20/6/22, 15:05 DOF - Diario Oficial de la Federación https://www.dof.gob.mx/nota_detalle.php?codigo=5655604&fecha=20/06/2022&print=true 26/57 4.1.18-A Línea transversal de Promoción, Difusión y Fomento de la Cultura de Privacidad y Protección de Datos Personales; Fomentar la difusión y socialización del tema de sistemas de gestión de seguridad entre los sujetos obligados para su implementación de acuerdo con la normativa para la protección de datos personales (INAI, OGL). Estrategias: Socialización / Coordinación / Capacitación / PNT y TICs / Mejora Regulatoria / Inclusión / Comunicación Indicador de Resultados: Porcentaje de categorías de Sujetos Obligados (responsables) que desarrollan acciones en materia de Protección de Datos Personales reportados por sus Organismos Garantes. Línea Base: 43.97%, CNTAIPPDPF y CNTAIPPDPE 2020 Problemática 4.2 Los Organismos Garantes al no contar, en su mayoría, con sistemas informáticos para la administración de archivos y gestión documental no respaldan sus medidas de seguridad para el tratamiento de datos personales; por lo tanto, no existe un control de los expedientes y documentos electrónicos; ni un proceso ordenado de transición del archivo físico al tratamiento de documentos electrónicos. Objetivo Estratégico 4.2: Promover, en el marco de las atribuciones del SNT, el vínculo entre la protección de datos personales, la gestión documental y la administración de archivos, mediante la implementación de políticas públicas, en coadyuvancia con la instancia especializada en la materia. Líneas de acción: 4.2.1 Generar acciones que permitan robustecer el ví nculo existente entre la adecuada gestión documental, la administración de archivos y la protección de datos personales en su tratamiento y gestión de seguridad (INAI, AGN, OGL). 4.2.2 Desarrollar una estrategia de interrelación con actores relevantes y el Sistema Nacional de Archivos en la gestión documental y la protección de datos personales para diseñar e implementar políticas y acciones en la materia (INAI, AGN, OGL). 4.2.3 Promover entre los responsables el conocimiento y aplicación de los lineamientos, guías y manuales para el cumplimiento de las obligaciones comunes a la protección de datos personales, la gestión documental y la administración de archivos (INAI, AGN, OGL).
4.2.4 Identificar y reconocer de forma nacional a sujetos obligados con prácticas destacadas y efectivas en el desarrollo de sistemas informáticos de control y gestión documental, digitalización documental, así como tratamiento y conservación de documentación electrónica con implicaciones en el tratamiento y seguridad de datos personales (INAI, AGN, OGL). 4.2.5 Desarrollar el procedimiento para permitir el acceso a la información pública de documento con valor histórico, que no haya sido transferido a un archivo histórico y que contenga datos personales sensibles, para los casos señalados por el artículo 38 de la Ley General de Archivos (INAI, AGN, OGL). 4.2.6-C Línea Transversal de Profesionalización y Fortalecimiento Institucional: Acompañar a los sujetos obligados en la implementación de su Sistema Institucional de Archivos por medio de los instrumentos de capacitación del SNT (como el PCCAN y el CVFAIP) establecidos en la línea de acción 3.1.1-C, priorizando sectores o grupos de instituciones conforme a su situación o avances (INAI, AGN, OGL). 4.2.7-C Línea Transversal de Profesionalización y Fortalecimiento Institucional: Aplicar un cuestionario o censo a los sujetos obligados para realizar un diagnóstico de la situación de sus archivos físicos y digitales; así como del desarrollo de sus sistemas institucionales de archivo y medidas de seguridad (INAI, AGN, OGL). Estrategias: Coordinación / Capacitación / PNT y TICs / Mejora Regulatoria Indicador de Resultados: Porcentaje de Organismos Garantes con programa de seguridad de información en materia de Protección de Datos Personales. Línea Base: 42.42%, CNTAIPPDPF y CNTAIPPDPE 2020 Eje 5. Estándares nacionales, internacionales y buenas prácticas en la materia.
