidad derivada de una relacin u obligacin jurdica, o de la ejecucin de un contrato. Una vez cumplido el plazo a que se refiere el prrafo anterior, los datos slo podrn conservarse previa disociacin de los mismos, sin perjuicio de la obligacin de bloqueo prevista en la Ley y estos Lineamientos. Plazos para la cancelacin 32. Los datos personales que hayan sido objeto de tratamiento y no contengan valores histricos, cientficos o estadsticos, debern ser cancelados del sistema de datos personales, teniendo en cuenta los siguientes plazos: El que se haya establecido en el formato fsico o electrnico por medio del cual se recabaron; El establecido por las disposiciones aplicables; y El establecido en el instrumento jurdico formalizado entre un tercero y el ente pblico. Cesin de datos personales 33. La cesin de datos personales slo podr realizarse cuando el cesionario garantice por escrito un nivel de proteccin similar al empleado en el sistema de datos personales, y que se haya consignado en el documento de seguridad. El cesionario de los datos personales quedar sujeto a las mismas obligaciones que corresponden al responsable que los transfiri. Seguridad en la cesin 34. El carcter adecuado de las medidas de seguridad que ofrece el cesionario se evaluar atendiendo las circunstancias que concurran en la transferencia, y en especfico se tomar en consideracin la naturaleza de los datos personales, la finalidad y la duracin del tratamiento.
181
CAPTULO IV. DE LAS OBLIGACIONES DE LOS ENTES PBLICOS 35. Los responsables y encargados estn obligados a cumplir con lo dispuesto en la Ley, los Lineamientos y el documento de seguridad aplicable para cada sistema de datos personales. El titular del ente pblico tiene la obligacin de designar al o los servidores pblicos responsables de los sistemas de datos personales, quienes debern estar adscritos a la unidad administrativa en la que se concrete la competencia material del sistema. Los responsables tienen la atribucin de decidir sobre el contenido y finalidad de los sistemas de datos personales. El titular del ente pblico tambin deber designar al servidor pblico que fungir como enlace entre el ente y el Instituto. El servidor pblico designado como enlace tambin coordinar a los responsables de los sistemas de datos personales al interior del ente pblico. Los responsables, encargados y usuarios debern estar obligados a cumplir con lo dispuesto en la Ley, los Lineamientos y el documento de seguridad aplicable para cada sistema de datos personales. Tratamiento por usuarios 36. En caso de que el tratamiento de datos personales sea por cuenta de usuarios, el responsable deber asegurarse que dicha accin est regulada en un contrato, que deber constar por escrito, o en alguna otra forma que permita acreditar su celebracin y contenido, en el cual se establecer que el usuario nicamente tratar los datos conforme a las instrucciones del responsable, que no los aplicar o utilizar con una finalidad distinta a la que figura en el contrato, ni los comunicar a otras personas. En el contrato se estipularn las medidas de seguridad que se deban implementar para el tratamiento por el usuario. Concluida la relacin contractual, los datos de carcter personal debern ser destruidos o devueltos al responsable.
182
Informe anual 37. El informe a que hace referencia la fraccin III del artculo 21 de la Ley deber contener los siguientes apartados: Nmero de solicitudes de acceso, rectificacin, cancelacin y oposicin de datos personales presentadas ante el ente pblico, as como su resultado; El tiempo de respuesta a la solicitud; El estado que guardan las denuncias presentadas ante los rganos internos de control, as como de las vistas dadas por el Instituto; Dificultades observadas en el cumplimiento de la Ley; Descripcin de los recursos pblicos utilizados en la materia; Sistemas de datos personales creados, modificados y/o suprimidos; Acciones desarrolladas para dar cumplimiento a las disposiciones contenidas en la Ley; y Cesiones de datos personales efectuadas que deber detallar: Identificacin del sistema mediante nmero de folio otorgado por el Instituto, del ente cedente y del cesionario; Finalidad de la cesin; La mencin de si se trata de una cesin total o parcial de un sistema de datos personales y, en su caso, las categoras de datos de que se trate; Fecha de inicio y trmino de la cesin y, en su caso, la periodicidad de la misma; Medio empleado para realizar la cesin; Medidas y niveles de seguridad empleados para la cesin; Obligaciones al trmino del tratamiento; y El nivel de seguridad aplicado por el cesionario. Enlace 38. El servidor pblico designado como enlace tendr las siguientes obligaciones:
183
