de datos personales) y de Portabilidad.
20/6/22, 15:05 DOF - Diario Oficial de la Federación https://www.dof.gob.mx/nota_detalle.php?codigo=5655604&fecha=20/06/2022&print=true 22/57 Problemática: Falta de un ejercicio eficiente de los derechos ARCO por su desconocimiento, situación que niega el acceso a otros derechos. Por otra parte, la portabilidad requiere no sólo de capacidades tecnológicas en los responsables sino también de resolver la insuficiente incorporación de las previsiones de portabilidad en sus avisos de privacidad. Objetivo Estratégico 2.1: Consolidar el ejercicio de los Derechos ARCO y de Portabilidad como herramienta para el ejercicio de otros derechos fundamentales para una sociedad más justa. Líneas de acción: 2.1.1-A Línea transversal de Promoción, Difusión y Fomento de la Cultura de Privacidad y Protección de Datos Personales: Generar y difundir, de forma individual por integrante o en coordinación con las comisiones del SNT, productos, materiales y herramientas de comunicación sobre derechos ARCO y Portabilidad, ajustables por cada integrante del SNT y los sujetos obligados; considerando el diseño y establecimiento de mecanismos de monitoreo, seguimiento y evaluación para las acciones de promoción y difusión emprendidas desde el SNT (INAI, AGN, ASF, OGL). 2.1.2-A Línea transversal de Promoción, Difusión y Fomento de la Cultura de Privacidad y Protección de Datos Personales. Actualizar y consolidar políticas y acciones que garanticen la promoción, protección y ejercicio de los derechos ARCO, logrando así, incrementar los beneficios sociales derivados de su ejercicio (Plan Nacional de Socialización de los Derechos de Protección de Datos Personales) (INAI, OGL). 2.1.3-B Línea Transversal DDHH, Género, Inclusión Social: Considerar durante el desarrollo de las actividades de la línea de acción 1.1.2-B para expandir el ejercicio de los derechos ARCO y de Portabilidad, desarrollar estrategias diferenciadas a partir de los contextos sociales en coordinación con actores relevantes (organizaciones civiles, instituciones especializadas), para que las personas aprovechen los derechos ARCO en el ejercicio de otros derechos fundamentales (salud, educación, trabajo, servicios, seguridad, justicia, libertad de expresión, igualdad, etc); se recomienda que dichas alianzas se amplíen más allá de los colaboradores habituales(5) (INAI, OGL). 2.1.4-C Línea Transversal de Profesionalización y Fortalecimiento Institucional: Implementar en los programas operativos anuales de los Organismos Garantes, diversas acciones que permitan aumentar la eficacia de los recursos y capacidades destinados a las materias que competen al PRONADATOS, en especial para promover el ejercicio y garantía de los derechos ARCO y Portabilidad (INAI, OGL). 2.1.5 Fortalecer el conocimiento del derecho de portabilidad a los sujetos obligados (INAI, OGL). 2.1.6 Establecer un mecanismo de coordinación entre el Centro de Atención a la Sociedad (CAS) a nivel nacional con los Centros de Atención Telefónica locales para beneficio de las personas titulares de los datos personales y garantía de sus derechos (INAI, OGL).
