DOCUMENTO DE SEGURIDAD DE LOS SISTEMAS DE DATOS PERSONALES EN POSESIÓN DEL INSTITUTO NACIONAL PARA EL DESARROLLO DE CAPACIDADES DEL SECTOR RURAL, A.C. (INCA Rural) Medidas administrativas, físicas y técnicas de seguridad aplicables a los sistemas de datos personales PRESENTACIÓN El Artículo 4 de la LEY FEDERAL DE TRANSPARENCIA Y ACCESO A LA INFORMACIÓN PÚBLICA GUBERNAMENTAL (Ley) establece, entre sus objetivos, garantizar la protección de los datos personales que posean las dependencias de la Administración Pública Federal. El Artículo 20 de la Ley señala que los titulares de las dependencias serán responsables de los datos personales que poseen y deberán adoptar las medidas necesarias para garantizar la seguridad de los datos personales y evitar su alteración, pérdida, transmisión y acceso no autorizado. Los LINEAMIENTOS DE PROTECCIÓN DE DATOS PERSONALES (Lineamientos), publicados en el Diario Oficial de la Federación el 30 de septiembre de 2005, establecen las medidas que deberán adoptar las dependencias de la Administración Pública Federal para proveer seguridad a los sistemas de datos personales que manejan y custodian en el ejercicio de sus facultades. El artículo Trigésimo tercero de los Lineamientos, establece que las dependencias, a través del Comité de Información y conjuntamente con el área de informática, expedirán un documento que contenga las medidas administrativas, físicas y técnicas de seguridad aplicables a los sistemas de datos personales, tomando en cuenta los Lineamientos y las recomendaciones que en la materia emita el Instituto Federal de Acceso a la Información Pública (IFAI). El documento de seguridad de los sistemas de datos personales en posesión del INCA Rural es de observancia obligatoria para todos los servidores públicos. I. DEFINICIONES Destinatario: Cualquier persona física o moral pública o privada que recibe datos personales. Encargado: El servidor público o cualquier otra persona física o moral facultado por un instrumento jurídico o expresamente autorizado por el Responsable para llevar a cabo el tratamiento físico o automatizado de los datos personales. Incidente: Es el robo o extravío de los datos personales en posesión de una unidad administrativa o una incursión de una persona no autorizada al sistema de datos personales. Página 1 de 15 Sistema de datos personales (SDP): Es el conjunto ordenado de datos personales que están en posesión de la dependencia, con independencia de su forma de acceso, creación, almacenamiento u organización. Los sistemas de datos personales podrán distinguirse entre: a) Físicos: Conjunto ordenado de datos que para su tratamiento están contenidos en registros manuales, impresos, sonoros, magnéticos, visuales u holográficos. b) Automatizados: Conjunto ordenado de datos que para su tratamiento han sido o están sujetos a un tratamiento informático y que por ende requieren de una herramienta tecnológica específica para su acceso, recuperación o tratamiento. Sistema Persona: Aplicación informática desarrollada por el Instituto Federal de Acceso a la Información Pública Gubernamental para mantener actualizado el listado de los sistemas de datos personales que posea la institución para registrar e informar sobre las transmisiones, modificaciones y cancelaciones de los mismos. Responsable: El servidor público titular de la unidad administrativa que decide sobre el tratamiento físico o automatizado de datos personales, así como el contenido y finalidad de los sistemas de datos personales. Titular de los datos: Persona física