I. Objetivo Que los Enlaces en las Unidades Académicas y
Administrativas del Instituto Politécnico Nacional, puedan
identificar, recabar, registrar, organizar, operar, corregir,
modificar y resguardar los datos personales en su poder, para
mejorar la atención de los requerimientos en materia de
Transparencia y Acceso a la Información.
Legislación Aplicable a los Datos Personales EN
POSESIÓN DE GOBIERNO POSESIÓN DE PARTICULARES
II. CONCEPTOS Documentación entregada con tal
carácter por los particulares a los sujetos obligados
(Instituto Politécnico Nacional) y que contiene
información confidencial, reservada o comercial reservada,
siempre que tengan el derecho de reservarse la
información, de conformidad con las disposiciones
aplicables. Los datos personales que requieran el consentimiento
de los individuos para su difusión, distribución o
comercialización. (arts. 18 y 19 LFTAIPG)
Información Confidencial
Conceptos básicos. Datos Personales La información
concerniente a una persona física, identificada o
identificable. (art. 3 f. II LFTAIPG)
Información concerniente a una persona física,
identificada o identificable: Origen étnico o racial.
Características físicas. Características
morales. Características emocionales. Vida afectiva. Vida
familiar. Domicilio particular. Número telefónico
particular. Patrimonio. Ideología. Opinión
política. Creencia o convicción religiosa. Creencia
o convicción filosófica. Estado de salud
física. Estado de salud mental. Preferencia sexual.
Datos personales: información no pública por ser
concerniente a una persona física, identificada o
identificable, entre otra, la relativa a su origen étnico
o racial, o que esté referida a las características
físicas, edad, sexo, talla, estatura, peso,
características morales o emocionales, a su vida afectiva
y familiar, domicilio, RFC, CURP, número telefónico
particular, correo electrónico particular, patrimonio,
ideología y opiniones políticas, creencias o
convicciones religiosas o filosóficas, los estados de
salud físicos o mentales, las preferencias sexuales, la
ficha de identificación única de los trabajadores,
las aportaciones adicionales extraordinarias la fotografía
salvo en aquellos casos en los que se detecten circunstancias
particulares que ameriten un tratamiento singular del caso en
cuestión como lo es título, cédula y otras
análogas que afecten su intimidad.
Importancia de los Datos personales: Que no sean utilizados con
fines distintos a los autorizados por el titular, evitando con
ello que se afecten derechos y libertades diversos, como puede
ser discriminación laboral, por razones de salud o
preferencial sexual.
Elementos de los Datos Personales Concernientes a una persona
física, identificada o identificable, e Información
contenida en los archivos de los Sujetos Obligados.
Por Ejemplo: Características físicas y personales:
color de piel, iris, peso, tipo de sangre, ADN, etc. Datos
patrimoniales: fianzas, bienes, ingresos, cuentas. Datos
ideológicos: religión, ideología,
pertenencia, etc. Datos académicos y laborales: puesto,
domicilio de trabajo, email, títulos, cédula, etc.
Datos de identificación: nombre, firma, fotografía,
datos familiares, domicilio, teléfono, RFC, etc. Datos de
salud y vida sexual: historial clínico, información
psicológica, preferencias sexuales, hábitos, etc.
Otros: Información de resoluciones judiciales, estatus
migratorio, etc.
Ejemplos Prácticos Expedientes de personal: nombre,
fotografía, domicilio, currícula. Banco de Sangre:
peso, estatura, complexión, entre otros. Sistema de
nómina: historial crediticio, cuentas bancarias, RFC,
nombre, etc.
Sistema de Datos Personales (SDP) Conjunto ordenado de Datos
Personales que están en posesión de una Dependencia
o Entidad, con independencia de su forma de acceso,
creación, almacenamiento u organización. Cuarto
Lineamiento de Protección de Datos Personales.
Tipos de Sistemas de Datos Personales. Físicos: para su
tratamiento están contenidos en registros manuales,
impresos, sonoros, magnéticos, visuales u
holográficos. Automatizados: son sujetos a un tratamiento
informático y requieren de una herramienta
tecnológica para su acceso o recuperación.
III. Marco Normativo Ley Federal de Transparencia y Acceso a la
Información Pública Gubernamental. Reglamento de la
Ley Federal de Transparencia y Acceso a la Información.
Lineamientos de Protección de Datos Personales. Otros
documentos. Recomendaciones sobre medidas de seguridad aplicables
a los Sistemas de Datos Personales. Guía para la
elaboración de un documento de seguridad.
Artículo 20. Los sujetos obligados serán
Responsables de los Datos Personales… Artículo 23.
