Lineamientos_2018.pdf

(Primera Sección) DIARIO OFICIAL Martes 23 de enero de 2018 INSTITUTO NACIONAL DE TRANSPARENCIA, ACCESO A LA INFORMACION Y PROTECCION DE DATOS PERSONALES ACUERDO mediante el cual se aprueban las disposiciones administrativas de carácter general para la elaboración, presentación y valoración de evaluaciones de impacto en la protección de datos personales. Al margen un logotipo , que dice: Sistema Nacional de Transparencia, Acceso a la Información Pública y Protección de Datos Personales. CONAIP/SNT/ACUERDO/ORD01-15/12/2017-06 ACUERDO MEDIANTE EL CUAL SE APRUEBAN LAS D ISPOSICIONES ADMINISTRATIVAS DE CARÁCTER GENERAL PARA LA ELABORACIÓN, PRESENTACIÓN Y VALORACIÓN DE EVALUACIONES DE IMPACTO EN LA PROTECCIÓN DE DATOS PERSONALES. Que el Consejo Nacional del Sistema Nacional de Transparencia, Acceso a la Información Pública y Protección de Datos Personales, con fundamento en lo dispuesto por los artículos 10, 12 y 14, fracciones XIX y XX, 74, 76 y quinto transitorio de la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados, 31, fracción I de la Ley General de Transparencia y Acceso a la Información Pública, 10, fracciones II y VII del Reglamento del Consejo Nacional del Sistema Nacional de Transparencia, Acceso a la Información Pública y Protección de Datos Personales; y el Acuerdo mediante el cual s e aprueba la metodología de procesamiento para la estrategia de implementación de la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados, tiene dentro de sus atribuciones las de expedir criterios adicionales para determinar los s upuestos en los que se está ante un tratamiento intensivo o relevante de datos personales y disposiciones para la valoración del contenido presentado por los sujetos obligados en la Evaluación de impacto en la protección de datos personales, así como la de emitir acuerdos para dar cumplimiento a las funciones del Sistema Nacional de Transparencia, establecidas en el artículo 31 de la Ley General de Transparencia y Acceso a la Información Pública y demás disposiciones aplicables. Que en el punto número 8 del Orden del Día, de la Sesión Ordinaria de 2017, del Consejo Nacional del Sistema Nacional de Transparencia, Acceso a la Información Pública y Protección de Datos Personales, celebrada el 15 de diciembre de dos mil diecisiete, fue presentado, sometido a dis cusión y aprobado por unanimidad el Dictamen que emite la Comisión de Protección de Datos Personales del Sistema Nacional, sobre el Proyecto de Disposiciones administrativas de carácter general para la elaboración, presentación y valoración de evaluaciones de impacto en la protección de datos personales, en razón de lo anterior, se emite el siguiente: ACUERDO PRIMERO.- Se aprueban las Disposiciones administrativas de carácter general para la elaboración, presentación y valoración de evaluaciones de impacto en la protección de datos personales conforme al Anexo 1 del Acuerdo CONAIP/SNT/ACUERDO/ORD01-15/12/2017-06 SEGUNDO.- El presente acuerdo entrará en vigor al día siguiente de su publicación en el Diario Oficial de la Federación. TERCERO.- Se instruye al S ecretario Ejecutivo a publicar el presente Acuerdo y su Anexo en el Diario Oficial de la Federación, así como en la página del Sistema Nacional de Transparencia, mismos que estarán disponibles para su consulta en el vínculo electrónico siguiente: http://snt.org.mx/images/Doctos/CONAIP/SNT/ACUERDO/ORD01-15/12/2017-06.pdf De manera adicional, envíese a las direcciones de correo electrónico institucional de los integrantes del Sistema Nacional, a través de la dirección de correo del Secretario Ejecutivo ([email protected]). Así lo acordó el Pleno del Consejo Nacional del Sistema Nacional de Transparencia, Acceso a la Información Pública y Protección de Datos Personales, en su Sesión Ordinaria de dos mil diecisiete, celebrada el 15 de diciembre del pre sente año, en la Ciudad de México, lo que se certifica y se hace constar, con fundamento en el artículo 12 fracción XII y 13 fracciones VII y VIII del Reglamento del Consejo Nacional del Sistema Nacional de Transparencia, Acceso a la Información Pública y Protección de Datos Personales. - El Presidente del Consejo Nacional del Sistema Nacional de Transparencia, Acceso a la Información Pública y Protección de Datos Personales , Francisco Javier Acuña Llamas .- Rúbrica.- El Secretario Ejecutivo del Consejo Nacional del Sistema Nacional de Transparencia, Acceso a la Información Pública y Protección de Datos Personales, Federico Guzmán Tamayo.- Rúbrica. Martes 23 de enero de 2018 DIARIO OFICIAL (Primera Sección)
