Lineamientos_2018.pdf

Type: Document | Status: ready
← All sources

Martes 23 de enero de 2018 DIARIO OFICIAL (Primera Sección)
VI. Los resultados de la o las consultas externas que, en su caso, se efectúen; VII. La opinión técnica del oficial de protección de datos personales respecto del tratamiento intensivo o relevante de datos personales que implique la política pública, programa, sistema o plataforma informática, aplicación electrónica o cualquier otra tecnología, en su caso, y VIII. Cualquier otra información o documentos que considere conveniente hacer del conocimiento del Instituto o los organismos garantes en función de la política pública, programa, sistema o plataforma informática, aplicación electrónica o cualquier otra tecnología que implique un tratamiento intensivo o relevante de datos personales y que pretenda poner en operación o modificar. Descripción de la política pública, programa, sistema o plataforma informática, aplicación electrónica o cualquier otra tecnología Artículo 15. En la descripción de la política pública, programa, sistema o plataforma informática, aplicación electrónica o cualquier otra tecnología que implique un tratamiento intensivo o relevante de datos personales y que pretenda poner en operación o modificar, el responsable deberá indicar, al menos, la siguiente información: I. Su denominación; II. El nombre de la política pública, programa, sistema o plataforma informática, aplicación electrónica o cualquier otra tecnología que implique un tratamiento intensivo o relevante de datos personales; III. Los objetivos generales y específicos que persigue la política pública, programa, sistema o plataforma informática, aplicación electrónica o cualquier otra tecnología que implique un tratamiento intensivo o relevante de datos personales; IV. El fundamento legal de la política pública, programa, sistema o plataforma informática, aplicación electrónica o cualquier otra tecnología que implique un tratamiento intensivo o relevante de datos personales, conforme a sus facultades o atribuciones que la normatividad aplicable le confiera; V. Las categorías de los titulares, distinguiendo aquéllos que pertenezcan a grupos vulnerables en función de su edad; género; origen étnico o racial; estado de salud; preferencia sexual; nivel de instrucción y condición socioeconómica; VI. Los datos personales que serán objeto de tratamiento, distinguiendo, en su caso, los datos personales sensibles; VII. Las finalidades del tratamiento intensivo o relevante de datos personales; VIII. Los procesos, fases o actividades operativas de la política pública, programa, sistema o plataforma informática, aplicación electrónica o cualquier otra tecnología que involucren el tratamiento de datos personales, así como la descripción puntual de los mismos; IX. La forma en que se recabarán los datos personales o, en su caso, las fuentes de las cuales provienen; X. Las transferencias de datos personales que, en su caso, pretendan efectuarse con la puesta en operación o modificación de la política pública, programa, sistema o plataforma informática, aplicación electrónica o cualquier otra tecnología, indicando las autoridades, poderes, entidades, órganos y organismos gubernamentales de los tres órdenes de gobierno y las personas físicas o morales de carácter privado, nacionales y/o internacionales en su calidad de destinatarios de los datos personales, y las finalidades de estas transferencias; XI. El tiempo de duración de la política pública, programa, sistema o plataforma informática, aplicación electrónica o cualquier otra tecnología, incluyendo aquél que corresponda específicamente al tratamiento intensivo o relevante de datos personales; XII. La tecnología que se pretende utilizar para efectuar el tratamiento intensivo o relevante de datos personales; XIII. Las medidas de seguridad de carácter administrativo, físico y técnico a implementar de conformidad con lo previsto en la Ley General o las legislaciones estatales en la materia y demás disposiciones aplicables; XIV. El nombre y cargo del servidor o de los servidores públicos que cuentan con facultad expresa para decidir, aprobar o autorizar la puesta en operación o modificación de la política pública, programa, sistema o plataforma informática, aplicación electrónica o cualquier otra tecnología que implique un tratamiento intensivo o relevante de datos personales, y XV. Cualquier otra información o documentos que considere conveniente hacer del conocimiento del Instituto o los organismos garantes.

