“AVISO DE PRIVACIDAD” LEY FEDERAL DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE LOS PARTICULARES EVITA PROBLEMAS CON LA AUTORIDAD

BOLETÍN INFORMATIVO FEBRERO 2013

Integroup, S.C. is a Mexican Society an independent member of Genev a Group

International, a Swiss Association.

CP. OSCAR DANIEL CASTAÑEDA FLORES ASESORÍA EN RIESGOS DE NEGOCIO, CONTROL Y GOBIERNO CORPORATIVO

INTEGROUP, S.C.

¿Qué es el aviso de privacidad? El aviso de privacidad consiste en un documento impreso, digital, visual, sonoro o mediante cualquier otra tecnología, emitido por la persona que recabe datos personales. Dicho documento se debe poner a disposición del titular de los datos y debe contener las siguientes declaraciones:

• Quién recaba (identidad, domicilio y datos de contacto de la persona responsable),

• Qué recaba (información que se recaba),

• Para qué recaba (las finalidades del tratamiento),

• Cómo limitar el alcance (uso o divulgación),

• Cómo revocar consentimiento,

• Cómo ejercer derechos ARCO (medios),

• Cómo comunica cambios al aviso (procedimiento y medio),

• Si se acepta o no que los datos se comuniquen a terceros (transferencias),

• En su caso, si se recaban datos sensibles (En particular, se consideran sensibles aquellos que puedan revelar aspectos como origen racial o étnico, estado de salud presente y futuro, información genética, creencias religiosas, filosóficas y morales, afiliación sindical, opiniones políticas, preferencia sexual).

CP. OSCAR DANIEL CASTAÑEDA FLORES

ASESORÍA EN RIESGOS DE NEGOCIO, CONTROL Y GOBIERNO CORPORATIVO INTEGROUP, S.C.

¿Quién debe emitir el aviso de privacidad? En general toda la persona que haga uso de datos personales, ya sea que los obtenga de sus empleados, clientes, proveedores, etc. y sin importar que, quién recabe los datos, sea persona física, moral, contribuyente o no; ni el giro del negocio (aplica igual para comerciantes, profesionistas, empresas, asociaciones, etc.)

¿Para qué sirve el aviso de privacidad? Básicamente, el aviso de privacidad es emitido para que el titular tenga pleno conocimiento del tratamiento y uso que se le darán a sus datos personales, mediante la manifestación expresa de la persona que recaba dichos datos; y por otra parte, se cumple con el mandato establecido en la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP).

CP. OSCAR DANIEL CASTAÑEDA FLORES ASESORÍA EN RIESGOS DE NEGOCIO, CONTROL Y GOBIERNO CORPORATIVO

INTEGROUP, S.C.

¿Qué tengo que hacer para cumplir con esta ley?

Seria magnifico que se diera cabal cumplimiento con la simple emisión de un aviso (ya que en la red existen miles de ejemplos de las empresas que hacen públicos sus avisos), sin embargo, como todo lleva su complicación. A continuación se relacionan algunos puntos a cumplir:

Fundamento Descripción Cumplimiento

Artículo 30 LFPDP

Todo responsable deberá designar a una persona, o departamento de datos personales, quien dará trámite a las solicitudes de los titulares, para el ejercicio de los derechos a que se refiere la presente Ley.

Asignar a un responsable

Artículo 48 RLFPDP

I. Política de protección de datos personales y proceso: Incluir un mecanismo de evaluación al cumplimiento de la política, incluir los sistemas utilizados y medidas de seguridad para la protección de datos, evaluación de riesgos. II. Incluir el proceso de la información como parte del plan anual de auditoría, incluyendo un reporte de las brechas o desvíos en los procesos implementados y elaborar plan de trabajo para la corrección de las desviaciones. III. Establecer registro de las medidas para el aseguramiento de los datos personales.

Diseñar un sistema de administración de riesgos, control interno y auditoría interna. La cual aparentemente da una referencia al desarrollo del modelo basado en COSO ERM.

Artículo 61 RLFPDP

I. Elaborar un inventario de datos personales y de los sistemas de tratamiento; II. Determinar las funciones y obligaciones de las personas que traten datos personales; III. Contar con un análisis de riesgos de datos personales que consiste en identificar peligros y estimar los riesgos a los datos personales; IV. Establecer las medidas de seguridad aplicables a los datos personales e identificar aquéllas implementadas de manera efectiva; V. Realizar el análisis de brecha que consiste en la diferencia de las medidas de seguridad existentes y aquéllas faltantes que resultan necesarias para la protección de los datos personales; VI. Elaborar un plan de trabajo para la implementación de las medidas de seguridad faltantes, derivadas del análisis de brecha; VII. Llevar a cabo revisiones o auditorías; VIII. Capacitar al personal que efectúe el tratamiento, y IX. Realizar un registro de los medios de almacenamiento de los datos personales.

1. Inventario de datos recabados. 2. Perfil de puesto del responsable de los datos. 3. Desarrollar un sistema de gestión de riesgos corporativos (ERM). 4. Desarrollar un sistema de control interno basado en riesgos. 5. Desarrollar un plan de auditoría a controles y riesgos. 6. Evidencia de capacitación al personal. 7. Identificar los mecanismos para almacenar los datos.

¿Qué pasa si incumplo con la Ley?

Infracción Multa Equivalente en dinero

Omitir en el aviso de privacidad alguno o todos los elementos a que se refiere el artículo 16 de la Ley

De 100 a 160,000 días de SMVDF

De $6,476 a $10,361,600

Transferir datos a terceros sin comunicar a éstos el aviso de privacidad que contiene las limitaciones a que el titular sujetó la divulgación de los mismos

De 200 a 320,000 días de SMVDF

De $12,952 a $20,723,200

Así que ya lo saben, sin duda alguna un tema que debemos atender para no incurrir en incumplimientos y posibles multas.

Nos ponemos a sus órdenes para cualquier duda o comentario relacionado con este boletín.

Oscar Daniel Castaneda Flores

ocastaneda@integroup.com.mx

INTEGROUP, S.C. Av. José María Vigil #2735 piso 4

Colonia Lomas de Guevara, CP. 44657 Guadalajara, Jalisco, México

+52 33 3615 78 15 www.integroup.com.mx