2.1.7 Generar reportes estadísticos sobre los principales aspectos del ejercicio de derechos ARCO (extrapolar el Índice de Respuestas a Solicitudes de Información Pública y adaptar el Índice de Desempeño de las Unidades de Transparencia para considerar la PDP) (INAI, OGL). 2.1.8 Realizar acciones de acompañamiento y asesoría con responsables (sujetos obligados): Unidades, Comités de Transparencia y Oficiales de Protección de Datos Personales, a partir de su priorización por solicitudes recibidas y sectorización respecto a riesgo de vulneración (INAI, OGL). 2.1.9 Establecer mesas de trabajo con las instituciones con mayor cantidad de solicitudes de datos personales y recursos de revisión de derechos ARCO para acordar mecanismos de atención y respuesta en tiempo y forma, a fin de reducir los recursos de revisión y generar condiciones en favor de los solicitantes. En particular con instituciones fundamentales de la seguridad social en México (INAI, OGL). 2.1.10. Relacionar los trámites o procedimientos relacionados con el ejercicio de los derechos ARCO con la finalidad de elaborar un catálogo que en cumplimiento a la estrategia de "Mejora regulatoria" del presente Programa, posibilite contar con un registro ante las autoridades competentes a fin de facilitar a los titulares el ejercicio de sus derechos, así como a los responsables les permita transparentar aquellos procesos específicos (INAI, OGL). 2.1.11. Establecer los mecanismos idóneos que faciliten a los sujetos obligados cumplir con lo dispuesto en el artículo 54 de la LGPDPPSO y 103 de los Lineamientos Generales, lo anterior con la finalidad de que por medio de la PNT de manera automática, o simplificada, se pueda informar a los titulares sobre la existencia de un trámite específico y a través del mismo se permita recibir su respuesta para validar si se continua con la tramitación del Derecho ARCO o en su caso se opta por el trámite que se le informó (INAI, OGL). 2.1.12. Diseñar campañas de carácter general, para promover el ejercicio de derechos ARCO en tratamientos específicos, promoviendo el uso de la Plataforma Nacional de Transparencia, como podría ser a las instituciones públicas, de actualizar sus expedientes de personal; a las personas servidoras públicas de solicitar su antigüedad; en los hospitales, para acceder a los expedientes clínicos; en universidades, para acceder a historiales de calificaciones; etc (INAI, OGL). 2.1.13 Desarrollar contenidos, materiales y estrategias para el desarrollo del procedimiento de conciliación en el Recurso de Revisión, lo anterior, con el objeto de que los Organismos Garantes cuenten con las herramientas idóneas que permitan tutelar de manera efectiva el derecho a la protección de datos personales de las personas titulares que opten por llevar a cabo dicho procedimiento (INAI, OGL). 20/6/22, 15:05 DOF - Diario Oficial de la Federación https://www.dof.gob.mx/nota_detalle.php?codigo=5655604&fecha=20/06/2022&print=true 23/57 2.1.14 Desarrollar materiales de comunicación gráfica respecto de las principales oportunidades advertidas con motivo de la tramitación de los Recursos de Revisión ante Organismos Garantes y el Recurso de Inconformidad, tramitado en el INAI, a fin de fortalecer la adecuada gestión y cumplimiento de requerimientos asociados al ejercicio de derechos ARCO y portabilidad (INAI, OGL). 2.1.15 Analizar y en su caso, fortalecer la normatividad en materia del derecho de portabilidad en beneficio de los titulares (INAI, OGL). Estrategias: Socialización / Coordinación / Capacitación / PNT y TICs / Inclusión / Comunicación Indicador de Resultados: Proporción de solicitudes de protección de datos personales atendidas Línea Base: 34.35%, CNTAIPPDPF y CNTAIPPDPE 2020 Eje 3. Capacitación a los responsables en materia de protección de datos personales. Problemática: Carencia de criterios para identificar necesidades y priorizaciones de capacitación en el sector público, así como el personal al que se deben dirigir las mismas. Objetivo Estratégico 3.1: Fortalecer institucionalmente a los Organismos Garantes para mejorar sus capacidades en el desarrollo de una cultura de la protección de datos personales, mediante la profesionalización y seguimiento. Líneas de acción: 3.1.1-C Línea Transversal de Profesionalización y Fortalecimiento Institucional: Establecer como mecanismos de capacitación del SNT para las personas del servicio público de los sujetos obligados responsables en PDP (INAI, AGN, ASF, OGL): a. La Red Nacional por una cultura de la Transparencia y la PDP. b. El Programa de Capacitación en Transparencia, Acceso a la Información, Protección de Datos Personales y Temas Relacionados con Alcance Nacional (PCCAN). c. El Centro Virtual de Formación en Acceso a la Información y Protección de Datos Personales (CVFAIP). d. Otros que considere el SNT, sus comisiones e instancias. 