Coordinar a los responsables de sistemas de datos personales al interior del ente pblico para el cumplimiento de la Ley, los Lineamientos y dems normativa aplicable; Supervisar que los responsables mantengan actualizada la inscripcin de los sistemas bajo su responsabilidad en el Registro electrnico creado por el Instituto; Coordinar las acciones en materia de capacitacin; y Remitir el informe a que hace referencia la fraccin III del artculo 21 de la Ley. Encargado 39. El encargado deber ser una persona que labore en el ente pblico, en tanto que el usuario es aquella persona fsica o moral externa al ente pblico que le presta servicios para tratar datos personales o que implica el tratamiento de los mismos. El acceso a los sistemas de datos personales por parte de la persona encargada del tratamiento, no se considerar una cesin o delegacin de responsabilidades por parte del responsable del sistema. TTULO TERCERO. DE LA AUTORIDAD RESPONSABLE DEL CONTROL Y VIGILANCIA CAPTULO NICO. INSTITUTO DE ACCESO A LA INFORMACIN PBLICA DEL DISTRITO FEDERAL Facultad de inspeccin 40. El Instituto dispondr de los medios de investigacin y de la facultad de intervenir frente a la creacin, modificacin y supresin de sistemas de datos personales sujetos al mbito de aplicacin de la Ley, que no se ajusten a las disposiciones de la misma, de los presentes Lineamientos y de las dems disposiciones que resulten aplicables. A tal efecto, tendr acceso a los sistemas de datos personales, podr inspeccionarlos y recabar toda la informacin necesaria para el cumplimiento de su funcin de control, podr solicitar la exhibicin o el envo
184
de documentos y datos, as como examinarlos en el lugar en donde se encuentren instalados. Procedimiento 41. El Instituto, en trminos del artculo 24, fraccin XVI de la Ley, podr realizar visitas de inspeccin, las cuales no podrn referirse a informacin de acceso restringido, a efecto de evaluar la actuacin de los entes pblicos, de conformidad con lo siguiente: Toda visita de inspeccin deber ajustarse a los procedimientos y formalidades establecidos en estos Lineamientos; Los inspectores, al practicar una visita, debern llevar siempre consigo el Acuerdo del Pleno del Instituto que determin la diligencia en el que deber precisarse el ente pblico que ha de inspeccionarse, el objeto de la visita, el alcance que deba tener y las disposiciones legales que la fundamenten; Los responsables o encargados del sistema de datos personales objeto de inspeccin estarn obligados a permitir el acceso y dar facilidades e informes a los inspectores para el desarrollo de su labor; Al iniciar la visita, el inspector deber exhibir credencial vigente con fotografa, expedida por el Instituto, que lo acredite para desempear dicha funcin, as como el acuerdo a que se refiere la fraccin II de este numeral, de la que deber dejar copia al responsable del sistema de datos personales de que se trate o a la persona con quien se entienda la diligencia; De toda visita de inspeccin se levantar acta circunstanciada, en presencia de dos testigos propuestos por el responsable o servidor pblico con quien se entienda la diligencia o, en su caso, por quien la practique si aqul se hubiere negado a proponerlos; De toda acta se dejar copia al servidor pblico con quien se entendi la diligencia, aunque se hubiere negado a firmar, lo que no afectar la validez de la diligencia ni del documento de que se trate, siempre y cuando el inspector haga constar tal circunstancia en el acta; En las actas se har constar: Identificacin del ente pblico visitado;
185
Hora, da, mes y ao en que se inicie y concluya la diligencia; Calle, nmero, poblacin o colonia, telfono u otra forma de comunicacin disponible, delegacin y cdigo postal en que se encuentre ubicado el lugar en que se practique la visita; Nmero y fecha del acuerdo del Pleno que la motiv; Nombre y cargo de la persona con quien se entendi la diligencia; Nombre y cargo de las personas que fungieron como testigos; Datos relativos a la actuacin; Declaracin del visitado, si quiere hacerla; y Nombre y firma de quienes intervinieron en la diligencia incluyendo los de quien o quienes la hubieren llevado a cabo. Si se negare a firmar el visitado, ello no afectar la validez del acta, debiendo el inspector asentar la razn relativa. La visita debe entenderse con el responsable del sistema. En caso de que no se encontrara presente, la diligencia se entender con el encargado y, en su defecto, con quien se encuentre presente, circunstancia que se har constar en el acta; Los visitados a quienes se haya levantado acta de inspeccin podrn formular observaciones en el acto de la diligencia y ofrecer pruebas en relacin a los hechos contenidos en ella, o bien por escrito, as como hacer uso de tal derecho dentro del trmino de cinco das hbiles siguientes a la fecha en que se hubiere levantado; y Transcurrido el plazo sealado en el numeral anterior, el Instituto deber emitir una resolucin dentro del trmino de quince das hbiles en la que podr: Determinar que el sistema de datos personales se ajusta a lo establecido en la Ley; Determinar que existen irregularidades que contravienen lo establecido en la Ley y dems normatividad aplicable, caso en el que formular recomendaciones al ente pblico, a efecto de que subsane las inconsistencias detectadas dentro del plazo y condiciones que al efecto se determinen; El ente pblico deber informar por escrito al Instituto, dentro de los cinco das hbiles siguientes a que termine el plazo a que se refiere el