a quien se refieren los datos personales que sean objeto de tratamiento. Transmisión: Toda entrega total o parcial de sistemas de datos personales realizada por la institución a cualquier persona distinta al Titular de los datos, mediante el uso de medios físicos o electrónicos tales como la interconexión de computadoras, interconexión de bases de datos, acceso a redes de telecomunicación, así como a través de la utilización de cualquier otra tecnología que lo permita. Transmisor: Dependencia o entidad que posee los datos personales objeto de la transmisión. Tratamiento: Operaciones y procedimientos físicos o automatizados que permitan recabar, registrar, reproducir, conservar, organizar, modificar, transmitir y cancelar datos personales. Usuario: Servidor público facultado por un instrumento jurídico o expresamente autorizado por el Responsable que utiliza de manera cotidiana datos personales para el ejercicio de sus atribuciones, por lo que accede a los sistemas de datos personales, sin posibilidad de agregar o modificar su contenido. II. SISTEMAS DE DATOS PERSONALES DEL INCA Rural 1) SISTEMA DE NÓMINA INTEGRAL Datos del responsable Unidad DIRECCIÓN GENERAL ADJUNTA DE PLANEACIÓN Y Página 2 de 15 Administrativa: Nombre: Cargo: Teléfono: Correo: Funciones: ADMINISTRACIÓN JOSE MANUEL GARCÍA RODRÍGUEZ DIRECTOR GENERAL ADJUNTO 5999-4300 [email protected] Datos del Encargado Unidad Administrativa: Nombre: Cargo: Teléfono: Correo: Funciones: DEPARTAMENTO DE RECURSOS HUMANOS MARISELA GARCÍA ROSAS JEFA DE DEPARTAMENTO 5999-4300 [email protected] Datos del usuario Unidad Administrativa: Nombre: Cargo: Teléfono: Correo: Funciones: DEPARTAMENTO DE RECURSOS HUMANOS Estructura y descripción del sistema de datos personales Nombre del Sistema: SISTEMA DE NÓMINA INTEGRAL Finalidad FACILITAR Y AGILIZAR LAS OPERACIONES DE LOS CÁLCULOS DE NÓMINA Fecha de creación: Fecha de registro: Fecha de última modificación: Estatus: Denominación Genérica Categoría del SDP: Subcategoría del SDP 01/09/2002 21/06/2006 21/06/2006 NUEVO REGISTROS-IDENTIFICACIÓN DOCUMENTACIÓN PERSONAL PERSONAL QUE LABORA EN EL INCA Universo (o Grupos Afectados): Rural FÍSICO Clasificación del SDP Tipo de datos personales Página 3 de 15 Datos Académicos Trayectoria educativa Datos Patrimoniales Ingresos y egresos Datos de Identificación Datos Ideológicos Nombre Ideología Domicilio Pertenencia a organizaciones de la sociedad civil Teléfono particular Teléfono celular particular Correo electrónico Estado civil Edad Normatividad 2) BASE DE EXPEDIENTES PERSONALES DE LOS SERVIDORES PÚBLICOS DEL INCA Rural Datos del responsable Unidad Administrativa: Nombre: Cargo: Teléfono: Correo: Funciones: DIRECCIÓN GENERAL ADJUNTA DE PLANEACIÓN Y ADMINISTRACIÓN JOSE MANUEL GARCÍA RODRÍGUEZ DIRECTOR GENERAL ADJUNTO 5999-4300 [email protected] PLANEACIÓN Y ADMINISTRACIÓN Datos del encargado Unidad Administrativa: Nombre: Cargo: Teléfono: Correo: Funciones: DEPARTAMENTO DE RECURSOS HUMANOS MARISELA GARCÍA ROSAS JEFA DE DEPARTAMENTO 5999-4300 [email protected] Datos del usuario Página 4 de 15 Unidad Administrativa: Nombre: Cargo: Teléfono: Correo: Funciones: DEPARTAMENTO DE RECURSOS HUMANOS Estructura y descripción del sistema de datos personales Nombre del Sistema: EXPEDIENTES PERSONALES DE LOS SERVIDORES PÚBLICOS DEL INCA Rural Finalidad CONTAR CON UN EXPEDIENTE PERSONAL POR SERVIDOR PÚBLICO QUE CONTENGA (CURRÍCULO VITAE, FOTOGRAFÍA, COPIAS DE ACTA DE NACIMIENTO, CARTILLA DE SERVICIO MILITAR, CURP, RFC, COMPROBANTE DE DOMICILIO, OFICIAL, CARTA DE