ANEXO 1 DEL ACUERDO CONAIP/SNT/ACUERDO/ORD01-15/12/2017-06 DISPOSICIONES ADMINISTRATIVAS DE CARÁCTER GENERAL PARA LA ELABORACIÓN, PRESENTACIÓN Y VALORACIÓN DE EVALUACIONES DE IMPACTO EN LA PROTECCIÓN DE DATOS PERSONALES Capítulo I De las disposiciones generales Objeto Artículo 1. Las presentes Disposiciones administrativas tienen por objeto establecer el marco gener al aplicable en la elaboración, presentación y valoración de las evaluaciones de impacto en la protección de datos personales. Definiciones Artículo 2. Además de las definiciones previstas en el artículo 3 de la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados, para los efectos de las presentes Disposiciones administrativas se entenderá por: I. Disposiciones administrativas: Disposiciones administrativas de carácter general para la elaboración, presentación y valoración de eval uaciones de impacto en la protección de datos personales, y II. Ley General: Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados. Ámbito de validez subjetivo Artículo 3. Son sujetos obligados a cumplir con las presentes Disposici ones administrativas cualquier autoridad, dependencia, entidad, órgano y organismo de los Poderes Ejecutivo, Legislativo y Judicial, organismos constitucionales autónomos, tribunales administrativos, fideicomisos y fondos públicos, del orden federal, estatal y municipal, así como partidos políticos que pretendan poner en operación o modificar políticas públicas, programas, sistemas o plataformas informáticas, aplicaciones electrónicas o cualquier otra tecnología que, a su juicio y de conformidad con lo disp uesto en la Ley General o las legislaciones estatales en la materia y las presentes Disposiciones administrativas, impliquen un tratamiento intensivo o relevante de datos personales. Ámbito de validez objetivo Artículo 4. Las presentes Disposiciones admini strativas serán aplicables a la elaboración, presentación y valoración de evaluaciones de impacto en la protección de datos personales, a que se refieren los artículos 3, fracción XVI, 74, primer párrafo, 75, 77, 78 y 79 de la Ley General, así como los rel ativos en las legislaciones estatales en la materia, así como 74, segundo párrafo y 76 del primer ordenamiento señalado en el presente artículo. Ámbito de validez territorial Artículo 5. Las presentes Disposiciones administrativas serán aplicables en todo el territorio nacional. Capítulo II De la evaluación de impacto en la protección de datos personales Evaluación de impacto a la protección de datos personales Artículo 6. La evaluación de impacto en la protección de datos personales es un documento mediant e el cual el responsable valora los impactos reales respecto de un tratamiento intensivo o relevante de datos personales, a efecto de identificar y mitigar posibles riesgos relacionados con los principios, deberes, derechos y demás obligaciones en la mater ia, de acuerdo con lo dispuesto en el artículo 3, fracción XVI de la Ley General. Objeto de la evaluación de impacto en la protección de datos personales Artículo 7. La evaluación de impacto en la protección de datos personales tiene por objeto: I. Identificar y describir los altos riesgos potenciales y probables que entrañen los tratamientos intensivos o relevantes de datos personales; II. Describir las acciones concretas para la gestión de los riesgos a que se refiere la fracción anterior del presente artículo; III. Analizar y facilitar el cumplimiento de los principios, deberes, derechos y demás obligaciones previstas en la Ley General o las legislaciones estatales en la materia y demás disposiciones aplicables, respecto a tratamientos intensivos o relevantes de datos personales, y IV. Fomentar una cultura de protección de datos personales al interior de la organización del responsable. (Primera Sección) DIARIO OFICIAL Martes 23 de enero de 2018 Tratamientos intensivos o relevantes de datos personales de carácter general Artículo 8. Para efectos de las presentes Di sposiciones administrativas y en términos de lo dispuesto en el artículo 75 de la Ley General, el responsable estará en presencia de un tratamiento intensivo o relevante de datos personales cuando concurra alguna las siguientes condiciones: I. Existan ries gos inherentes a los datos personales a tratar, entendidos como el valor potencial cuantitativo o cualitativo que pudieran tener éstos para una tercera