300 likes | 404 Views
LEY GENERAL DE PROTECCIÓN DE DATOS PERSONALES: UN DERECHO EMANCIPADO. Octubre 2014. EMANCIPACIÓN DEL DERECHO A LA PROTECCIÓN DE DATOS PERSONALES. La transparencia no debe estar por encima de la protección de los datos personales
E N D
LEY GENERAL DE PROTECCIÓN DE DATOS PERSONALES: UN DERECHO EMANCIPADO Octubre 2014
EMANCIPACIÓN DEL DERECHO A LA PROTECCIÓN DE DATOS PERSONALES • La transparencia no debe estar por encima de la protección de los datos personales • Liberar la tensión que permanentemente coloca a ambos derechos en el límite de uno y otro Octubre 2014
LEY GENERAL Y LEY REGLAMENTARIA: DIFERENCIAS • LEY GENERAL • Genera un marco jurídico que propicia la armonización de conceptos y distribuye competencias entre los distintos niveles de gobierno en las materias concurrentes • LEY REGLAMENTARIA • Únicamente amplía, esclarece o detalla algún artículo o alguna ley que, por su contenido, requiere de una mayor explicación jurídica Octubre 2014
NECESIDAD DE ESTABLECER UNA LEY GENERAL • Distribuye competencias entre los distintos niveles de gobierno • Se convierte en la plataforma mínima de las leyes locales • Fija con claridad el ámbito de actuación de los Estados y la Federación • Identifica los espacios en donde debe generase la coordinación • Proporciona un marco para la identificación de autoridades responsables Octubre 2014
SISTEMA NACIONAL DE TRANSPARENCIA, ACCESO A LA INFORMACIÓN Y PROTECCIÓN DE DATOS PERSONALES • Debe estar encaminado a construir una política nacional en materia de protección de datos personales • Debe hacerse una distinción del Sistema Nacional de Transparencia Octubre 2014
CARACTERÍSTICAS • Permitir acciones conjuntas en materia de protección de datos personales en los tres órdenes de gobierno • Generar lineamientos de tratamiento de datos personales • Vincular a las autoridades y a los sujetos obligados a fin de implementar y dar seguimiento a las políticas en materia de protección de datos personales, derechos ARCO • Promover la cultura de protección de datos personales en temas sensibles como la seguridad pública y la administración o procuración de justicia, sobre todo cuando impacten la privacidad Octubre 2014
SISTEMA DE GESTIÓN Y DOCUMENTO DE GESTIÓN • Los documentos de gestión sólo son medidas de seguridad que forman parte de un conjunto de acciones encaminadas a proteger los datos personales y garantizar el efectivo ejercicio de los derechos ARCO • No se debe sustituir la protección como derecho por dispositivos para proteger los registros, bases o archivos • Es fundamental proteger y otorgar facultades para ejercer derechos sobre el dato personal permitiendo un mayor control sobre la información personal que cedemos. Es autodeterminación informativa Octubre 2014
LA RESPONSABILIDAD DEL ESTADO ANTE LOS PRINCIPIOS • El eje sobre el cual gira la protección de datos personales son los principios, los cuales deben ser tutelados por el Estado • Los principios son inherentes al tratamiento de los datos personales Octubre 2014
PRINCIPIOS (CLAROS, PRECISOS E INEQUÍVOCOS) • CALIDAD • Hay una innovación en términos de los plazos de conservación o de temporalidad • Se cumple cuando los datos son proporcionados directamente por el titular • PROPORCIONALIDAD • Debe estar encaminado a la pertinencia • Los datos deben ser adecuados, no excesivos y ciertos, sin condición alguna • Permite mantener un alto estándar en protección de datos Octubre 2014
EJERCICIO DE LA AUTODETERMINACIÓN INFORMATIVA • Como titulares de derechos vinculados a sus datos personales • Para ceder o permitir que sus datos personales sean tratados • Revocación del consentimiento en cualquier momento del tratamiento Octubre 2014
CONSENTIMIENTO • Debe ser libre, específico, informado e inequívoco • Permite el ejercicio de la autodeterminación informativa, la protección de los datos personales y el ejercicio de los derechos ARCO • CONSENTIMIENTO EXPRESO • MENORES • Privilegiar el “interés superior del niño”, protegiendo sus datos y su privacidad • Para recabar sus datos se requiere el consentimiento expreso, libre, inequívoco, informado, específico, dado por sus padres o sus tutores Octubre 2014
CONSENTIMIENTO EXPRESO • PERSONAS EN ESTADO DE INTERDICCIÓN • Sus datos deberán ser protegidos y sólo se pueden recabar por mandato judicial o de la autoridad competente • Por cuestiones de salud, riesgo epidemiológico o catástrofe social o natural • CONSENTIMIENTO EXPRESO • DATOS PERSONALES DE PERSONAS FALLECIDAS • Sus datos personales no desparecen o se extinguen y deberán ser considerados confidenciales • Únicamente podrán ejercer los derechos de acceso, rectificación, cancelación y oposición, el cónyuge o concubinario supérstite, así como los ascendientes en línea recta hasta el segundo grado • Sin necesidad de acreditar interés jurídico Octubre 2014