Los Sujetos Obligados que posean, por cualquier título
Sistemas de Datos Personales, deberán hacerlo del
conocimiento del IFAI, que mantendrán un listado
actualizado de los SDP. Ley Federal de Transparencia y Acceso a
la Información Pública Gubernamental
Artículo 48. Las Dependencias y Entidades que cuenten con
SDP deberán hacer del conocimiento del IFAI y del
público en general a través de sus sitios de
Internet, el listado de dichos Sistemas, en el cual
indicarán el objeto del Sistema, el tipo de Datos que
contiene, el uso que se les da, la Unidad Administrativa que los
resguarda y el nombre del Responsable. El Instituto
mantendrá un listado público actualizado de los SDP
que sean hechos de su conocimiento. Reglamento de la Ley Federal
de Transparencia y Acceso a la Información Pública
Gubernamental
Lineamientos de Protección de Datos Personales
Trigésimo noveno. Para dar cumplimiento a lo dispuesto por
el artículo 23 de la Ley Federal de Transparencia y Acceso
a la Información Publica Gubernamental, el IFAI
pondrá a disposición de las Dependencias y
Entidades el “Sistema Persona”. Cuadragésimo.
Los Responsables deberán registrar e informar al
Instituto, dentro de los primeros diez días hábiles
de marzo y septiembre de cada año, lo siguiente: a)Los
Sistemas de Datos Personales; b)Cualquier modificación
sustancial o cancelación de dichos Sistemas, y c)Cualquier
Transmisión de Sistemas de Datos Personales.
IV. PRINCIPIOS RECTORES DE LA PROTECCION DE LOS DATOS PERSONALES.
Licitud. la posesión y obtención de los datos
personales obedecen exclusivamente a las atribuciones legales
para una finalidad determinada y legitima. Calidad de los datos.
El tratamiento debe ser exacto, adecuado pertinente y no
excesivo. Acceso y corrección. Los SDP deben ser
almacenados de manera que permitan el ejercicio de los derechos
de acceso y corrección.
De información. Al momento de recabar los datos debe
hacerse del conocimiento del Titular el fundamento, motivo y
propósitos, por escrito. Seguridad. Adoptar las medidas
necesarias para garantizar la integridad, confiabilidad,
confidencialidad y disponibilidad de los datos personales.
Custodia y cuidado de la información. Los Responsables,
Encargados y Usuarios deberán garantizar el manejo
adecuado en su tratamiento. Responsable: Titular de la Unidad
Administrativa. Encargado: Servidor Público autorizado
para llevar a cabo el tratamiento de los datos personales.
Usuario: Servidor Público que utiliza de manera cotidiana
los sistemas. Consentimiento para la transmisión. La
otorgará el titular de manera libre, expresa e
informada.
V. Tratamiento de los datos personales. Exacto. Deben mantenerse
actualizados y veraces. Adecuado. Observar las medidas de
seguridad aplicables. Pertinente. Realizado por personal
autorizado para cumplir atribuciones de la Dependencia o Entidad.
No excesivo. Información estrictamente necesaria para el
fin requerido. Información al titular de datos personales.
En el momento en que se recaben datos personales se deberá
hacer del conocimiento al titular, el fundamento, motivo y
finalidad.
Sugerencia de Modelo de leyenda para informar al titular el
tratamiento de sus datos personales. “Los datos personales
recabados en el presente documento, serán protegidos,
incorporados y tratados en el Sistema de Datos Personales
________________ (indicar el nombre del sistema), mismo que fue
registrado en el Listado de Sistemas de Datos Personales ante el
Instituto Federal de Acceso a la Información y
Protección de Datos, el cual tiene fundamento en el
artículo ___, fracción ___ de la Ley _____________
(mencionar la Ley que fundamenta) y demás disposiciones
aplicables, cuya finalidad es ______________ (describirla) y en
su caso, establecer comunicación con las personas
registradas, para aclarar dudas sobre sus datos, por lo que
únicamente serán utilizados para ello y para fines
estadísticos. La Unidad Administrativa responsable del
Sistema de Datos Personales es _____________ (indicarla), y el
domicilio donde el (la) interesado (a) podrá ejercer los
derechos de acceso y corrección de sus datos es _________
(domicilio de la Unidad de Enlace). Lo anterior se informa en
cumplimiento del Decimo Séptimo de los Lineamientos de
Protección de Datos Personales, publicados en el Diario
Oficial de la Federación el 30 de septiembre de
2005.”