 (Primera Sección)

DIARIO OFICIAL Martes 23 de enero de 2018 Contenido adicional para las evaluaciones de impacto en la protección de datos personales interinstitucionales Artículo 16. Tratándose de una evaluación de impacto en la protección de datos personales interinstitucional, de manera adicional a lo previsto en el artículo anterior, el responsable deberá señalar lo siguiente: I. La denominación de los responsables conjuntos que presentan la evaluación de impacto en la protección de datos personales; II. La denominación del responsable líder del proyecto, entendido para efecto de las presentes Disposiciones administrativas como el responsable que tiene a su cargo coordinar las acciones necesarias entre los distintos responsables para la elaboración de la evaluación de impacto en la protección de datos personales, y III. Las obligaciones, deberes, responsabilidades, límites y demás cuestiones relacionadas con la participación de todos los responsables. Justificación de la necesidad de implementar o modificar la política pública, programa, sistema o plataforma informática, aplicación electrónica o cualquier otra tecnología Artículo 17. En la evaluación de impacto en la protección de datos personales, el responsable deberá señalar las razones o motivos que justifican la necesidad de poner en operación o modificar la política pública, programa, sistema o plataforma informática, aplicación electrónica o cualquier otra tecnología que implique un tratamiento intensivo o relevante de datos personales, en función de las atribuciones que la normatividad aplicable le confiera precisando para tal efecto: I. Si la o las medidas propuestas son susceptibles o idóneas para garantizar el derecho a la protección de datos personales de los titulares; II. Si la o las medidas propuestas son las estrictamente necesarias, en el sentido de ser las más moderadas para garantizar el derecho a la protección de datos personales de los titulares, y III. Si la o las medidas son equilibradas en función del mayor número de beneficios o ventajas que perjuicios para el garantizar el derecho a la protección de datos personales de los titulares. Lo anterior, con la finalidad de que el responsable adopte las medidas menos intrusivas en lo que respecta a la protección de datos personales de los titulares. Ciclo de vida de los datos personales Artículo 18. En la evaluación de impacto en la protección de datos personales, el responsable deberá describir y representar cada una de las fases de la política pública, programa, sistema o plataforma informática, aplicación electrónica o cualquier otra tecnología que implique un tratamiento intensivo o relevante de datos personales, especificando el ciclo de vida de éstos a partir de su obtención, aprovechamiento, explotación, almacenamiento, conservación o cualquier otra operación realizada, hasta la supresión de los mismos. Además de lo previsto en el párrafo anterior del presente artículo, el responsable deberá señalar: I. Las fuentes internas y/o externas, así como los medios y procedimientos a través de los cuales se recabarán los datos personales, o bien, son recabados; II. Las áreas, grupos o personas que llevarán a cabo operaciones específicas de tratamiento con los datos personales; III. Los plazos de conservación o almacenamiento de los datos personales, y IV. Las técnicas a utilizar para garantizar el borrado seguro de los datos personales. Identificación, análisis y gestión de los riesgos para la protección de los datos personales Artículo 19. En la evaluación de impacto en la protección de datos personales, el responsable deberá incluir la gestión de riesgos que tenga por objeto identificar y analizar los posibles riesgos y amenazas, así como los daños o consecuencias que pudieran producirse o presentarse si llegasen a materializarse con la puesta en operación o modificación de la política pública, programa, sistema o plataforma informática, aplicación electrónica o cualquier otra tecnología que implique un tratamiento intensivo o relevante de datos personales. El responsable deberá presentar un plan general para gestionar los riesgos identificados, en el que se mencione, al menos, lo siguiente: I. La identificación y descripción específica de los riesgos administrativos, físicos o tecnológicos que podrían presentarse con la puesta en operación o modificación de la política pública, programa, sistema o plataforma informática, aplicación electrónica o cualquier otra tecnología que implique un tratamiento intensivo o relevante de datos personales;