186
numeral anterior, sobre la atencin a las recomendaciones formuladas por el Instituto; y En caso de que el ente pblico fuese omiso en presentar los informes o en solventar las recomendaciones, el Instituto, dar vista al rgano interno de control para los efectos legales correspondientes, sin que esta situacin lo exima del cumplimiento de las mismas. En caso de que, en la visita de inspeccin se advirtiera un posible tratamiento ilcito de los datos personales, se estar a lo dispuesto en los numerales 29 y 30 de los presentes Lineamientos. TTULO CUARTO. DE LOS DERECHOS Y DEL PROCEDIMIENTO PARA SU EJERCICIO CAPTULO NICO. DERECHOS DE ACCESO, RECTIFICACIN, CANCELACIN Y OPOSICIN 42. Los derechos de acceso, rectificacin, cancelacin y oposicin son personalsimos y, sern ejercidos directamente por el interesado o su representante legal. Procedimientos 43. Los entes pblicos debern observar, de forma complementaria a lo establecido en la Ley y en los Lineamientos para la gestin de solicitudes de informacin pblica y de datos personales a travs del sistema INFOMEX del Distrito Federal, las disposiciones previstas en este ttulo. En caso de que la solicitud presentada no corresponda a una solicitud de acceso, rectificacin, cancelacin u oposicin sobre datos de carcter personal la Oficina de Informacin Pblica deber notificarlo dentro del plazo de cinco das hbiles al solicitante y, en su caso, orientarlo para que presente una solicitud de informacin pblica o realice el trmite que corresponda.
187
Derecho de acceso 44. El derecho de acceso es la prerrogativa del interesado a obtener informacin acerca de si sus propios datos de carcter personal estn siendo objeto de tratamiento, la finalidad del tratamiento que, en su caso, se est realizando, as como la informacin disponible sobre el origen de dichos datos y las comunicaciones realizadas o previstas de los mismos. 45. El interesado podr, a travs del derecho de acceso, obtener informacin relativa a datos concretos, a datos incluidos en un determinado sistema o la totalidad de los datos sometidos a tratamiento en los sistemas de datos personales en posesin de un ente pblico. Derecho de rectificacin 46. El derecho de rectificacin es la prerrogativa del interesado a que se modifiquen los datos que resulten inexactos o incompletos, con respecto a la finalidad para la cual fueron obtenidos. Los datos sern considerados exactos si corresponden a la situacin actual del interesado. 47. La solicitud de rectificacin deber indicar qu datos se requiere sean rectificados o completados y se acompaar de la documentacin que justifique lo solicitado. Derecho de cancelacin 48. El derecho de cancelacin es la prerrogativa del interesado a solicitar que se eliminen los datos que resulten inadecuados o excesivos en el sistema de datos personales de que se trate, sin perjuicio de la obligacin de bloquear los datos conforme a la Ley y a los presentes Lineamientos. Para efectos del prrafo anterior, se considerar que los datos son inadecuados, cuando estos no guarden una relacin con el mbito de aplicacin y finalidad por la cual fueron recabados, o bien, si dejaron de ser necesarios con respecto a dicha finalidad; as mismo se considerarn como excesivos, si los datos obtenidos son ms de los estrictamente necesarios en relacin a dicha finalidad.
188
El interesado tambin podr solicitar la cancelacin de sus datos cuando el tratamiento de los mismos no se ajuste a lo dispuesto en la Ley o en estos Lineamientos. 49. En la solicitud de cancelacin, el interesado deber indicar a qu datos se refiere, aportando, en su caso, la documentacin que justifique las razones por las cuales considera que el tratamiento no se ajusta a lo dispuesto en la Ley. 50. Los derechos de rectificacin y cancelacin no procedern en los supuestos en que as lo disponga una Ley. Derecho de oposicin 51. El derecho de oposicin es la prerrogativa del interesado a solicitar que no se lleve a cabo el tratamiento de sus datos personales para un fin determinado o se cese en el mismo, cuando no sea necesario otorgar el consentimiento para el tratamiento en trminos de lo dispuesto por el artculo 16 de la Ley, como consecuencia de un motivo legtimo y fundado del interesado y siempre que una Ley no disponga lo contrario. 52. En caso de que la oposicin sea procedente, dar lugar a la cancelacin del dato, previo bloqueo, mientras transcurren los plazos previstos, a efecto de depurar las responsabilidades que correspondan. TRANSITORIOS PRIMERO. Los presentes Lineamientos entrarn en vigor al da siguiente de su publicacin en la Gaceta Oficial del Distrito Federal. SEGUNDO. El titular del ente pblico deber designar al enlace y notificarlo al Instituto para su registro dentro de los quince das hbiles posteriores a la entrada en vigor de los presentes Lineamientos. TERCERO. Los responsables debern inscribir los sistemas de datos personales bajo su custodia dentro de los noventa das hbiles siguientes a la entrada en vigor de estos Lineamientos en el Registro Electrnico de Sistemas de Datos Personales.