Procedimiento por el cual los datos no pueden asociarse al
Titular ni permiten la identificación individual del
mismo. (fines estadísticos) Tratamiento de datos por
terceros. Disociación de datos. Cuando se contrate a
terceros para que realicen el Tratamiento de datos personales se
deberá estipular en el contrato la implementación
de medidas de seguridad y custodia de conformidad con los
Lineamientos de Protección de Datos Personales y la
imposición de penas convencionales por su
incumplimiento.
Toda entrega total o parcial de SDP realizada por las
Dependencias y Entidades a cualquier persona distinta al Titular
de los Datos, utilizando medios físicos o
electrónicos o cualquier tecnología que lo permita.
Transmisión de Datos Personales Tercer Lineamiento de
Protección de Datos Personales.
Razones estadísticas, científicas o de
interés general previa disociación de datos. Cuando
se transmitan entre sujetos obligados siempre que se utilicen
para el ejercicio de sus facultades. Por orden judicial. A
terceros cuando se contrate la prestación de un servicio
que requiera el tratamiento de datos, quienes no podrán
usarlos para otros propósitos. En los demás casos
que se establezcan otras leyes. Transmisión sin
Consentimiento del Titular.
Transmisión con Consentimiento del Titular. El
consentimiento deberá otorgarse por escrito incluyendo la
firma autógrafa y la copia de identificación
oficial, y el servidor público encargado de recabar el
consentimiento del Titular deberá informar las
implicaciones de otorgar su consentimiento. El consentimiento
podrá ser revocado en cualquier momento sin que se le
atribuyan efectos retroactivos
vi. seguridad de los sistemas de datos personales. Medidas de
seguridad: Designar responsables. Criterios para el manejo,
mantenimiento y protección de los sistemas.
Difusión de la normatividad en la materia. Plan de
capacitación interna.
Para el resguardo de datos personales físicos el
responsable de los sistemas deberá: Adoptar las medidas
para el resguardo de los sistemas. Autorizar expresamente a los
encargados y usuarios. Informar al Comité de
Información los nombres de los encargados y
usuarios.
Asignar un espacio seguro y adecuado. Controlar el acceso
físico a las instalaciones. Contar con lugares que cumplan
con las condiciones de seguridad. Realizar procedimiento de
control de asignación y renovación de claves de
acceso a los sistemas. Implantar procedimientos de control y
medidas de seguridad. Para el resguardo de datos personales
automatizados las Dependencias y Entidades deberán:
vii. Sistema “PERSONA” Aplicación
informática desarrollada por el IFAI para mantener
actualizado el listado de los sistemas de datos personales que
posean las Dependencias y Entidades para registrar e informar
sobre las transmisiones, modificaciones y cancelaciones de los
mismos. Se actualiza los Primeros 10 días hábiles
de: Marzo Septiembre
Actualizaciones del Sistema Persona Únicamente los
Responsables de los Sistemas de Datos Personales, están
facultados para decidir sobre el tratamiento que se les
dará a los mismos: * Registro * Eliminación *
Modificación * Transmisión
Ocho movimientos en el sistema persona considerados como
actualización. Registro del Sistema de Datos Personales.
Modificación del Sistema de Datos Personales.
Eliminación del Sistema de Datos Personales. Registro de
Transmisiones. Modificación de Transmisiones.
Eliminación de Transmisiones. Reasignación del
Sistema de Datos Personales. Modificación de Responsables
del Sistema de Datos Personales.
El cumplimiento ante el IFAI implica: El registro en el Sistema
Persona de cualquiera de los 8 movimientos considerados
actualizaciones de los SDP; dentro de los primeros diez
días hábiles de Marzo y Septiembre de cada
año. De NO realizar AL MENOS UNO de los ocho movimientos ;
las Dependencias deberán comunicar al IFAI mediante oficio
dentro del período ya mencionado.
En el Sistema Persona. NO se almacenan Datos Personales o SDP;
éstos solamente están en resguardo de las
Dependencias legalmente facultadas para ello. NO se realizan
Transmisiones o cargas de Datos Personales o SDP. Mediante El
Sistema Persona únicamente se registran “los
reportes” de las Transmisiones, por lo que debe ser cargada
una “constancia” que respalde dicha
Transmisión (oficio, convenio de confidencialidad,
etc.)
Datos de Registro en el Sistema Persona Unidad Administrativa en
la que se encuentra el sistema. Nombre del Responsable del
sistema. Cargo del Responsable. Teléfono y correo
electrónico del Responsable. Nombre del sistema. Finalidad
del sistema. Tipos de datos personales que contiene el sistema.
Normatividad aplicable al sistema.