Taller para la elaboración de los Sistemas de Datos Personales Mtra. Irma Rodríguez Ángel Directora de Datos Personales DDP-IRA Deber Promover Respetar Proteger Garantizar seguridad Instrumentos de protección DDP-IRA Instrumentos de protección 1) Acuerdo de creación, modificación supresión de Sistemas de datos personales y Conjunto organizado de datos de carácter personal, dinámicamente relacionados, que se obtienen de personas, con el objeto de ser procesados para el cumplimiento de una finalidad determinada, para formar una actividad, cualquiera que sea su soporte, organización o acceso, vinculados de forma inseparable al ejercicio de competencias legales y a la ejecución de funciones administrativas. Implicaciones: • Determinado por titular o área correspondiente del E.P. • Publicado en G.O. E., internet o mesa o tablero • Registro en plataforma del IVAI DDP-IRA Sistemas de Datos Personales ARCHIVOS Modalidad acceso, creación, almacenamiento REGISTROS CONJUNTO ORGANIZADO FICHEROS BANCO BASES Sistemas de Datos Personales. ART. 10 LTDP • • • • • • • • • ¿Para qué? ¿De quién? ¿Cómo se obtienen? ¿Cuáles tipos de datos? ¿A quién los comparto? ¿Quién es el responsable de ellos? ¿Dónde ejerzo los derechos ARCO? ¿Cuánto tiempo los conservo? ¿Qué nivel de protección le aplica? DD PIR A Involucrados Responsable de los Sistemas de Datos Personales Responsable Sistema de Datos del Encargado del tratamiento de los datos personales Titular de la Unidad de Acceso (coordinador interno y enlace ante el IVAI) Titular-persona física de la Instancia responsable (unidad, área, departamento, oficina o nivel administrativo con capacidad jurídica de decisión) Servidor Público que realiza tratamiento cotidiano de los datos personales DDP-IRA Identificación de SDP Archivos, registros, ficheros, bases o bancos de datos personales de los entes públicos. Recopilar formatos de trámites o servicios ofrecidos por el ente público a la sociedad en general. Revisión de la normatividad interna que establezca como requisitos la inclusión o entrega de datos identificativos, electrónicos, biométricos, de salud, académicos u otros de una persona. Los sistemas de datos personales deberán reflejar el ejercicio de las funciones o atribuciones de cada ente público. DDP-IRA ¿Cómo elaboro los Sistemas de Datos Personales? ¿En qué procedimientos, función o servicio solicito o pido datos personales en cumplimiento de atribuciones legales? FORMATO DE TRAMITE O SERVICIO NORMATIVIDAD Artículo 56 LTAIP 1. Cualquier persona, directamente o a través de su representante legal, podrá ejercer su derecho de acceso a la información ante el sujeto obligado que corresponda. La solicitud se hará mediante escrito libre o en los formatos diseñados por el Instituto ante la Unidad de Acceso respectiva. Este requerimiento deberá contener: I. Nombre del solicitante, domicilio para recibir notificaciones o, en su caso, correo electrónico; II. … Artículo 55. LTDP La solicitud de acceso, rectificación, cancelación u oposición de los datos personales deberá contener, cuando menos, los requisitos siguientes: I… II. Nombre completo del titular y, en su caso, el de su representante legal; III. Descripción clara y precisa de los datos personales respecto de los que se busca ejercer alguno de los derechos antes mencionados; IV… V. El domicilio, mismo que debe encontrarse dentro de la capital del Estado, o medio electrónico para recibir notificaciones; y VI. …. TRANSITO Y TRATAMIENTO AUTORIZADO DE LOS DATOS PERSONALES Recibe DP AREA 4 AREA 7 AREA 1 UTILIZA ARCHIVA AREA 2 AREA 5 REGISTRA CREA BASE AREA 3 REVISA AREA 6 COBRA AREA 8 AREA 9 NO SIGNIFICA QUE CADA UNA TENGA CREAR UN SISTEMA A Contenido de los SDP El contenido de los sistemas de datos personales está definido por el artículo 10 de la Ley 581 y se complementan en su alcance por el dispositivo 7 de los Lineamientos para la Tutela de Datos Personales NOMBRE DEL SISTEMA: Debe aludir al procedimiento o función, y considerar la unificación de sistemas que compartan la misma finalidad OBSERVACIONES 1. 2. 3. 4. 5. El nombre o identificación del sistema no es igual al nombre del área administrativa, porque un área de acuerdo a sus atribuciones puede darle tratamiento a varios sistemas o a ninguno No se crea un sistema por cada acción que se realice con los datos personales Considerar la unificación de sistemas cuando así lo permita su operación y tratamiento Desde la identificación se debe visualizar la creación de la declarativa y el documento de seguridad El nombre es importante porque los sistemas son una herramienta para ejercitar los derechos ARCO Ejemplos de Sistemas de Datos Personales 1) 2) 3) 4) 5) 6) 7) Del Padrón Catastral De los beneficiarios del Programa de Adulto Mayor De la expedición de constancias De asistencia médica del DIF Para la expedición