189
CUARTO. Los entes pblicos contarn con ciento veinte das hbiles para realizar las adecuaciones necesarias que permitan atender los requerimientos sobre las medidas de seguridad referidas en estos Lineamientos.
Bibliografa
Alberch, Ramn, y otros. Archivos y cultura: manual de dinamizacin, Ramn Alberch [et al.], Gijn: Trea [2001]; 173 p.; 22 cm. Abad Amors, Ma. Rosa. La proteccin de datos en: Derecho de la Informacin, BEL Y CORREIDORA (coords.), Ariel, 2003, Espaa. Lpez-Aylln, Sergio. La reforma y sus efectos legislativos, en: SALAZAR UGARTE, Pedro (coord.), El derecho de acceso a la informacin en la constitucin mexicana: razones significados y consecuencias, UNAM, IFAI, Mxico. Lucas Murillo de la Cueva, Pablo. La proteccin de datos en la administracin de justicia, en: Derecho a la intimidad y nuevas tecnologas, Cuadernos de Derecho Judicial, Consejo General del Poder Judicial, Madrid, Espaa, 2004. Lucas Murillo de la Cueva, Pablo. El derecho a la autodeterminacin informativa, Tecnos, Madrid, Espaa, 1990. Troncoso Reigada, Antonio. La declaracin de los ficheros de datos personales: acerca de un modelo centralizado o descentralizado (en lnea). Madrid: Opinin de los expertos Revista digital: Datospersonales.org, Madrid, APDCM, marzo 2009. Nmero 38. Villanueva, Ernesto. Derecho de acceso a la informacin pblica en Latinoamrica, UNAM, Mxico, 2003.
191
Glosario
Autentificacin: Comprobacin de la identidad de aquella persona autorizada para el tratamiento de datos personales. Bloqueo: Identificacin y conservacin de datos personales con el nico propsito de determinar posibles responsabilidades en relacin con su tratamiento, hasta el plazo, legal o contractual, de prescripcin de stas. Durante dicho periodo, los datos personales no podrn ser objeto de tratamiento y transcurrido ste, se proceder a su cancelacin del sistema a que correspondan. Cancelacin: Eliminacin de determinados datos de un sistema de datos personales previo bloqueo de los mismos. Cesionario: Persona fsica o moral, pblica o privada, a la que un ente pblico realice una cesin de datos personales. Cesin de datos personales: Toda obtencin de datos resultante de la consulta de un archivo, registro, base o banco de datos, una publicacin de los datos contenidos en l, su interconexin con otros ficheros y la comunicacin de datos realizada por una persona distinta a la interesada, as como la transferencia o comunicacin de datos realizada entre entes pblicos. Cifrado
de datos: El cifrado se puede entender como el hecho de guardar algo valioso dentro de una caja fuerte cerrada con llave. Los datos confidenciales se cifran con un algoritmo de cifrado y una clave que los hace ilegibles si no se conoce dicha clave. Las claves de cifrado de datos se determinan en el momento de realizar la conexin entre los equipos. El uso del cifrado de datos puede iniciarse en su equipo o en el servidor al que se conecta.
Consentimiento: Autorizacin o permiso para que se haga algo. Copia de respaldo: Copia de los datos de un archivo informtico en un soporte que posibilite su recuperacin. Datos disociados: Aquellos que no permiten la identificacin de un afectado o interesado. Datos
personales:
La informacin numrica, alfabtica, grfica, acstica o de cualquier otro tipo concerniente a una persona fsica, identificada o identificable. Tal y como son, de manera enunciativa y no limitativa: el origen tnico o racial, caractersticas fsicas, morales o emocionales, la vida afectiva y familiar, el domicilio y telfono particular, correo electrnico no oficial, patrimonio, ideologa y opiniones polticas, creencias, convicciones religiosas y filosficas, estado de salud,
193