persona no autorizada para su posesión o uso en función de la sensibilidad de los datos personales; las categorías de titulares; el volumen total de los datos personales tratados; la cantidad de datos personales que se tratan por cada titular; la intensidad o frecuencia del tratamiento, o bien, la realización de cruces de datos personales con múltiples sistemas o plataformas informáticas; II. Se traten datos personales sensibles a los que se refiere el artículo 3, fracción X de la Ley General o los que correspondan en las legislaciones estatales en la materia, entendidos como aquellos que se refieran a la esf era más íntima de su titular o cuya utilización indebida pueda dar origen a discriminación o conlleve un riesgo grave par a éste. De manera enunciativa ma s no limitativa, se consideran sensibles los datos personales que puedan revelar aspectos como origen r acial o étnico, estado de salud presente o futuro, información genética, creencias religiosas, filosóficas y morales, opiniones políticas y preferencia sexual, y III. Se efectúen o pretendan efectuar transferencias de datos personales a las que se refiere el artículo 3, fracción XXXII de la Ley General o los que correspondan en las legislaciones estatales en la materia, entendidas como cualquier comunicación de datos personales, dentro o fuera del territorio mexicano, realizada a persona distinta del titula r, responsable o encargado, considerando con especial é nfasis, de manera enunciativa ma s no limitativa, las finalidades que motivan éstas y su periodicidad prevista; las categorías de titulares; la categoría y sensibilidad de los datos personales transferidos; el carácter nacional y/o internacional de los destinatarios o terceros receptores y la tecnología utilizada para la realización de éstas. Tratamientos intensivos o relevantes de datos personales de manera particular Artículo 9. Considerando lo dispues to en el artículo 76 de la Ley General, se ent enderá, de manera enunciativa mas no limitativa, que el responsable está en presencia de un tratamiento intensivo o relevante de datos personales, de manera particular, cuando pretenda: I. Cambiar la o las fina lidades que justificaron el origen de determinado tratamiento de datos personales, de tal manera que pudiera presentarse una incompatibilidad entre las finalidades de origen con las nuevas finalidades, al ser estas últimas más intrusivas para los titulares; II. Evaluar, monitorear, predecir, describir, clasificar o categorizar la conducta o aspectos análogos de los titulares, a través de la elaboración de perfiles determinados para cualquier finalidad, destinados a producir efectos jurídicos que los vincule n o afecten de manera significativa, especialmente, cuando a partir de dicho tratamiento se establezcan o pudieran establecerse diferencias de trato o un trato discriminatorio económico, social, político, racial, sexual o de cualquier otro tipo que pudiera
afectar la dignidad o integridad personal de los titulares; III. Tratar datos personales de grupos vulnerables aten diendo, de manera enunciativa ma s no limitativa, a su edad; género; origen étnico o racial; estado de salud; preferencia sexual; nivel de in strucción y condición socioeconómica; IV. Crear bases de datos concernientes a un número elevado de titulares, aun cuando dichas bases no estén sujetas a criterios determinados en cuanto a su creación o estructura, de tal manera que se produzca la acumulac ión no intencional de una gran cantidad de datos personales respecto de los mismos; V. Incluir o agregar nuevas categorías de datos personales a las bases de datos ya existentes y en posesión del responsable, de tal forma que, en caso de presentarse una vu lneración de seguridad por la cantidad de información contenida en ellas, pudiera derivarse una afectación a la esfera personal de los titulares, sus derechos o libertades; VI. Realizar un tratamiento frecuente y continúo de grandes volúmenes de datos pers onales, o bien, llevar a cabo cruces de información con múltiples sistemas o plataformas informáticas; VII. Utilizar tecnologías con sistemas de vigilancia; aeronaves o aparatos no tripulados; minería de datos; biometría; Internet de las cosas; geolocaliza ción; técnicas analíticas; radiofrecuencia o cualquier otra que pueda desarrollarse en el futuro y que implique un tratamiento de datos personales a gran escala; Martes 23 de enero de 2018 DIARIO OFICIAL (Primera Sección)