3.1.2-C Línea Transversal de Profesionalización y Fortalecimiento Institucional: Incluir en las actividades desarrolladas de la línea 1.1.4-C a las personas servidoras públicas de los Responsables (Sujetos obligados), particularmente a los Oficiales de Protección de Datos, Unidades y Comités de Transparencia y de los propios Organismos Garantes a fin de promover su profesionalización, en especial aquellos Responsables que realizan un tratamiento intensivo y relevante. Ya sea por el tratamiento de datos personales sensibles o por el volumen de información que atienden (INAI, OGL). 3.1.3-C Línea Transversal de Profesionalización y Fortalecimiento Institucional: Considerar en el modelo de planeación y seguimiento de resultados institucionales de los Organismos Garantes, planteado en la línea de acción 2.1.4-C, indicadores y herramientas para valorar el conocimiento y capacidades del personal de los Organismos Garantes y responsables en materia de PDP (INAI, OGL). 3.1.4-B Línea Transversal DDHH, Género, Inclusión Social: Promover acciones permanentes dirigidas a formar agentes multiplicadores de la PDP en sectores especializados y grupos en situación de vulnerabilidad: sociedad civil, sector privado, activistas, periodistas, radiodifusoras indígenas, académicos, divulgadores, entre otros, que permitan capacitar, aumentar y diversificar el número de sus beneficiarios en su ejercicio y de otros derechos; se recomienda que dichas acciones se amplíen más allá de los colaboradores habituales(6) (INAI, OGL). 3.1.5-C Línea Transversal de Profesionalización y Fortalecimiento Institucional: Establecer mecanismos que permitan el reclutamiento de nuevos perfiles en materia de PDP a partir de la prestación de servicio social y prácticas profesionales, que abran la posibilidad de una inserción laboral gradual y escalonada en espacios técnicos de responsabilidad (INAI, AGN, ASF, OGL). 3.1.6 Consolidar la presencia del INAI, del SNT y de los Organismos Garantes en las redes internacionales, así como su incidencia en los foros especializados y eventos institucionales con componente internacional a fin de mantener a la vanguardia la PDP en México (INAI, OGL). 3.1.7 Actualizar y aprovechar la infraestructura tecnológica existente al interior de las instituciones integrantes del SNT para la administración del conocimiento y la colaboración digital, a través de sistemas y esquemas tecnológicos de organización, coordinación y comunicación (INAI, AGN, ASF, OGL). 3.1.8 Fortalecer y ampliar la cobertura de las herramientas de capacitación en línea del Centro Virtual de Formación en Acceso a la Información y Protección de Datos Personales y otras iniciativas similares (INAI). 3.1.9 Incluir en el Programa de Capacitación en Transparencia, Acceso a la Información, Protección de Datos Personales y Temas Relacionados con Alcance Nacional (PCCAN) contenidos y cursos respecto a (INAI, OGL): a. Principios de protección de datos personales b. Deberes en materia de protección de datos personales c. Elaboración del diagnóstico e inventario de datos personales para el cumplimiento de principios y deberes d. Importancia del Oficial de Protección de Datos Personales en las Instituciones Públicas 20/6/22, 15:05 DOF - Diario Oficial de la Federación https://www.dof.gob.mx/nota_detalle.php?codigo=5655604&fecha=20/06/2022&print=true 24/57 e. Funciones de las Unidades y Comités de Transparencia en materia de Protección de Datos Personales
f. Marco normativo en PDP g. Estándares y mejores prácticas en PDP: E valuaciones de impacto, Auditorí as voluntarias, Formación de Oficiales de Protección de Datos Personales. h. Consecuencias del incumplimiento de los requerimientos legales o requisitos organizacionales en PDP i. Procedimiento de denuncia en PDP j. Procedimiento de recurso de revisión en PDP k. Uso de herramientas tecnológicas, TICs inteligencia artificial y medidas de seguridad para el tratamiento de datos personales l. Prácticas de notificación a las personas titulares de los datos en casos de vulneración que afecten los derechos patrimoniales o morales m. Conocimiento del procedimiento de baja archivística de los datos personales n. Atención a grupos en situación de vulnerabilidad en PDP o. Otros temas en PDP a definir por cada organismo garante a partir de la detección de necesidades que realice 3.1.10 Promover acciones de fortalecimiento y vinculación de las Redes Locales por una cultura de la Transparencia y la PDP y sus programas de capacitación con la finalidad de homologar el alcance de sus contenidos y fomentar la cooperación interinstitucional (INAI, OGL). 