preferencia sexual, la huella digital, el ADN y el nmero de seguridad social, y anlogos. Documentos: Los expedientes, reportes, estudios, actas, resoluciones, oficios, correspondencia, acuerdos, directivas, directrices, circulares, contratos, convenios, instructivos, notas, memorandos, estadsticas, o bien cualquier otro registro en posesin de los entes pblicos sin importar su fuente o fecha de elaboracin. Los documentos podrn estar en cualquier soporte, dems anlogos escrito, impreso, sonoro, visual, electrnico, informtico u hologrfico. Documento de seguridad: Instrumento que establece las medidas y procedimientos administrativos, fsicos y tcnicos de seguridad aplicables a los sistemas de datos personales necesarios para garantizar la proteccin, confidencialidad, integridad y disponibilidad de los datos contenidos en dichos sistemas. Encargado: Servidor pblico que en ejercicio de sus atribuciones, realiza tratamiento de datos personales de forma cotidiana. Enlace: Servidor pblico que funge como vnculo entre el ente pblico y el Instituto para atender los asuntos relativos a la Ley de Proteccin de Datos Personales para el D. F. Ente Pblico: La Asamblea Legislativa del Distrito Federal; el Tribunal Superior de Justicia del Distrito Federal; El Tribunal de lo Contencioso Administrativo del Distrito Federal; El Tribunal Electoral del Distrito Federal; el Instituto Electoral del Distrito Federal; la Comisin de Derechos Humanos del Distrito Federal; la Junta de Conciliacin y Arbitraje del Distrito Federal; la Jefatura de Gobierno del Distrito Federal; las Dependencias, rganos Desconcentrados, rganos Poltico Administrativos y Entidades de la Administracin Pblica del Distrito Federal; los rganos Autnomos por Ley; los partidos polticos, asociaciones y agrupaciones polticas; as como aquellos que la legislacin local reconozca como de inters pblico y ejerzan gasto pblico; y los entes equivalentes a personas jurdicas de derecho pblico o privado, ya sea que en ejercicio de sus actividades acten en auxilio de los rganos antes citados o ejerzan gasto pblico. Fuente de acceso pblico: Aquella cuya consulta pueda ser realizada por cualquier persona, no impedida por una norma limitativa, sin ms exigencia que, en su caso, el pago que genere el acceso a determinado medio de informacin. Tendrn el carcter de fuentes de acceso pblico los Registros Pblicos, los diarios, gacetas y boletines gubernamentales, as como otros medios oficiales de difusin. Incidencia: Cualquier anomala que afecte o pudiera afectar la seguridad de los datos personales. Inequvoco: Que no admite duda o equivocacin. INFOMEX: Sistema electrnico mediante el cual las personas podrn presentar sus solicitudes de acceso a la informacin pblica y de acceso, rectificacin, cancelacin y oposicin de datos personales y es el sistema nico para el registro y captura de todas las solicitudes recibidas por los entes pblicos a travs de los medios sealados en la Ley de Transparencia y Acceso a la Informacin Pblica del Distrito Federal y la Ley de Proteccin de Datos Personales para el Distrito Federal, as como para la recepcin de los recursos de revisin interpuestos a travs del propio sistema.
194
Interesado: Persona fsica titular de los datos personales que sean objeto del tratamiento al que se refiere la presente Ley. Inmovilizacin: Medida cautelar que consiste en la interrupcin temporal en el uso de un sistema de datos personales ordenada por el Instituto en los supuestos de tratamiento ilcito de datos de carcter personal. Oficina
de Informacin
Pblica: La unidad administrativa receptora de las solicitudes de acceso, rectificacin, cancelacin y oposicin de datos personales en posesin de los entes pblicos, a cuya tutela estar el trmite de las mismas, conforme a lo establecido en esta Ley y en los lineamientos que al efecto expida el Instituto.
Procedimiento de disociacin: Todo tratamiento de datos personales de modo que la informacin que se obtenga no pueda asociarse a una persona fsica identificada o identificable. Registro Electrnico de Sistemas de Datos Personales: Aplicacin informtica desarrollada por el Instituto para la inscripcin de los sistemas de datos personales en posesin de los entes pblicos. Responsable: El servidor pblico de la unidad administrativa a la que se encuentre adscrito el sistema de datos personales, designado por el titular del ente pblico, que decide sobre el tratamiento de datos personales, as como el contenido y finalidad de los sistemas de datos personales. Responsable de seguridad: Persona a la que el responsable del sistema de datos personales asigna formalmente la funcin de coordinar y controlar las medidas de seguridad aplicables. Revocar: Dejar sin efecto una concesin, mandato o resolucin. Sistema
de Datos Personales: Conjunto organizado de datos personales que estn en posesin de los entes pblicos, contenidos en archivos, registros, ficheros, bases o bancos de datos, que permita el acceso a datos con arreglo a criterios determinados, cualquiera que fuere la modalidad de su creacin, almacenamiento, organizacin o acceso.