VIII. Permitir el acceso de terceros a una gran cantidad de datos personales que anteriormente no tenían acceso, ya sea, entregándolos, recibiéndolos y/o poniéndolos a su disposición en cualquier forma; IX. Realizar transferencias internacionales de datos personales a países que no cuenten en su derecho interno con garantías suficientes y equivalen tes para asegurar la debida protección de los datos personales, conforme al sistema jurídico mexicano en la materia; X. Revertir la disociación de datos personales para la consecución de finalidades determinadas, especialmente si éstas son de carácter intrusivo o invasivo al titular; XI. Tratar datos personales sensibles con la finalidad de efectuar un tratamiento sistemático y masivo de los mismos; XII. Realizar una evaluación sistemática y exhaustiva de aspectos propios de las personas físicas que se base en un tratamiento automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para éstas o que les afecten significativamente de modo similar; XIII. Realizar un tratamiento a gran escala de datos pe rsonales sensibles o datos personales relativos a condenas e infracciones penales, o XIV. La observación sistemática a gran escala de una zona de acceso público. Obligación de elaborar una evaluación de impacto en la protección de datos personales Artículo 10. El responsable que pretenda poner en operación o modificar una política pública, programa, sistema o plataforma informática, aplicación electrónica o cualquier otra tecnología que, a su juicio y de conformidad con lo dispuesto en la Ley General o las legislaciones estatales en la materia, las presentes Disposiciones administrativas y demás normatividad aplicable, implique un tratamiento intensivo o relevante de datos personales deberá elaborar y presentar ante el Instituto o los organismos garantes una evaluación de impacto en la protección de datos personales de conformidad con los citados ordenamientos. Evaluaciones de impacto en la protección de datos personales interinstitucionales Artículo 11. Cuando dos o más responsables, de manera conjunta o coo rdinada, pretendan poner en operación o modificar políticas públicas, programas, sistemas o plataformas informáticas, aplicaciones electrónicas o cualquier otra tecnología que, a su juicio y de conformidad con lo dispuesto en la Ley General o las legislaci ones estatales en la materia, las presentes Disposiciones administrativas y demás normatividad aplicable, impliquen un tratamiento intensivo o relevante de datos personales deberán elaborar de manera conjunta una sola evaluación que será presentada al Inst ituto y/o los organismos garantes conforme a las siguientes reglas: I. Si los responsables son del orden federal, la presentación de ésta se deberá hacer ante el Instituto; II. Si los responsables son del orden federal, estatal y/o municipal, la presentaci ón de ésta se deberá hacer ante el Instituto y los organismos garantes competentes; III. Si los responsables son del orden estatal y/o municipal de una sola entidad federativa, la presentación de ésta se deberá hacer ante el organismo garante de dicha entidad; IV. Si los responsables son del orden estatal y/o municipal de dos o más entidades federativas, la presentación de ésta se deberá hacer ante los organismos garantes de dichas entidades federativas según corresponda, o V. Si los responsables son del or den municipal de dos o más entidades federativas, la presentación de ésta se deberá hacer ante los organismos garantes de dichas entidades federativas según corresponda. A la evaluación de impacto en la protección de datos personales a que se refiere el pr esente artículo, le resultará aplicable lo dispuesto en el presente Capítulo y los Capítulos III y IV con las particularidades que específicamente se señalen. Opinión del Instituto y los organismos garantes Artículo 12. En caso de que el responsable tuvier a dudas sobre la obligación de elaborar y presentar una evaluación de impacto en la protección de datos personales respecto al carácter intensivo o relevante de determinado tratamiento de datos personales que pretenda efectuar o modificar, podrá consultar al Instituto o los organismos garantes de acuerdo con lo siguiente: I. La consulta deberá presentarse en el domicilio del Instituto o de los organismos garantes, o bien, a través de cualquier otro medio que éstos habiliten para tal efecto, previo a la impl ementación de la política pública, programa, sistema o plataforma informática, aplicaciones electrónicas o cualquier otra tecnología; (Primera