3.1.11-C Línea Transversal de Profesionalización y Fortalecimiento Institucional: Realizar acciones enfocadas a la implementación del Servicio Profesional de Carrera, como un mecanismo de profesionalización y especialización del servicio público en los Organismos Garantes, a fin de garantizar que las personas servidoras públicas cuenten con el conocimiento y la experiencia enfocada a impulsar el desarrollo de la función pública para beneficio de la sociedad (INAI, OGL). 3.1.12 Promover el desarrollo y adopción de esquemas de certificación de personas en materia de protección de datos personales, a fin de acreditar la competencia profesional del Oficial de Protección de Datos Personales y/o de las personas que realizan el tratamiento de datos personales al interior de una institución (INAI, AGN, ASF, OGL). 3.1.13 Desarrollar catálogos de programas, cursos y temarios en materia de protección de datos personales que identifiquen distintos niveles de complejidad y puedan ser replicados por los Organismos Garantes y sujetos obligados, conforme a los requerimientos de los responsables en el marco de su sistema de gestión (INAI, OGL). 3.1.14 Fortalecer las capacidades institucionales de los Organismos Garantes a través del intercambio de experiencias y capacitaciones, relacionadas con la adecuada tramitación de los procedimientos a que hace referencia la Ley General (INAI, OGL). 3.1.15 Favorecer el desarrollo de contenidos temáticos en materia de protección de datos personales, estándares de competencia, perfiles de puesto, programas de estudio y especialización, entre otros, homologados conforme la Ley General a fin de permitir su adaptación por parte de las entidades federativas (INAI, AGN, ASF, OGL). 3.1.16 Elaborar, por parte de la Comisión de Tecnologías de la Información y Plataforma Nacional de Transparencia del SNT, un inventario de infraestructura digital de las instituciones integrantes del SNT y de Sujetos Obligados para el efectivo uso de las Tecnologías de la Información y Comunicaciones para las capacitaciones (INAI, AGN, OGL). Estrategias: Socialización / Coordinación / Capacitación / PNT y TICs / Inclusión / Comunicación Indicador de Resultados: Porcentaje de temas de capacitación básicos cubiertos por los Organismos Garantes con sus Sujetos Obligados (responsables) Línea Base: 65.91%, CNTAIPPDPF y CNTAIPPDPE 2020 Eje 4. Implementación y mantenimiento de un Sistema de Gestión de Seguridad (SGS).
Problemática 4.1: Las medidas de seguridad y el tratamiento de datos ante las nuevas tecnologías de la información son desconocidos y carecen de un marco de certeza.
Objetivo Estratégico 4.1: Desarrollar herramientas y metodologías para la implementación y mejora continua de Sistemas de Gestión de Seguridad por parte de los responsables (Sujetos Obligados) Líneas de acción: 4.1.1 Elaborar guías, manuales, recomendaciones, estudios y herramientas de acompañamiento a los responsables para la elaboración del documento de seguridad, que consideren al menos (art. 35 LGPDPPSO) (INAI, AGN, ASF, OGL): a. Modelos para elaboración de inventario de datos personales y de los sistemas de tratamiento. b. Funciones y obligaciones de las personas que traten datos personales. 20/6/22, 15:05 DOF - Diario Oficial de la Federación https://www.dof.gob.mx/nota_detalle.php?codigo=5655604&fecha=20/06/2022&print=true 25/57 c. Metodologías para realizar el análisis de riesgos, considerando las amenazas y vulnerabilidades existentes para los datos personales y los recursos involucrados en su tratamiento. d. Metodologías para realizar el análisis de brecha, comparando las medidas de seguridad existentes contra las faltantes en la organización del responsable. e. Modelos de plan de trabajo para establecer, implementar, operar, monitorear, revisar, mantener, complementar y mejorar el tratamiento y seguridad de los datos personales. f. Metodologías para establecer mecanismos de monitoreo y revisión de las medidas de seguridad. g. Oferta y recursos para generar un programa general de capacitación. 