Soporte electrnico: Son los medios de almacenamiento inteligibles slo mediante el uso de algn aparato con circuitos electrnicos que procese su contenido para examinar, modificar o almacenar los datos; es decir, cintas magnticas de audio, vdeo y datos, fichas de microfilm, discos pticos (CDs y DVDs), discos magnetopticos, discos magnticos (flexibles y duros) y dems medios de almacenamiento masivo no voltil. Soporte fsico: Son los medios de almacenamiento inteligibles a simple vista, es decir, que no requieren de ningn aparato que procese su contenido para examinar, modificar o almacenar los datos; es decir, documentos, oficios, formularios impresos llenados a mano o a mquina, fotografas, placas radiolgicas, carpetas, expedientes, dems anlogos. Supresin: Eliminacin de un sistema de datos personales mediante acuerdo publicado en la Gaceta Oficial del Distrito Federal. Suspensin: Medida cautelar ordenada por el InfoDF que consiste en la interrupcin temporal en el tratamiento de determinados datos personales contenidos en un sistema de datos personales.
195
Transmisin de datos: Cualquier traslado, comunicacin, envo, entrega o divulgacin de los datos. Tratamiento de Datos Personales: Cualquier operacin o conjunto de operaciones efectuadas mediante procedimientos automatizados o fsicos, aplicados a los sistemas de datos personales, relacionados con la obtencin, registro, organizacin, conservacin, elaboracin, utilizacin, cesin, difusin, interconexin o cualquier otra forma que permita obtener informacin de los mismos y facilite al interesado el acceso, rectificacin, cancelacin u oposicin de sus datos. Usuario: Aquel autorizado por el ente pblico para prestarle servicios para el tratamiento de datos personales. Vulneracin: Transgresin, quebranto, violacin de una ley o precepto. Bibliografa del Glosario Ley de Proteccin de Datos Personales para el Distrito Federal 2009. Lineamientos de Proteccin de Datos Personales para el Distrito Federal 2009. Del Peso Navarro, Emilio; Ramos Gonzlez, Miguel ngel; Del Peso Ruiz, Margarita; Del Peso Ruiz, Mar. 2008, Nuevo Reglamento de Proteccin de Datos de Carcter Personal, Medidas de Seguridad, Ediciones Daz de Santos. http://technet.microsoft.com/es-es/library/cc785633(WS.10).aspx http://www.wordreference.com/definicion/consentimiento
196
Notas
1. http://www.webjuridico.net/hoi/hoi06.htm 2. Rysdall, R. Proteccin de datos y el Convenio Europeo de los Derechos Humanos, Discurso de apertura de la XIII Conferencia de Comisarios de Proteccin de Datos, Novtica, marzo de 1992, p.9. 3. Otero Parga, Milagros. Consideraciones en torno al derecho a la intimidad, en Los derechos fundamentales y libertades pblicas (XII Jornadas de Estudio de la Direccin General del Servicio Jurdico del Estado), Ministerio de Justicia, Madrid, 1992, vol. I, pp. 697-698. 4. Artculo 2.a de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995. 5. En el anlisis de estos componentes seguimos, en lo fundamental, el Dictamen 4/2007 sobre el concepto de datos personales adoptado el 20 de junio por el GRUPO DE TRABAJO DEL ARTCULO 29, creado en virtud del artculo 29 de la Directiva 95/46/CE. Se trata de un organismo de la UE, de carcter consultivo e independiente, para la proteccin de datos y el derecho a la intimidad. Se sugiere su consulta para profundizar en el tema. El documento est disponible en: http://ec.europa.eu/ justice_home/fsj/privacy/docs/wpdocs/2007/wp136_es.pdf 6. El artculo 10 de la LPDPDF considera como datos sensibles a: el origen tnico o racial, caractersticas morales o emocionales, ideologa y opiniones polticas, creencias religiosas, filosficas y preferencia sexual. 7. Documento n WP 105 del Grupo de trabajo: Documento de trabajo sobre las cuestiones relativas a la proteccin de datos relacionadas con la tecnologa RFID, adoptado el 19.1.2005, p. 8. 8. Artculo 22. 9. Publicada en el Peridico Oficial El Estado de Colima el 21 de junio de 2003. 10. Por ejemplo, la Ley argentina aplica tanto a personas fsicas como a personas morales y define a los datos personales como informacin de cualquier tipo referida a personas fsicas o de existencia ideal (jurdicas) determinadas (identificadas) o determinables (identificables). 11. Lucas Murillo de la Cueva, La proteccin de datos en la administracin de justicia, en: Derecho a la intimidad y nuevas tecnologas, Cuadernos de Derecho Judicial, Consejo General del Poder Judicial, Madrid, Espaa, 2004, p.233.
197