Dado que en la reforma de lineamientos de PRONADATOS se determinó denominar al eje "buenas prácticas" para hacerlo acorde a las atribuciones del SNT y diferenciarlo de las atribuciones del INAI del Art 89 de la LGPDPPSO, se retomará para su diseño de líneas de acción en términos de benchmarking de estándares y casos exitosos (buenas prácticas); conforme a lo señalado en: · Art 12 fr IV de la LGPDPPSO (SNT en PRONADATOS debe: Impulsar la implementación y mantenimiento de un sistema de gestión de seguridad a que se refiere el artículo 34 de la presente Ley, así como promover la adopción de estándares nacionales e internacionales y buenas prácticas en la materia. · Art 14 fr XIV de la LGPDPPSO (Funciones del SNT: Proponer códigos de buenas prácticas o modelos en materia de protección de datos personales). Problemática: No existen estudios o repositorios con prácticas y estándares de referencia en protección de datos personales elaborados de forma sistemática que sirvan de referente en PDP para los sujetos obligados. Objetivo Estratégico 5.1 Impulsar la adopción de mejores prácticas en la protección de datos personales. Líneas de acción: 20/6/22, 15:05 DOF - Diario Oficial de la Federación https://www.dof.gob.mx/nota_detalle.php?codigo=5655604&fecha=20/06/2022&print=true 27/57 5.1.1 Identificar y socializar políticas públicas con esquemas de buenas prácticas entre los sujetos obligados, por ejemplo: códigos deontológicos, códigos de buenas prácticas profesionales, políticas de privacidad, sellos de confianza, entre otras (INAI, AGN, ASF, OGL). 5.1.2 Establecer modelos de buenas prácticas en materia de protección de datos personales, así como Marcos de Integridad Institucional vinculados con el tratamiento de los datos (en lo posible vincular con las iniciativas del SNA en la materia), en coordinación con la Comisión de Protección de Datos Personales para su difusión entre las instituciones integrantes del SNT (INAI, AGN, ASF, OGL). 5.1.3 Identificar, compilar y difundir resoluciones y normatividad emitidas por otros países y organismos internacionales, que permitan conocer avances, experiencias, soluciones a temas relevantes en PDP, a través del Corpus Iuris Internacional en materia de Protección de Datos Personales (INAI, OGL). 5.1.4-A Línea transversal de Promoción, Difusión y Fomento de la Cultura de Privacidad y Protección de Datos Personales: Propiciar la generación de sinergias con la sociedad civil, instituciones académicas y autoridades especializadas que deriven en la identificación de áreas de oportunidad en las materias que competen al PRONADATOS para su difusión y socialización (INAI, AGN, OGL). 5.1.5-B Línea Transversal DDHH, Género, Inclusión Social: Establecer convenios con actores en sectores especializados y grupos en situación de vulnerabilidad: sociedad civil, activistas, periodistas, académicos o divulgadores para identificar buenas prácticas que permitan aumentar la inclusión, no discriminación y promoción de los derechos humanos en la PDP, así como enfocados a la prevención de la violencia digital (INAI, AGN, OGL). 5.1.6-B Línea Transversal DDHH, Género, Inclusión Social: Desarrollar en conjunto con autoridades, especialistas, colectivos y activistas: estándares, una Guía para el Tratamiento de Datos Personales de Víctimas de Violencia Contra las Mujeres y protocolos para que los Organismos Garantes orienten a los responsables (sujetos obligados) en sus prácticas de tratamiento y protección de datos personales en casos de ciberviolencia de género o violencia contra las mujeres en Internet, a fin de evitar la revictimización; de forma particular con las Fiscalías Generales de Justicia e instituciones que traten datos de mujeres, migrantes, personas de la comunidad LGBTTIQ+ y grupos en situación de vulnerabilidad (INAI, OGL). 5.1.7-B Línea Transversal DDHH, Género, Inclusión Social: Propiciar e implementar modelos de buenas prácticas en el entorno digital en materia de PDP desde la Comisión de Protección de Datos Personales del SNT en coordinación con los Organismos Garantes para la creación, difusión y socialización de una Carta de Derechos Digitales (INAI, OGL). 