IDENTIFICACIÓN COMPROBANTES DE RECOMENDACIÓN, ESTUDIO, AFILIACIÓN AL IMSS, Y ACUSES DE PRESENTACIÓN DE DECLARACIONES PATRIMONIALES) Fecha de creación: Fecha de registro: Fecha de última modificación: Estatus: Denominación Genérica Categoría del SDP: Subcategoría del SDP 01/01/1993 27/09/2006 27/09/2006 NUEVO REGISTROS-IDENTIFICACIÓN DOCUMENTACIÓN PERSONAL PERSONAL QUE LABORA EN EL INCA Universo (o Grupos Afectados): Rural FÍSICO Y AUTOMATIZADO Clasificación del SDP Tipos de datos personales Datos Académicos Trayectoria educativa Datos de Identificación Nombre Domicilio Teléfono particular Teléfono celular particular Datos Patrimoniales Ingresos y egresos Lugar de nacimiento Nacionalidad Edad Página 5 de 15 Otros Correo electrónico Estado civil Firma Normatividad 3) REGISTRO DE EVALUADORES Datos del Responsable Unidad Administrativa: Nombre: Cargo: Teléfono: Correo: Funciones: DIRECCIÓN GENERAL ADJUNTA DE EVALUACIÓN Y ACREDITACIÓN ROBERTO WILDE GALLARDO DIRECTOR GENERAL ADJUNTO 5999-4300 [email protected] Datos del Encargado Unidad Administrativa: Nombre: Cargo: Teléfono: Correo: Funciones: EVALUACIÓN MARCO ANTONIO HERRERA OROPEZA DIRECTOR 5999-4300 [email protected] Datos del Usuario Unidad Administrativa: Nombre: Cargo: Teléfono: Correo: Funciones: EVALUACIÓN Y ACREDITACIÓN Estructura y descripción del sistema de datos personales Página 6 de 15 Nombre del Sistema: REGISTRO DE EVALUADORES Finalidad: CONTAR CON UN CATÁLOGO DE PROFESIONALES CAPACITADOS POR EL INCA RURAL EN EVALUACIÓN DE COMPETENCIA LABORAL Y DE LOS SERVICIOS OFRECIDOS 30/04/2003 Fecha de creación: 15/06/2006 Fecha de registro: Fecha de última modificación: 27/09/2006 NUEVO Estatus: Denominación Genérica REGISTROS-IDENTIFICACIÓN Categoría del SDP: DIRECTORIOS Subcategoría del SDP Universo (o Grupos Afectados): FÍSICO Y AUTOMATIZADO Clasificación del SDP Tipos de datos personales Datos Laborales Puesto Domicilio de trabajo Correo electrónico institucional Teléfono institucional Datos de Identificación Nombre Domicilio Teléfono particular Teléfono celular particular Correo electrónico Datos de Salud Discapacidades Otros Normatividad 4) REGISTRO DE FORMADORES Datos del Responsable Unidad Administrativa: Nombre: Cargo: DIRECCIÓN GENERAL ADJUNTA DE PROMOCION Y OPRACIÓN MARTHA CRISTINA ESCALANTE ESCOFFIE DIRECTORA GENERAL ADJUNTA Página 7 de 15 Teléfono: Correo: Funciones: 5999-4300 [email protected] Datos del Encargado Unidad Administrativa: Nombre: Cargo: Teléfono: Correo: Funciones: DEPARTAMENTO DE SUPERVISIÓN MARCO ANTONIO POZOS MORALES JEFE DE DEPARTAMENTO 91 83 01 80 [email protected] Datos del Usuario Unidad Administrativa: Nombre: Cargo: Teléfono: Correo: Funciones: DEPARTAMENTO DE SUPERVISIÓN MARCO ANTONIO POZOS MORALES JEFE DE DEPARTAMENTO 5999-4300 [email protected] Estructura y descripción del sistema de datos personales Nombre del Sistema: REGISTRO DE FORMADORES Finalidad CONTAR CON UN CATÁLOGO DE PROFESIONALES CAPACITADOS POR EL INCA RURAL QUE FACILITAN EL APRENDIZAJE DE PRESTADORES DE SERVICIOS PROFESIONALES DE MANERA PRESENCIAL A TRAVÉS DE TALLERES DE FORMACIÓN 30/05/2005 Fecha de creación: 16/06/06 Fecha de registro: Fecha de última modificación: 16/06/06 NUEVO Estatus: Denominación Genérica REGISTROS-IDENTIFICACIÓN Categoría del SDP: DOCUMENTACIÓN PERSONAL Subcategoría del SDP Universo (o Grupos Afectados): FÍSICO Y AUTOMATIZADO Clasificación del SDP Tipos de datos personales Página 8 de 15 Tránsito y movimientos migratorios Información migratoria de las personas Datos Académicos Trayectoria educativa Títulos