Martes 23 de enero de 2018 DIARIO OFICIAL (Primera Sección)
II. La ponderación cuantitativa y/o cualitativa de la probabilidad de que los riesgos identif icados sucedan, así como su nivel de impacto en los titulares en lo que respecta al tratamiento de sus datos personales, y III. Las medidas y controles concretos que el responsable adoptará para eliminar, mitigar, transferir o retener los riesgos detectados, de tal manera que no tengan un impacto en la esfera de los titulares, en lo que respecta al tratamiento de sus datos personales. Análisis de cumplimiento normativo Artículo 20. En la evaluación de impacto en la protección de datos personales, el respons able deberá señalar los mecanismos o procedimientos que adoptará para que la política pública, programa, sistema o plataforma informática, aplicación electrónica o cualquier otra tecnología que pretende implementar o modificar y que implique un tratamiento intensivo o relevante de datos personales cumpla, por defecto y diseño, con los principios, deberes, derechos y demás obligaciones previstas en la Ley General o las legislaciones estatales en la materia y demás disposiciones aplicables. Informe de la consulta externa Artículo 21. En caso de que el responsable hubiere realizado consultas públicas a que se refiere el artículo 13 de las presentes Disposiciones administrativas, en la evaluación de impacto en la protección de datos personales deberá informar so bre los resultados de la o las consultas externas, distinguiendo las opiniones, puntos de vista y perspectivas del público que, a su juicio, consideró pertinente incorporar en el diseño o modificación de la política pública, programa, sistema o plataforma informática, aplicación electrónica o cualquier otra tecnología que implique un tratamiento intensivo o relevante de datos personales, de aquéllas que no consideró. Con relación a las opiniones, puntos de vista y perspectivas no consideradas, el responsabl e deberá señalar las razones o motivos que lo llevaron a tal decisión. El Instituto y los organismos garantes podrán tener acceso a los documentos recabados durante las consultas externas. Opinión técnica del oficial de protección de datos personales Artículo 22. En la evaluación de impacto en la protección de datos personales, el responsable deberá señalar la opinión y consideraciones técnicas del oficial de protección de datos personales respecto del tratamiento intensivo o relevante de datos personales q ue implica la puesta a disposición o modificación de la política pública, programa, sistema o plataforma informática, aplicación electrónica o cualquier otra tecnología, en su caso. Capítulo IV Del procedimiento de valoración de las evaluaciones de impacto en la protección de datos personales Presentación de la evaluación de impacto en la protección de datos personales Artículo 23. El responsable deberá presentar la evaluación de impacto en la protección de datos personales en el domicilio del Instituto o d e los organismos garantes, o bien, a través de cualquier otro medio que éstos habiliten para tal efecto, al menos, treinta días anteriores a la fecha en que pretende poner en operación o modificar la política pública, programa, sistema o plataforma informá tica, aplicación electrónica o cualquier otra tecnología que implique un tratamiento intensivo o relevante de datos personales, de acuerdo con lo dispuesto en el artículo 77 de la Ley General o los que correspondan en las legislaciones estatales en la materia. Acuerdo de admisión o de requerimiento de información Artículo 24. Una vez presentada la evaluación de impacto en la protección de datos personales ante el Instituto o los organismos garantes, éstos deberán emitir un acuerdo, dentro de los cinco días contados a partir del día siguiente a la recepción de la evaluación, en el cual: I. Se admita la evaluación de impacto en la protección de datos personales al cumplir con todos los requerimientos a que se refiere el artículo 14 de las presentes Disposiciones administrativas, o II. Se requiera información al responsable por no actualizarse lo dispuesto en la fracción anterior. Requerimiento de información Artículo 25. Si en la evaluación de impacto en la protección de datos personales el responsable no cumple con alguno de los requisitos previstos en el artículo 14 de las presentes Disposiciones