12. Abad Amors, Ma. Rosa. La proteccin de datos en: Derecho de la Informacin, BEL Y CORREIDORA (Coords.), Ariel, 2003, Espaa, p.357. 13. Villanueva, Ernesto. Derecho de acceso a la informacin pblica en Latinoamrica, UNAM, Mxico, 2003, p. XXV. 14. Arbelez de Tobn, Luca. Transparencia, derechos fundamentales y la Internet en el Poder Judicial de Colombia, Ponencia presentada en el Seminario-Taller sobre la INTERNET Y SISTEMA JUDICIAL EN AMERICA LATINA Y EL CARIBE. 15. Expresin latina que significa a la ciudad y al mundo entero. Se emplea para expresar que cierta cosa se hace llegar a todas partes y que especficamente se publica a los cuatro vientos. 16. Ornelas Nez, Lina y Lpez Aylln, Sergio. Documento La recepcin del derecho a la proteccin de datos en Mxico: Breve descripcin de su origen y estatus legislativo. 17. Velasco San Martn, Cristos. Privacidad y proteccin de datos personales en Internet Es necesario contar con una regulacin especfica en Mxico?, Boletn de Poltica Informtica, No. 1, 2003, pp.4-5. 18. Organizacin para la Cooperacin y Desarrollo Econmico, organizacin de cooperacin internacional, compuesta por 30 Estados, cuyo objetivo es coordinar sus polticas econmicas y sociales. 19. Bayo Delgado, Joaqun. Derecho comunitario sobre proteccin de datos en GMEZ MARTNEZ, (dir.) Derecho a la intimidad y nuevas tecnologas, Cuadernos de Derecho Judicial IX-2004, Consejo General del Poder Judicial, 2004, p.50. 20. Abrogar es abolir o dejar sin efecto una norma vigente. Cuando se abroga una norma sta se elimina completamente. www.lenguajeciudadano.gob.mx (13 de octubre de 2008). 21. Sobre este particular, los asamblestas consideraron que por su relevancia estas materias deberan contar con una ley especfica. La LPDPDF se public en la Gaceta Oficial del Distrito Federal el 3 de octubre de 2008 y la Ley de Archivos local el 8 del mismo mes y ao. 22. La LPDPDF tambin recoge el principio denominado derecho de informacin o deber de informacin, si bien no se refiere a l dentro del artculo 5 si lo contempla en el artculo 9. 23. Lpez-Aylln, Sergio. La reforma y sus efectos legislativos, en: SALAZAR UGARTE, Pedro (Coord.), El derecho de acceso a la informacin en la Constitucin mexicana: razones significados y consecuencias, UNAM, IFAI, Mxico, 2008, p.18. 24. El procedimiento de disociacin consiste en todo tratamiento de datos personales de modo que la informacin que se obtenga no pueda asociarse a una persona fsica identificada o identificable. 25. Captulo II del Ttulo Segundo De la tutela de datos personales. 26. Troncoso Reigada, Antonio. La declaracin de los ficheros de datos personales: acerca de un modelo centralizado o descentralizado, (en lnea). Madrid: Opinin de los expertos Revista digital: Datospersonales.org, Madrid, APDCM, marzo 2009. Nmero 38.
198
http://www.madrid.org/cs/Satellite?c=CM_Revista_FP&cid=1142540478587&esArti culo=true&idRevistaElegida=1142527411030&language=es&pagename=RevistaDa tosPersonales%2FPage%2Fhome_RDP&siteName=RevistaDatosPersonales (consulta: 20 julio 2009).
27. Artculo 7 LPDPDF. 28. Las medidas de seguridad se regulan en el Captulo III, del Ttulo Segundo De la tutela de datos personales de la LPDPDF (artculos 13 al 15). 29. En Mxico los criterios cientficos, tecnolgicos y administrativos obligatorios en la elaboracin, integracin, uso y archivo del expediente clnico estn contenidos en la Norma Oficial Mexicana: NOM-168-SSA1-1998 DEL EXPEDIENTE CLNICO. 30. El Instituto Federal de Acceso a la Informacin Pblica (IFAI) cuenta con un Estudio sobre expedientes clnicos disponible en: http://www.ifai.org.mx/SitiosInteres/ligasSitios 31. Como es el caso de la Agencia Espaola de Proteccin de Datos que tiene facultades para imponer multas millonarias. www.agpd.es 32. Sobre este ltimo punto existe un procedimiento especfico en los Lineamientos (numeral 41). 33. La propia LPDPDF hace referencia a la Ley Federal de Responsabilidades de los Servidores Pblicos, la cual en su artculo 78 establece el plazo de prescripcin para imponer sanciones. 34. Sobre el recurso de revisin consultar: http://www.infodf.org.mx/capacitacion/publicacionesDCCT/Recursoderevision/recursoderevision.pdf 35. El plazo ser de 20 das si el ente no presenta el informe de ley o de 10 das si el recurso se presenta por falta de respuesta.
199
Evalate
en Lnea
Te recordamos que si ya concluiste el curso a travs de este Manual de Autoformacin y deseas obtener una Constancia de Acreditacin validada por el InfoDF, debes presentar tus evaluaciones a travs del Aula Virtual de Aprendizaje (AVA), localizada en la pgina de internet www.aula-infodf.org/aulavirtual/. Una vez que hayas concluido las evaluaciones correspondientes a este curso, con las calificaciones requeridas (10 en cada tema), el InfoDF te otorgar una Constancia de Acreditacin. Para cualquier duda a este respecto, puedes comunicarte al telfono 56 36 21 20 Ext. 159.
201
Coleccin Capacitacin a Distancia
05
Instituto de Acceso a la Informacin Pblica y Proteccin de Datos Personales del Distrito Federal. Manual de Autoformacin sobre la Ley de Proteccin de Datos Personales para el Distrito Federal. Diciembre de 2009. Corporacin Mexicana de Impresin S. A. de C. V. General Victoriano Zepeda No. 22 Col. Observatorio, C. P. 11860, Mxico, D. F. El tiraje fue de 2,000 ejemplares impresos en papel bond de 90 g y forros en couch de 250 g. Fuentes tipogrficas: Arial, Arial Black, Carta, Gill Sans MT, Imprint MT Shadow y Zapf Ding bats. Cuidado de la edicin: Direccin de Capacitacin y Cultura de la Transparencia.