Reconocimientos Datos de Salud Estado de salud Incapacidades médicas Datos de Identificación Nombre Domicilio Teléfono particular Teléfono celular particular Correo electrónico Estado civil Firma Datos Laborales Documentos de reclutamiento y selección Documentos de nombramiento Documentos de incidencia Documentos de capacitación Puesto Domicilio de trabajo Correo electrónico institucional Datos de Identificación RFC CURP Cartilla militar Lugar de nacimiento Fecha de nacimiento Nacionalidad Teléfono institucional Actividades extracurriculares Trabajo actual Trabajos anteriores Nombres de familiares, dependientes y beneficiarios Fotografía Normatividad 4) REGISTRO DE PARTICIPANTES EN EVENTOS Página 9 de 15 Datos del Responsable Unidad Administrativa: Nombre: Cargo: Teléfono: Correo: Funciones: DIRECCIÓN GENERAL ADJUNTA DE PROMOCION Y OPRACIÓN MARTHA CRISTINA ESCALANTE ESCOFFIE DIRECTORA GENERAL ADJUNTA 5999-4300 [email protected] Datos del Encargado Unidad Administrativa: Nombre: Cargo: Teléfono: Correo: Funciones: DEPARTAMENTO DE SUPERVISIÓN MARCO ANTONIO POZOS MORALES JEFE DE DEPARTAMENTO 5999-4300 [email protected] Datos del Usuario Unidad Administrativa: Nombre: Cargo: Teléfono: Correo: Funciones: DEPARTAMENTO DE SUPERVISIÓN MARCO ANTONIO POZOS MORALES JEFE DE DEPARTAMENTO 5999-4300 [email protected] Estructura y descripción del sistema de datos personales Nombre del Sistema: REGISTRO DE PARTICIPANTES EN LOS EVENTOS Finalidad CONTAR CON UN DIRECTORIO DE PARTICIPANTES DE LOS EVENTOS QUE ORGANIZA EL INCA RURAL. Fecha de creación: Fecha de registro: Fecha de última modificación: Estatus: Denominación Genérica Categoría del SDP: Subcategoría del SDP 22/02/2006 26/09/06 26/09/2006 NUEVO REGISTROS-IDENTIFICACIÓN DOCUMENTACIÓN PERSONAL Página 10 de 15 Universo (o Grupos Afectados): FÍSICO Y AUTOMATIZADO Clasificación del SDP Tipos de datos personales Tránsito y movimientos migratorios Información migratoria de las personas Datos Académicos Trayectoria educativa Títulos Reconocimientos Datos de Salud Estado de salud Incapacidades médicas Datos de Identificación Nombre Domicilio Teléfono particular Teléfono celular particular Correo electrónico Estado civil Firma Datos Laborales Documentos de reclutamiento y selección Documentos de nombramiento Documentos de incidencia Documentos de capacitación Puesto Domicilio de trabajo Correo electrónico institucional Datos de Identificación RFC CURP Cartilla militar Lugar de nacimiento Fecha de nacimiento Nacionalidad Teléfono institucional Actividades extracurriculares Trabajo actual Trabajos anteriores Nombres de familiares, dependientes y beneficiarios Fotografía Normatividad Página 11 de 15 III. FUNCIONES Y OBLIGACIONES DE LOS SERVIDORES PÚBLICOS AUTORIZADOS PARA ACCEDER, MANEJAR Y CUSTODIAR LOS DATOS PERSONALES (ENCARGADO) Funciones: ♦ ♦ ♦ ♦ ♦ Verificar que el sistema de datos personales se encuentre completo y sin alteraciones. Llevar un registro de los servidores públicos, que previa autorización, acceden al sistema de datos personales. Actualizar trimestralmente la relación de usuarios que acceden al sistema de datos personales. Informar al responsable sobre transmisiones parciales o totales del sistema de datos personales y llevar el registro. Informar al responsable del sistema de datos personales sobre los incidentes que ocurran y llevar el registro. Obligaciones: ♦ Proponer mecanismos para asegurar que los datos personales en posesión de la unidad administrativa, en el ejercicio de sus facultades, no se difundan, distribuyan o