Sección) DIARIO OFICIAL Martes 23 de enero de 2018 II. La consulta deberá describir detalladamente el tratamiento de datos personales que se pretende efectuar o modificar, indicando con especial énfasis el fundamento que lo habilita a tratar los datos personales conforme a la normatividad que le resulte aplicable; las finalidades concretas, lícitas, explícitas y legítimas del tratamiento; el tipo de datos personales, precisando los datos personales sensibles; las categorías de titulares; las transferencias que, en su caso, se realizarían precisando las autoridades, poderes, entidades, órganos y organismos gubernamentales de los tres órdenes de gobierno y las personas físicas o morales de carácter privado, nacionales y/o internacionales, en su calidad de destinatarios de los datos personales; la tecnología utilizada, así como cualquier otra información relevante para el caso concreto; III. La consulta deberá incluir el nombre completo, cargo, unidad administrativa de adscripción, correo electrónico y teléfono institucional de la persona designada para proporcionar mayor información y/o documentación al respecto; IV. La consulta podrá ir acompañada de aquellos documentos que el responsable considere conveniente hacer del conocimiento del Instituto o los organismos garantes; V. Si el Instituto o los organismos garantes consideran que no cuentan con la suficiente información para emitir su opinión técnica, deberán requerir al responsable, por una sola ocasión y en un plazo que no podrá exceder de cinco días contados a partir del día siguiente de la presentación de la consulta, la información adicional que consideren pertinente; VI. El responsable contará con un plazo máximo de cinco días, contados a partir del día siguiente de la recepción del requerimiento de información adicional, para proporcionar mayores elementos al Instituto o los organismos garantes con el apercibimiento de que en caso de no cumplir se tendrá por no presentada su consulta; VII. El requerimiento de información adicional tendrá el efecto de interrumpir el plazo que tiene el Instituto o los organismos garantes para emitir su opinión técnica, por lo que el cómputo de dicho plazo se reanudará a partir del día siguiente de su desahogo, y VIII. El Instituto o los organismos garantes deberán emitir la opinión técnica para confirmar o negar la obligación del responsable de elaborar y presentar una evaluación de impacto en la protección de datos personales atendiendo al carácter intensivo o relevante del tratamiento de datos personales que pretende poner en operación o modificar en un plazo que no podrá exceder de quince días, contados a partir del día siguiente a la recepción de la consulta, el cual no podrá ampliarse. Consultas externas Artículo 13. De manera previa a la presentación de la evaluación de impacto en la protección de datos personales ante el Instituto o los organismos garantes, el responsable podrá llevar a cabo consultas externas con los titulares o público involucrado en la política pública, programa, sistema o plataforma informática, aplicación electrónica o cualquier otra tecnología que pretenda implementar o modificar y que implique un tratamiento intensivo o relevante de datos personales, las cuales deberán ser documentadas. Capítulo III Del contenido de las evaluaciones de impacto en la protección de datos personales Contenido mínimo de las evaluaciones de impacto en la protección de datos personales Artículo 14. En la evaluación de impacto en la protección de datos personales, el responsable deberá señalar, al menos, la siguiente información: I. La descripción de la política pública, programa, sistema o plataforma informática, aplicación electrónica o cualquier otra tecnología que implique un tratamiento intensivo o relevante de datos personales que pretenda poner en operación o modificar; II. La justificación de la necesidad de implementar o modificar la política pública, programa, sistema o plataforma informática, aplicación electrónica o cualquier otra tecnología que implique un tratamiento intensivo o relevante de datos personales; III. La representación del ciclo de vida de los datos personales a tratar; IV. La identificación, análisis y descripción de la gestión de los riesgos inherentes para la protección de los datos personales; V. El análisis de cumplimiento normativo en materia de protección de datos personales de conformidad con la Ley General o las legislaciones estatales en la materia y demás disposiciones aplicables;