AVISO DE PRIVACIDAD VS AVISO DE CONSENTIMIENTO • AVISO DE CONSENTIMIENTO • Indicación física, electrónica o en cualquier otro formato generado por los sujetos obligados, que necesariamente deberá ser puesto a disposición del titular de los datos personales, a través del cual autoriza expresamente el tratamiento de sus datos personales • La recolección de datos debe estar fundada en una fuente jurídica • AVISO DE PRIVACIDAD • Únicamente implica cumplir con el principio de información • El aviso de privacidad no colma los extremos del consentimiento al no ser libre, específico e inequívoco Octubre 2014
FIGURAS DE LA PROTECCIÓN DE DATOS PERSONALES, OFICIAL DE DATOS PERSONALES, ENCARGADO Y RESPONSABLE • OFICIAL DE DATOS PERSONALES • Debe fungir como el ombudsperson en la protección de los datos personales • Calificado para orientar, requerir informes y mediar siempre que sea necesario • Capaz de emitir recomendaciones encaminadas a la máxima protección de los datos de las personas Octubre 2014
FIGURAS DE LA PROTECCIÓN DE DATOS PERSONALES, OFICIAL DE DATOS PERSONALES, ENCARGADO Y RESPONSABLE • RELACIÓN DEL OFICIAL DE DATOS PERSONALES CON EL COMITÉ DE INFORMACIÓN • Garantizar la protección de los datos personales • Emitir opiniones en el Comité de Información • Garantizar el efectivo ejercicio de los derechos Octubre 2014
FIGURAS DE LA PROTECCIÓN DE DATOS PERSONALES, OFICIAL DE DATOS PERSONALES, ENCARGADO Y RESPONSABLE • RESPONSABLE • Debe ser una persona identificable, no confundir con los sujetos obligados • El responsable es el titular del órgano de gobierno, institución o dependencia que recaba datos personales • Su actuar debe ser transparente, sin secrecías • Debe estar sujeto a un sistema de rendición de cuentas, en relación con el correcto tratamiento y la debida protección de los datos personales, así como el eficiente ejercicio de los derechos ARCO Octubre 2014
FIGURAS DE LA PROTECCIÓN DE DATOS PERSONALES, OFICIAL DE DATOS PERSONALES, ENCARGADO Y RESPONSABLE • ENCARGADO • Es el operador del sistema o base de datos • Se identifica como usuario, en términos del tratamiento que hace con los datos personales • Debe evitar la tercerización en el tratamiento de datos, ya que hace más complicada su protección, al no cumplir totalmente con el principio de continuidad, perdiéndose la protección de los datos durante su tratamiento por la acción de un tercero Octubre 2014
TRANSFERENCIAS Y REMISIÓN • Toda transferencia de datos personales, sea ésta nacional o internacional, se encuentra sujeta al consentimiento de su titular • La Ley propuesta establece amplias excepciones para llevar a cabo transferencias sin consentimiento • La remisión nacional e internacional de datos personales, no requerirá ser informada al titular, ni contar con su consentimiento, lo que vulnera el derecho de la protección a los datos personales • La inclusión de estas figuras en el anteproyecto de Ley, avalaría la geolocalización sin el consentimiento expreso de las personas Octubre 2014
IMPACTO A LA PRIVACIDAD • Manifestación que permitirá evaluar, conocer y prevenir posibles riesgos que puedan vulnerar los principios y derechos de protección de datos personales, a través de un procedimiento específico ante el Órgano Garante. • OBLIGATORIEDAD DE CUMPLIR CON EL IMPACTO A LA PRIVACIDAD • Sistemas de videovigilancia • Geolocalización • Tecnologías que presupongan una invasión a la privacidad • Es obligatorio sin importar si sólo recolecta o también almacena datos personales. Octubre 2014
REGISTRO NACIONAL DE DATOS PERSONALES • Tiene la importante tarea de hacer lícitos y legítimos la creación, modificación y supresión de las bases, bancos, registros o sistemas de datos personales • Debe ser transparente y responsable • No debe ser un mecanismo de coacción o de control, que condicione los servicios o los derechos • Es fundamental hacer legítimas las bases de datos: registrarlas y publicarlas Octubre 2014