comercialicen. ♦ Garantizar la seguridad de los datos personales y evitar su alteración, pérdida, transmisión y acceso no autorizado. IV. MEDIDAS DE SEGURIDAD PARA GARANTIZAR LA PROTECCIÓN DE LOS SISTEMAS DE DATOS PERSONALES EN FORMA FÍSICA A) PROCEDIMIENTO BÁSICO PARA DESIGNAR Y/O DAR DE BAJA AL RESPONSABLE Y USUARIOS QUE ACCEDAN AL SISTEMA DE DATOS PERSONALES 1) El titular de la unidad administrativa (responsable), mediante oficio, designará al servidor público encargado manejar y custodiar el sistema de datos personales, en el ejercicio de sus funciones. 2) El encargado designará como usuarios a los servidores públicos que, en el ejercicio de sus funciones, tengan acceso para consultar el sistema de datos personales. El oficio contendrá los elementos para fundar y motivar el acceso del servidor público al sistema de datos personales. Asimismo asignará una clave de usuario que se integrará con las siglas de la unidad administrativa y del sistema de datos personales, el ejercicio fiscal del que se trate y el número consecutivo de usuario. Dicha designación deberá actualizarse trimestralmente. 3) El titular de la unidad administrativa, mediante oficio, comunicará al encargado y/o usuarios que han sido dados para acceder al sistema de datos personales. Página 12 de 15 4) El encargado y los usuarios del sistema de datos personales suscribirán una carta compromiso, mediante la cual dichos servidores públicos se comprometen a realizar su trabajo en estricta observancia de las disposiciones en materia de protección de datos personales, con el propósito de garantizar al ciudadano la custodia de sus datos personales. B) ACTUALIZACIÓN O MODIFICACIÓN DE LA INFORMACIÓN CONTENIDA EN EL SISTEMA DE DATOS PERSONALES 1) El encargado del sistema de datos personales llevará una bitácora en la que se registre la actualización o modificación del sistema de datos personales. Dicha bitácora contendrá los siguientes elementos: ♦ ♦ Fecha de actualización y/o modificación Tipo de registro del sistema de datos personales (impreso, manual, sonoro, magnético, visual u holográfico), ♦ Número de piezas que se adicionan al sistema de datos personales (ejemplo: número de fojas, número de discos magnéticos o número de casetes) ♦ Nombre y firma del encargado 2) El encargado elaborará trimestralmente un reporte que contenga el número de actualizaciones por mes del sistema de datos personales, el tipo de registro del sistema de datos personales y el número total de piezas que contenga el sistema de datos personales. Dicho reporte lo someterá a consideración del responsable dentro de los 10 primeros días hábiles a que haya concluido el trimestre. C) BITÁCORA DE LAS ACCIONES REALIZADAS EN EL SISTEMA DE DATOS PERSONALES 1) El encargado del sistema de datos personales llevará una bitácora en la que se registren los accesos de los usuarios al sistema de datos personales. La bitácora contendrá los siguientes elementos: D) ♦ ♦ ♦ ♦ ♦ Nombre del sistema de datos personales al que accede Fecha y hora de acceso Nombre del usuario y cargo ♦ ♦ ♦ ♦ Acción u operación que llevó a cabo en el sistema de datos personales Rúbrica del usuario Fecha y hora en que concluyó la consulta del sistema de datos personales. Rúbrica del usuario Clave del usuario Número del oficio expedido por el responsable que autorizó el acceso como usuario PROCEDIMIENTO BÁSICO DE NOTIFICACIÓN, GESTIÓN Y REPUESTA ANTE INCIDENTES Página 13 de 15 Cuando se presente un incidente, es decir el robo o extravío de los datos personales en posesión de una unidad administrativa o una incursión por una persona no autorizada al sistema de datos personales, se llevará a cabo el siguiente procedimiento: 1) El encargado del sistema de datos personales emitirá un reporte de los hechos al responsable del sistema de datos personales, con copia al Titular del INCA Rural y del Órgano Interno de Control. 