5.1.8 Identificar, compilar y difundir resoluciones emitidas por tribunales y Organismos Garantes, así como normatividad y prácticas diferenciadas por las entidades federativas, a través del Corpus Iuris Nacional en materia de protección de datos personales (INAI, OGL). 5.1.9 Promover la participación de los Organismos Garantes en foros nacionales e internacionales sobre protección de datos personales y difundir los temas, problemáticas y hallazgos identificados, así como en relación a la evaluación comparativa (benchmarking) realizada (INAI, OGL). 5.1.10 Promover que en la Plataforma Nacional de Transparencia se identifiquen trámites específicos que algunos responsables tienen habilitados relacionados con el ejercicio de los derechos de Acceso, Rectificación, Cancelación, Oposición (derechos ARCO), y portabilidad (INAI, OGL). Estrategias: Socialización / Coordinación / Inclusión Indicador de Resultados: Porcentaje de Organismos Garantes que promueven esquemas de buenas prácticas en el tratamiento de datos personales en los Sujetos Obligados (al menos 2 tipos de esquemas). Línea Base: 27.27%, CNTAIPPDPF y CNTAIPPDPE 2020 Eje 6. Monitoreo, seguimiento, y verificación de metas.
Este eje se creó para cumplir con el Art 12, fracc. V de la LGPDPPSO, que señala que el SNT en el PRONADATOS debe: Prever los mecanismos que permitan medir, reportar y verificar las metas establecidas. Sin embargo, en su primera edición el PRONADATOS lo enfocó a las facultades de los Organismos Garantes sobre metas de desempeño de los responsables sobre el cumplimiento de la ley, lo equivalente a la evaluación de cumplimiento de obligaciones en materia de protección de datos personales de la LGPDPPSO (Arts. 89, fracc. XXV y Art. 91 fracc. XIII). En esta propuesta se mantiene en este sentido. Problemática: No se conoce de forma generalizada el desempeño de los responsables de carácter público en lo que respecta al cumplimiento de sus obligaciones previstas en la normatividad, por lo que es complejo desarrollar acciones de mejora o identificar problemáticas generalizadas. Objetivo Estratégico 6.1: Desarrollar metodología de evaluación de desempeño del cumplimiento de la LGPDPPSO por parte de los responsables Líneas de acción: 6.1.1-B Línea Transversal DDHH, Género, Inclusión Social: Generar reportes estadísticos sobre los principales aspectos del ejercicio de derechos ARCO y protección de datos personales por parte de los responsables (sujetos obligados) con enfoque de género, inclusión social y DDHH (INAI, OGL). 20/6/22, 15:05 DOF - Diario Oficial de la Federación https://www.dof.gob.mx/nota_detalle.php?codigo=5655604&fecha=20/06/2022&print=true 28/57 6.1.2 Generar estadísticas sobre el cumplimiento de las obligaciones en materia de PDP en sus distintas dimensiones por parte de los responsables (INAI, OGL). 6.1.3 Desarrollar herramientas y metodologías, así como indicadores y criterios de evaluación, para medir el cumplimiento de las obligaciones contenidas en la LGPDPSSO y demás disposiciones que resulten aplicables, por parte de los responsables (INAI, OGL). 6.1.4-C Línea Transversal de Profesionalización y Fortalecimiento Institucional: Capacitar al personal de los Organismos Garantes designado para realizar las evaluaciones sobre el uso de las herramientas y metodologías, por medio de los instrumentos de capacitación establecidos por el SNT en la línea de acción 3.1.1-C (INAI, OGL). 6.1.5-C Línea Transversal de Profesionalización y Fortalecimiento Institucional: Incluir en las actividades desarrolladas de la línea 1.1.4-C contenidos sobre evaluación de obligaciones en materia de protección de datos personales dirigidos a las personas del servicio público de los Organismos Garantes, especialmente a los encargados de las áreas de los datos personales (INAI, OGL). 