de la Cartilla de Servicio Militar De beneficiarios del programas asistenciales De beneficiarios de programas de Fomento agropecuario 8) Del registro de audiencias 9) De los expedientes de solicitudes de información 10) Del fichero de control de acceso a las instalaciones 11) De la declaración patrimonial Sistemas de Datos Personales del Padrón Catastral 1) Art. 72 fracción XIX. LOML. En materia de Catastro y de conformidad con los convenios que al efecto se celebren: a) Recabar la información necesaria de las autoridades, dependencias y entidades de carácter federal, estatal o municipal y de los particulares, para la formación y conservación del banco de datos; … 2) Art. 4 fracción XLII. Ley de Catastro. Padrón Catastral: Base de datos que contiene información de los predios inscritos en los Registros Catastrales (Datos gráficos, administrativos, estadísticos, legales y técnicos con que se inscribe un bien inmueble en el catastro estatal) Sistemas de Datos Personales del Padrón Catastral 3) Artículo 20. Reglamento Ley de Catastro El Registro Alfanumérico es el conjunto de datos contenidos en el padrón técnico que describen un predio, a saber:…. e) Clave Única de Registro de Población (CURP) del propietario o poseedor. y en su caso el Registro Federal de Contribuyentes por lo que hace a personas morales: f) Nombre del propietario o poseedor; g) Ubicación del predio 1. Calle; 2. Número Postal; 3. Colonia o Fraccionamiento h) Destino del predio; i) Domicilio para oír y recibir notificaciones: 1. Calle; 2. Número oficial; 3. Código postal; 4. Colonia o fraccionamiento; 5. Municipio y Estado; I.Finalidad y uso previsto (para qué recopilo DP) Finalidad: propósito legal para la recopilación de la información personal Uso previsto: empleo o destino que se le da a los datos personales obtenidos Ejemplo: La finalidad en el sistema de datos personales de solicitudes de información es verificar el cumplimiento de los requisitos que establece el artículo 56.1 de la LTAIP El uso previsto es para identificación del solicitante, notificación de la respuesta, tramite interno, entrega de la información, generación de informes o estadísticas. DDP-IRA II. Origen y grupo interesado (De quién recopilo DP) Corresponde a la procedencia o mecanismo por el que se obtienen los datos personales (propio interesado, representante, ente público, etcétera) así como la indicación de la denominación del grupo o sector del que se realice la obtención, manejo o tratamiento de los datos personales, o que resulten obligados a suministrarlos III. Personas sobre quien se obtiene datos (De quién) Ejemplo: Del interesado como solicitante de la información Ciudadanía en general DDP-IRA IV. Procedimiento de recopilación (Cómo obtengo DP) Indicar la forma o mecanismo de obtención de los datos personales (formulario, Internet, transmisión electrónica, etcétera), si son varias indicarlas todas. (NO SE TRATA DE DESCRIBIR REQUISITOS) Ejemplo: De forma física cuando el solicitante utiliza el escrito libre o formato de solicitud entregado en Oficialía de partes del Instituto, y en forma electrónica a través del correo electrónico institucional, así mismo de acuerdo al procedimiento de registro y apertura de cuenta de usuario en el Sistema Infomex-Veracruz, que permite la formulación electrónica de solicitudes de información. DDP-IRA V. Estructura Básica (Que categorías y cuáles tipos de DP) Descripción detallada de los datos que contiene cada sistema a través de las categorías que establece el dispositivo 5 de estos lineamientos, y el modo de tratamiento utilizado en su organización (manual o automatizado) DDP-IRA Estructura Básica Tipos de sistemas de datos personales (art. 4 LTDP) Categorías de personales (art. 5 LTDP) datos Físicos Automatizados 1.Identificativos 2.Electrónicos 3.Laborales 4.Patrimoniales 5.Sobre procedimientos administrativos y/o jurisdiccionales 6.Académicos 7.De tránsito y movimientos migratorios 8.Salud 9.Biométricos 10.Especialmente protegidos (sensibles) 11.Datos personales de naturaleza pública DDP-IRA VI. Cesión de la que pueden ser objeto (A quienes comparto DP) Indicar los destinatarios o categorías de destinatarios Destinatario: Persona física o moral, pública o privada, a la que un ente público proporcionará datos personales Ejemplo: Instituto Veracruzano de Acceso a la Información Si no existe ninguna cesión se deberá colocar NO APLICA DDP-IRA VII. Instancia responsable Titulares de área con capacidad de decisión Ejemplo: Área Administrativa: Unidad de Acceso a la Información Pública Cargo del responsable: Titular de la UAIP NOTA: NO COLOCAR NOMBRES DE SERVIDOR PUBLICO Y DEBE EXISTIR COMPATIBILIDAD ENTRE EL AREA Y EL CARGO. EN ALGUNAS OCASIONES SE HA DETECTADO AREA: DIRECCIÓN…. Y CARGO: SECRETARIA DE.. VIII. Unidad ante quien se ejerce derechos ARCO (Datos de UAIP) Domicilio oficial y dirección electrónica de la Unidad de Acceso a la Información Pública Ejemplo: Unidad de Acceso a la Información Pública de: ___________ Domicilio:____________________________ Teléfonos:____________________________ correo electrónico: _______________________ NOTA: ESTABLECER UN CORREO ELECTRONICO INSTITUCIONAL DDP-IRA IX. Plazo de conservación (Tiempo de resguardo de la información) Periodo o lapso de preservación de los datos personales en base a las disposiciones archivísticas aplicables a cada ente público, y vigencia documental en los archivos de trámite, concentración e histórico según su soporte (manual o automatizado) SUGERENCIA: Verificar el Catálogo de Disposición Documental NOTA: S.O. NO HAN CUMPLIDO CON ESTE INSTRUMENTO Y NO SE TRATA DE UN CALCULO POR SENTIDO COMUN CICLO DE VIDA DE DOCUMENTO ARCHIVO DE CONCENTRACIÓN Recepción o producción ARCHIVO DE TRÁMITE •Administrativo •Legal •Contable •Fiscal •Testimonial •Evidencial •Informativo NO NO Asignar tiempo de conservación ARCHIVO HISTÓRICO BAJA DOCUMENTAL CATALOGO DE DISPOSICIÓN DOCUMENTAL X. Nivel de protección Indicación del nivel de seguridad que resulte aplicable, básico, medio o alto ART. 30 LTDPV Básico. Es obligatoria para todos los sistemas de datos personales. Medio. Datos relativos a la comisión de infracciones administrativas o penales, hacienda pública, servicios financieros, datos patrimoniales, así como a los sistemas que contengan datos personales suficientes para obtener una evaluación de la personalidad del individuo. Alto. Sistemas de datos concernientes a la ideología, religión, creencias, afiliación política, origen étnico, salud, biométricos, genéticos o vida sexual, así como los que contengan datos recabados para fines policiales, de seguridad, prevención, investigación y persecución de delitos. Estructura del acuerdo El ente público debe tomar en consideración los requisitos que para la emisión de acuerdos establezca su normatividad interna, ya sea a través de su titular, o del área correspondiente conforme el ámbito de competencia, respetando los principios y garantías en materia de datos personales. Nombre del acuerdo Proemio: Descripción de artículos que facultan al ente público para emitir el acuerdo Parte considerativa: fundamentación y motivación específica Resolutivos: descripción detallada de los sistemas datos personales y las acciones para su implementación y registro Firmas de quien aprueba Anexo: Listado de los sistemas de datos personales del ente público con los requisitos del artículo 10 de la Ley 581 DDP-IRA Presentación y aprobación El artículo 10 de la Ley 581, señala que será a través del titular, o del área correspondiente, la creación, modificación o supresión de los sistemas de datos personales, conforme al ámbito de su competencia. Trabajo coordinado del titular de la Unidad de Acceso para la integración del mismo, como de los responsables o encargados de cada sistema para la aportación de información por ello es recomendable presentar el documento preliminar a la totalidad de las áreas involucradas, para su posterior aprobación en la forma y con los requisitos que establezca su normatividad interna. Aprueba Titular Órgano de gobierno Junta Directiva Órgano Colegiado Presidente Cabildo Etc. ACLARACIÓN El artículo 10 de la Ley 581, señala que será a través del titular, o del área correspondiente, la creación, modificación o supresión de los sistemas de datos personales, conforme al ámbito de su competencia, por lo que NO ES ACTIVIDAD DEL COMITÉ DE INFORMACION ACCESO RESTRINGIDO, ya que en materia de datos personales el CIAR solo se constituye como COMITÉ PARA LA SEGURIDAD INFORMATICA DE LOS DATOS PERSONALES, con el objeto de aprobar las medidas de seguridad aplicables a los sistemas. Publicación En cumplimiento al artículo 10 segundo párrafo de la Ley 581 y 6 de los Lineamientos para la Tutela de los Datos Personales, el acuerdo debe ser publicado en la Gaceta Oficial, en la página de internet institucional o en la mesa o tablero de información municipal. DDP-IRA Registro electrónico Una vez identificados y aprobado los Sistemas de Datos Personales, los entes públicos deben registrarlos en la plataforma electrónica del IVAI, con los elementos y características que define la ley. Observaciones: Los entes públicos NO entregan al IVAI, las bases o bancos de datos personales, solo la descripción del tipo de dato personal que resguardan La generación de sistemas de datos personales no implica la generación de nuevas bases de datos ni la modificación de su almacenamiento. DDP-IRA Cirilo Celis Pastrana s/n. Av. Lázaro Cárdenas, C.P. 91110, Xalapa, Ver. 01 (228) 842 02 70 ext. 406 01 800 TEL IVAI (835 4824) www.ivai.org.mx Mtra. Irma Rodríguez Ángel Directora de Datos Perosnales [email protected] DDP-IRA