2) En caso de comprobarse el robo o extravío de datos personales o una incursión al sistema de datos personales por una persona no autorizada, el INCA Rural, realizará la denuncia penal y/o administrativa, a no más de cinco días naturales de haber ocurrido el incidente. 3) En caso de comprobarse el robo o extravío de datos personales o una incursión al sistema de datos personales, el responsable del sistema de los datos personales notificará por escrito, al titular de éstos, sobre el incidente y solicitará al afectado tomar las precauciones para enfrentar el uso ilegal de su identidad. 4) El responsable registrará en una bitácora los incidentes que se presenten, así como la resolución que se tomó para subsanarlos. E) PROCEDIMIENTO BÁSICO PARA CANCELAR UN SISTEMA DE DATOS PERSONALES El décimo quinto de los Lineamientos establece que los datos personales que hayan sido objeto de tratamiento y no contengan valores históricos, científicos, estadísticos o contables, deberán ser dados de baja, considerando los siguientes plazos: 1) 2) 3) El que se haya establecido en el formato físico o electrónico por el cual se recabaron. El establecido por las disposiciones aplicables. El establecido en los convenios formalizados entre una persona y el órgano desconcentrado. El encargado del sistema de datos personales llevará a cabo el siguiente procedimiento para cancelar un sistema de datos personales: 1) 2) 3) Elaborará un dictamen en el cual justifique la cancelación del sistema de datos personales. Dicho dictamen lo someterá a consideración del responsable del sistema de datos personales. El responsable del sistema de datos personales determinará la cancelación del sistema de datos personales. En caso de que el responsable determine la procedencia de cancelación del sistema de datos personales, el encargado del sistema de datos personales solicitará a la Coordinación de Archivos del INCA Rural requiera al Archivo General de la Nación el dictamen del destino final del sistema de datos personales. Página 14 de 15 V. MEDIDAS DE SEGURIDAD PARA GARANTIZAR LA PROTECCIÓN DE LOS SISTEMAS DE DATOS PERSONALES EN FORMA AUTOMATIZADA El INCA Rural utiliza y custodia datos personales en las áreas de Evaluación y Acreditación, Promoción y Operación y Planeación y Administración El acceso a los equipos en los que se alojan las bases de datos está restringido, mediante claves de acceso, al personal que captura y utiliza operativamente tales datos (Nómina, Control de Formadores, Evaluadores y Prestadores de Servicios Profesionales). Adicionalmente y cuando los datos personales se transfieren a documentos de trabajo en Excel, dichos archivos son protegidos mediante el establecimiento de claves confidenciales que son conocidas sólo por el personal que los elabora y por los mandos medios y superiores que consultan dicha información. VI. MEDIDAS DE SEGURIDAD PARA GARANTIZAR LA PROTECCIÓN DE DATOS PERSONALES EN SOFTWARES El acceso a todos los softwares que manejan información estadística, presupuestal, contable y personal cuentan con claves de acceso confidenciales, que se otorgan de acuerdo a las facultades operativas de los diferentes mandos medios y superiores del INCA Rural.) Página 15 de 15