FUNCIONES DEL REGISTRO NACIONAL • Hacer lícitas las bases donde se traten datos personales • Hacer legítimo el tratamiento • Hacer disponibles los Datos Personales a los titulares para ejercer derechos sobre ellos • Evitar la secrecía y la discrecionalidad • Transparentar el ejercicio de Protección de Datos Personales • Garantizar la rendición de cuentas por parte del Responsable y el Encargado de Tratamiento de los Datos Personales • Permitir ejercer otros derechos • El registro permitirá que las personas puedan ejercer derechos en bases de datos que tienen un carácter de distribución de competencias en ámbitos como la seguridad pública, la procuración y administración de justicia, la salud y la educación Octubre 2014
PARTIDOS POLÍTICOS • Establecer normas específicas que permitan a los titulares de los datos personales ejercer derechos • Particularmente el acceso, la oposición, la rectificación y la cancelación, que implicaría un procedimiento de baja • Establecer claramente quienes serían los responsables y encargados de los sistemas de datos personales, sus funciones y los mecanismos para proteger • Para el caso de partidos políticos, regular las transferencias particularmente al INE Octubre 2014
PARTIDOS POLÍTICOS • La recolección de los datos personales en partidos políticos implica el tratamiento de datos sensibles • La utilización indebida de éstos da origen a discriminación o riesgo grave • Por regla general sólo podrán recolectarse datos personales sensibles, que sean estrictamente necesarios para el ejercicio y cumplimiento de las atribuciones • La excepción en términos de datos sensibles, no es que no puedan ser sometidos a tratamiento, sino evitar generar bases o sistemas que contengan datos sensibles que hagan identificables a las personas Octubre 2014
PROCEDIMIENTO DE LOS DERECHOS DE ACCESO, RECTIFICACIÓN, CANCELACIÓN Y OPOSICIÓN • A fin de garantizar el expedito ejercicio de los derechos ARCO, es necesario reducir los plazos de respuesta establecidos en el anteproyecto • Deben ser 15 días para la emisión de una respuesta, ampliando el plazo por única ocasión hasta por un período de 10 días más Octubre 2014
DENUNCIA • La denuncia es el mecanismo en virtud del cual el titular de los datos personales o su representante legal hacen del conocimiento del Órgano Garante, de un probable incumplimiento a los principios a los que están obligados los sujetos obligados, con excepción de aquellos referentes al ejercicio de los derechos ARCO • No debe depender de un procedimiento previo de verificación • Es necesario establecer el objetivo y procedimiento específico de la denuncia Octubre 2014
MEDIDAS DE APREMIO • Deben quedar en el ámbito de la acción administrativa ya que los sujetos obligados o autoridades no pueden ser objeto de sanciones como institución • No es viable establecer la imposición de multas, ya que éstas deforman el carácter de la Ley General y la actuación de los órganos garantes. Particularmente para una Ley en el ámbito público Octubre 2014
DERECHO AL OLVIDO • El Derecho al Olvido no es un Derecho absoluto. • Tienes sus límite en: • Derecho a la Libertad de Expresión • Derecho a la Libertad de Imprenta • Fuentes Originales: periodísticas o históricas • Se diferencíade los Derechos ARCO y particularmente de Cancelación y Oposición. En el primero la finalidad ha concluídoy en el segundo puede darse en caso de tratamiento sin consentimiento. Octubre 2014
DERECHO AL OLVIDO • El Derecho al Olvido es posible considerarse en tres ámbitos o esferas de la vida de las personas: • En el ámbito de la administración y procuración de justicia • En la esfera crediticia, financiera y fiscal • En el mundo digital Octubre 2014
DERECHO AL OLVIDO • Para hacer operable el Derecho al Olvido en las tres esferas, es necesario articularlo con los principios de protección de Datos. • El Oficial de Datos Personales será quien garantice la ejecución del Derecho. • Administración y procuración de justicia (principios de temporalidad, difusión, transmisión y confidencialidad) • El Derecho al Olvido podría ser accionable cuando los datos hayan cumplido su finalidad, cuando hayan sido difundidos sin consentimiento y lesione a la persona, cuando haya transmisiones sin consentimiento y pérdida de autodeterminación informativa o bien la confidencialidad de los mismos haya sido trasgredida. Octubre 2014
DERECHO AL OLVIDO • En la esfera crediticia el tratamiento de información debe estar limitada a la temporalidad y finalidad legalmente establecida. Y evitar la actualización permanente e innecesaria de diversas bases datos • En el ámbito digital los principios a considerarse son difusión, pertinencia, calidad, licitud. El derecho será aplicable en sus modalidades de des-indexación, disociación cuando no sean pertinentes, no sean licitud o leales y la calidad ponga en riesgo o exponga indebidamente a la persona Octubre 2014