administrativas , el Instituto o los organismos garantes deberán requerir al responsable, por una sola ocasión y en el plazo previsto en el artículo anterior, la información que subsane las omisiones. (Primera Sección) DIARIO OFICIAL Martes 23 de enero de 2018 El responsable contará con un plazo máximo de cinco días, contados a partir del día siguiente de la recepción del requerimiento de información, para subsanar las omisiones con el apercibimiento de que en caso de no cumplir se tendrá por no presentada la evaluación de impacto en la protección de datos personales. El requerimiento de información tendrá el efecto de interrumpir el plazo que tiene el Instituto o los organismos garantes para emitir, en su caso, su dictamen, por lo que se reanudará el cómputo de dicho plazo a partir del día siguiente de su desahogo. Realización de diligencias y/o reuniones Artículo 26. El Instituto o los organismos garantes podrán realizar, durante toda la etapa de valoración de una evaluación de impacto en la protección de datos personales, diligencias y/o reuniones de trabajo que considere pertinentes con el responsable, con el objeto de contar con mayores elementos antes de emitir, en su caso, su dictamen. De toda diligencia o reunión de trabajo celebrada, el Instituto o los organismos garantes deberán levantar un acta en la que harán constar lo siguiente: I. El lugar, fecha y hora de realización de la diligencia o reunión de trabajo; II. La denominación del responsable; III. Los nombres completos y cargos de todos los servidores públicos y personas que intervinieron; IV. El nombre de la política pública, programa, sistema o plataforma informática, aplicación electrónica o cualquier otra tecnología, objeto de la evaluación de impacto en la protección de datos personales, así como las finalidades que motivan el tratamiento de los datos personales; V. La narración circunstanciada de los hechos ocurridos durante la diligencia o reunión de trabajo, incluyendo los acuerdos alcanzados, y VI. El nombre completo y firma del servidor público que represente al responsable, al Instituto o los organismos garantes, así como el nombre de cualquier otro asistente. Valoración de la evaluación de impacto en la protección de datos personales Artículo 27. El Instituto o los organismos garantes deberán valorar la evaluación de impacto en la protección de datos personales tomando en cuenta lo siguiente: I. Los objetivos generales y específicos que persigue la política pública, programa, sistema o plataforma informática, aplicación electrónica o cualquier otra tecnología que implique un tratamiento intensivo o relevante de datos personales; II. Las razones o motivos que justifican la puesta en operación o modificación de la política pública, programa, sistema o plataforma informática, aplicación electrónica o cualquier otra tecnología que implique un tratamiento intensivo o relevante de datos personales, en función de las atribuciones o facultades del responsable que la normatividad aplicable le confiera; III. Las categorías de titulares, distinguiendo aquéllos que pertenezcan a grupos vulnerables en función de su edad; género; origen étnico o racial; estado de salud; preferencia sexual; nivel de instrucción y condición socioeconómica; IV. Los datos personales tratados y su volumen; V. Las finalidades del tratamiento intensivo o relevante de datos personales; VI. Las transferencias, nacionales o internacionales, de datos personales que, en su caso, pretendan efectuarse con la puesta en operación o modificación de la política pública, programa, sistema o plataforma informática, aplicación electrónica o cualquier otra tecnología que implique un tratamiento intensivo o relevante de datos personales; VII. La tecnología utilizada para efectuar el tratamiento intensivo o relevante de datos personales; VIII. Las medidas de seguridad de carácter administrativo, físico y técnico que se pretenden adoptar; IX. Los posibles riesgos y amenazas, así como el daño o consecuencias que pudieran producirse o presentarse si llegasen a materializarse con la puesta en operación o modificación de la política pública, programa, sistema o plataforma informática, aplicación electrónica o cualquier otra tecnología que implique un tratamiento intensivo o relevante de datos personales; X. Las medidas y controles concretos que el responsable adoptará para eliminar, mitigar, transferir o retener los riesgos identificados;

Page 2 of 25