Manual Da To S Personal Es

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Manual Da To S Personal Es

Transféré par

Droits d'auteur :

Formats disponibles

Coleccin Capacitacin a Distancia

LEY DE PROTECCIN DE DATOS PERSONALES PARA EL DISTRITO FEDERAL

MANUAL DE AUTOFORMACIN SOBRE LA

Mariana Cendejas Juregui

Ma. de los ngeles Hernndez Snchez

Sonia Barrera Garca Dulce Ma. Jara Reyes

pgina pgina pgina pgina

Presentacin Objetivos de aprendizaje Gua del participante

Conceptos y Definiciones Bsicas

Antecedentes de las Leyes de Proteccin de Datos Personales

119 127 159 191 193 197

l concluir el Manual el participante podr:

Lea la gua completa antes de iniciar

Estructura del Manual

Conceptos y Definiciones Bsicas

ARCO: Cuatro derechos fundamentales

Proteccin de datos de carcter personal

Intimidad es la esfera personal y privada de comporta-

1. Tienen derecho a la proteccin de datos personales:

3. Para una efectiva garanta del derecho a la proteccin de datos

Antecedentes de las Leyes de Proteccin de Datos Personales

El derecho a la proteccin de datos personales surge ante

1. Las primeras legislaciones sobre datos personales se adoptan:

2. El texto de referencia para los pases europeos para legislar en

Contenido del Mdulo tres

Un responsable en cada sistema de datos personales

Carcter de los expe

Datos personales: uso autorizado en estadstica, ciencia e historia

Cmo funciona el sistema

(Viene de la pgina anterior)

Nivel alto de seguridad

Atribuciones del InfoDF

A. Acceso. R. Rectificacin. C. Cancelacin. O. Oposicin.

Cualquier persona puede ejercer los Derechos ARCO

La proteccin de datos personales es un derecho que

2. En atencin al principio de calidad los datos personales deben

3. El consentimiento se refiere a la manifestacin de la voluntad:

4. Se considera como un dato sensible:

5. El derecho de proteccin de datos es:

PP Secretara de Transportes y Vialidad. PP Secretara de Seguridad Pblica. PP Secretara de Salud.

PP Secretara de Cultura. PP Oficiala Mayor.

Delegaciones PP Delegacin lvaro Obregn. PP Delegacin Azcapotzalco.

PP Delegacin Benito Jurez. PP Delegacin Coyoacn.

PP Delegacin Cuajimalpa de Morelos. PP Delegacin Cuauhtmoc.

PP Delegacin Gustavo A. Madero. PP Delegacin Iztacalco.

PP Delegacin Venustiano Carranza. PP Delegacin Xochimilco.

PP Junta de Asistencia Privada del Distrito Federal

PP Planta de Asfalto del Distrito Federal PP Polica Auxiliar

PP Polica Bancaria e Industrial

http://portal.ssp.df.gob.mx/OrgPolicial/PA/Pages/Historia.aspx http://www.policiabancaria.df.gob.mx/ http://www.paot.org.mx

PP Partido Verde Ecologista de Mxico. PP Convergencia.

Distrito Federal (LPDPDF)

http://www.madrid.org/cs/Satellite?c=CM_Revista_FP&cid=1142540478587&esArti culo=true&idRevistaElegida=1142527411030&language=es&pagename=RevistaDa tosPersonales%2FPage%2Fhome_RDP&siteName=RevistaDatosPersonales (consulta: 20 julio 2009).

Coleccin Capacitacin a Distancia

Vous aimerez peut-être aussi