6.1.6 Evaluar el cumplimiento de los sujetos obligados a lo que establece el marco normativo de PDP (INAI, OGL). 6.1.7 Generar un plan anual de evaluación de responsables y su acompañamiento institucional que contenga mecanismos de control para validar la congruencia y aplicación de criterios determinados (INAI, OGL). 6.1.8 Solicitar soporte técnico al INAI, por parte de los Organismos Garantes, en caso de que se requiera para llevar a cabo el proceso de evaluación a sus responsables (sujetos obligados) (OGL). 6.1.9-C Línea Transversal de Profesionalización y Fortalecimiento Institucional Implementar mecanismos de revisión entre pares con la finalidad de fortalecer la operación, los programas mediante la capacitación y profesionalización de los sujetos obligados en cumplimiento de la LGPDPPSO (INAI, OGL). 6.1.10 Identificar, compilar e intercambiar experiencias en materia de evaluación de los sujetos obligados, así como de los instrumentos técnicos de evaluación y demás herramientas desarrolladas para tal fin, e incorporarlo como insumo permanente para el diseño, evaluación y mejora del PRONADATOS (INAI, OGL). 6.1.11 Establecer vinculación y coordinación periódica con las demás instancias del SNT que realizan actividades de estadística y evaluación a fin de fortalecer el diagnóstico y diseño de las políticas públicas en materia de protección de datos personales (INAI, OGL). Estrategias: Coordinación / Capacitación / Mejora Regulatoria / Inclusión Indicador de Resultados: Porcentaje de Organismos Garantes con áreas que desarrollan acciones en sus sujetos obligados (responsables) de implementación de políticas públicas en Protección de Datos Personales Línea Base: 67.67%, CNTAIPPDPF y CNTAIPPDPE 2020. Por el momento el CNTAIPPDP no contiene elementos que permitan establecer un indicador preciso sobre la evaluación de los sujetos obligados, por lo que se deberá actualizar dicho instrumento conforme a los desarrollos institucionales y registros administrativos disponibles para reflejar esta dimensión de acciones en PDP. NOTA DE CAUCIÓN: Se recomienda dar prioridad a las acciones encaminadas a generar metodologías, estadísticas, indicadores y criterios para valorar la evaluación de desempeño de los sujetos obligados en el cumplimiento de la LGPDPPSO. Eje 7. Acciones preventivas en materia de protección de datos personales. Problemática: Preocupación generalizada entre la población sobre el uso de sus datos personales y las posibles afectaciones por vulneraciones de seguridad, sumado a la baja realización de auditorías voluntarias a los responsables (sujetos obligados) Objetivo Estratégico 7.1: Desarrollar acciones de prevención que disminuyan el riesgo de posibles vulneraciones o uso indebido de datos personales. Líneas de acción: 7.1.1 Desarrollar un padrón nacional de Responsables (Sujetos Obligados) en materia de protección de datos personales (INAI, OGL). 7.1.2 Promover la designación de un Oficial de Protección de Datos Personales entre los responsables (sujetos obligados) así como la creación de un padrón de responsables y de oficiales de protección de datos personales (INAI, OGL). 7.1.3-C Línea Transversal de Profesionalización y Fortalecimiento Institucional: Promover la aplicación de Auditorías Voluntarias entre los responsables, como medida para evaluar sus políticas y procedimientos para el tratamiento de los datos personales, así como la implementación de las recomendaciones que de estas deriven, con apoyo de herramientas, métodos y procedimientos recomendados por el INAI (INAI, OGL). 7.1.4 Acompañar y coadyuvar en la generación de Avisos de Privacidad Simplificados e Integrales de los responsables (INAI, OGL). 7.1.5 Desarrollar una metodología para la sistematización y atención de consultas, capacitación para evaluaciones de impacto en la protección de datos personales, incluyendo formatos y documentos facilitadores que permita mejorar y promover la presentación de dichas consultas y solicitudes, así como dar acompañamiento a los responsables (INAI, OGL).