4.1.2 Desarrollar por parte de los Organismos Garantes soluciones informáticas para apoyar a los responsables en la elaboración de los documentos base para la identificación del debido cumplimiento al deber de seguridad en la protección de datos personales (establecer, implementar, operar, monitorear, revisar, mantener y mejorar el tratamiento y seguridad de los datos personales) (INAI, OGL). 4.1.3 Diseñar mecanismos y herramientas tecnológicas de notificación a las personas titulares sobre vulneraciones a la seguridad de los datos personales y promover su uso para facilitar el acceso a la protección de datos personales con respuesta inmediata a las denuncias de vulneración de datos personales (INAI, OGL). 4.1.4 Crear políticas internas para la gestión y tratamiento de los datos personales con el Estándar ISO/IEC 27701, así como identificar al personal involucrado en el tratamiento de datos personales, de tal forma que se definan sus perfiles y privilegios (INAI, AGN, OGL). 4.1.5 Elaborar un inventario de los datos personales que posee cada sujeto obligado y los sistemas que los contienen, identificando para estos fines, las medidas técnicas por diseño y por defecto que contemplan en los mismos (INAI, OGL). 4.1.6-B Línea Transversal DDHH, Género, Inclusión Social: Impulsar el uso de lenguaje ciudadano y mecanismos de inclusión en los procedimientos de consulta y respuesta a las personas que sean vulneradas en sus datos personales (INAI, OGL). 4.1.7-C Línea Transversal de Profesionalización y Fortalecimiento Institucional: Incluir en las actividades desarrolladas de la línea 1.1.4-C contenidos sobre gestión, seguridad, así como prácticas de implementación de ciberseguridad de datos personales para las personas del servicio público responsables y de los propios Organismos Garantes con especial énfasis entre los oficiales de protección de datos personales y encargados de las áreas de seguridad de la información (INAI, OGL). 4.1.8-A Línea transversal de Promoción, Difusión y Fomento de la Cultura de Privacidad y Protección de Datos Personales: Incluir en las actividades de la línea de acción 1.1.1-A materiales sobre vulneraciones, así como medidas para denunciar y acceder a la protección de los datos personales (INAI, AGN, ASF, OGL). 4.1.9 Desarrollar una metodología para identificar contextos y factores de alto riesgo en el tratamiento de datos personales (INAI, AGN, OGL). 4.1.10 Identificar los principales estándares técnicos en sistemas de gestión utilizados por los sujetos obligados a fin de desarrollar tablas de equivalencia entre los requerimientos establecidos por dichos estándares y los requisitos establecidos por la LGPDPPSO y la LGA (INAI, AGN, OGL). 4.1.11 Identificar y desarrollar criterios y formatos con el objeto de documentar los elementos y actividades interrelacionadas para establecer, implementar, operar, monitorear, revisar, mantener y mejorar el tratamiento y seguridad de los datos personales, incluyendo referencias técnicas a partir de requerimientos normativos previstos por la LGPDPPSO (INAI, AGN, ASF, OGL). 4.1.12 Identificar y desarrollar estándares y criterios para la implementación eficaz de objetivos de control y controles, así como mecanismos de monitoreo y revisión de las medidas de seguridad (INAI, AGN, OGL). 4.1.13 Identificar y desarrollar estándares, criterios y herramientas para llevar a cabo análisis de riesgos y análisis de brecha considerando enfoques de riesgo adecuados a los tratamientos de datos personales que realizan los sujetos obligados (INAI, AGN, OGL). 4.1.14 Identificar y proponer términos de referencia común entre los Organismos Garantes para el desarrollo de actividades en el marco de la implementación, revisión y mejora de los sistemas de gestión (INAI, OGL). 4.1.15-C Línea Transversal de Profesionalización y Fortalecimiento Institucional: Identificar y desarrollar marcos de competencia, temáticas, contenidos, niveles de capacitación y demás pautas, a fin de facilitar que los sujetos obligados elaboren e implementen sus programas generales de capacitación (INAI, OGL). 4.1.16 Identificar, desarrollar y comparar los requerimientos de cumplimiento normativo previstos por la LGPDPPSO a fin de identificar los requerimientos comunes y facilitar la mejora de la gestión del cumplimiento integral por parte de los entes públicos (INAI, AGN, OGL). 4.1.17-C Línea Transversal de Profesionalización y Fortalecimiento Institucional: Promover la capacitación con base en las guías, manuales, recomendaciones, estudios y herramientas de acompañamiento a los responsables para la elaboración del documento de seguridad (INAI, OGL).