Normatividad

El Responsable deberá informar al titular de los datos sobre las características principales del tratamiento, la finalidad y cualquier cambio del estado relacionados con sus datos personales.


El responsable deberá informar al titular, a través del aviso de privacidad, la existencia y características principales del tratamiento previo a que sus datos personales sean sometidos a tratamiento, a fin de que pueda tomar decisiones informadas al respecto.


Por regla general, el aviso de privacidad deberá ser puesto a disposición del titular previo a la obtención y recabación de los datos personales y difundido por los medios electrónicos y físicos con que cuente el responsable.


Para que el aviso de privacidad cumpla de manera eficiente con su función de informar, deberá estar redactado y estructurado de manera clara, sencilla y comprensible.


Cuando resulte imposible dar a conocer al titular el aviso de privacidad, de manera directa o ello exija esfuerzos desproporcionados, el responsable podrá instrumentar medidas compensatorias de comunicación masiva de acuerdo con los criterios establecidos para tal efecto.


El aviso debe comprender:


  • La identificación del responsable y la ubicación de su domicilio;
  • El fundamento legal que faculta al responsable para llevar a cabo el tratamiento;
  • Los datos personales que serán sometidos a tratamiento, así como de la existencia de un sistema de datos personales;
  • Las finalidades del tratamiento para las cuales se recaban los datos personales, el ciclo de vida de los mismos, la revocación del consentimiento y los derechos del titular sobre éstos;
  • Los mecanismos, medios y procedimientos disponibles para ejercer los derechos Acceso, Rectificación, Cancelación y Oposición;
  • El domicilio de la Unidad de Transparencia.

El tratamiento de los datos se refiere a cualquier operación o conjunto de operaciones efectuadas sobre datos personales o conjunto de datos personales, mediante procedimientos manuales o automatizados relacionadas con la obtención, uso, registro, organización, estructuración, conservación, elaboración, utilización, comunicación, difusión, almacenamiento, posesión o cualquier otra forma de habilitación de acceso, cotejo, interconexión, manejo, aprovechamiento, divulgación, transferencia, supresión, destrucción o disposición de datos personales.


El responsable no estará obligado a recabar el consentimiento del titular para el tratamiento de sus datos personales en los siguientes casos y excepciones siguientes:


  • Cuando una ley así lo disponga o cuando se recaben para el ejercicio de las atribuciones legales conferidas a los sujetos obligados, debiendo dichos supuestos ser acordes con las bases, principios y disposiciones establecidos en esta Ley, en ningún caso, podrán contravenirla;
  • Cuando las transferencias que se realicen entre sujetos obligados se encuentre de manera expresa en una ley o tenga por objeto el tratamiento posterior de los datos con fines históricos, estadísticos o científicos;
  • Cuando exista una orden judicial;
  • Para el reconocimiento o defensa de derechos del titular ante autoridad competente;
  • Cuando se refieran a las partes de un convenio, a la relación contractual, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento;
  • Cuando los datos personales se requieran para ejercer un derecho o cumplir obligaciones derivadas de una relación jurídica entre el titular y el responsable;
  • Cuando exista una situación de emergencia que potencialmente pueda dañar a un individuo en su persona o en sus bienes;
  • Cuando el titular no esté en posibilidad de otorgar su consentimiento por motivos de salud y el tratamiento de sus datos resulte necesario para el diagnóstico médico y quien trate los datos personales esté sujeto al secreto profesional u obligación equivalente;
  • Cuando los datos personales sean necesarios para efectuar un tratamiento para la prevención, diagnóstico, o la prestación de asistencia sanitaria;
  • Cuando los datos personales se sometan a un procedimiento previo de disociación;
  • Cuando los datos personales figuren en registros públicos y su tratamiento sea necesario, siempre que no se vulneren los derechos y las libertades fundamentales de la persona; o
  • Cuando el titular de los datos personales sea una persona reportada como desaparecida en los términos de la ley en la materia.

Los Sujetos Obligados deberán establecer y mantener las medidas de seguridad de carácter administrativo, físico y técnico para la protección de los datos personales, para garantizar la confidencialidad, integralidad y disponibilidad de cada sistema de datos personales que posean, con la finalidad de preservar el pleno ejercicio de los derechos tutelados en la LPDPPSOCDMX, frente daño, pérdida, alteración, destrucción o su uso, acceso o tratamiento no autorizado.


Dichas medidas deben adoptarse en relación con el menor o mayor grado de protección que ameriten los datos personales, para mayores garantías en la protección y resguardo de los sistemas de datos personales, únicamente se comunicarán al Instituto, para su registro, el nivel de seguridad aplicable.


Tipos de seguridad:


Administrativas

Se refiere a toda medida orientada a la protección de instalaciones, equipos, soportes o sistemas de datos para la prevención de riesgos por caso fortuito o causas de fuerza mayor;


Lógica

Políticas y procedimientos para la gestión, soporte y revisión de la seguridad de la información a nivel organizacional, la identificación, clasificación y borrado seguro de la información, así como la sensibilización y capacitación del personal, en materia de protección de datos personales;



Físicas

Conjunto de acciones y mecanismos para proteger el entorno físico de los datos personales y de los recursos involucrados en su tratamiento. De manera enunciativa más no limitativa, se consideran las siguientes actividades:


a) Prevenir el acceso no autorizado al perímetro de la organización, sus instalaciones físicas, áreas críticas, recursos e información;
b) Prevenir el daño o interferencia a las instalaciones físicas, áreas críticas de la organización, recursos e información;
c) Proteger los recursos móviles, portátiles y cualquier soporte físico o electrónico que pueda salir de la organización,
d) Proveer a los equipos que contienen o almacenan datos personales de un mantenimiento eficaz, que asegure su disponibilidad e integridad;



Técnicas

Conjunto de acciones y mecanismos que se valen de la tecnología relacionada con hardware y software para proteger el entorno digital de los datos personales y los recursos involucrados en su tratamiento. De manera enunciativa más no limitativa, se consideran las siguientes actividades:


a) Prevenir que el acceso a las bases de datos o a la información, así como a los recursos, sea por usuarios identificados y autorizados;
b) Generar un esquema de privilegios para que el usuario lleve a cabo las actividades que requiere con motivo de sus funciones;
c) Revisar la configuración de seguridad en la adquisición, operación, desarrollo y mantenimiento del software y hardware,
d) Gestionar las comunicaciones, operaciones y medios de almacenamiento de los recursos informáticos en el tratamiento de datos personales;



Niveles de seguridad


Básico

Relativas a las medidas generales de seguridad cuya aplicación será obligatoria para el tratamiento y protección de todos los sistemas de datos personales en posesión de los sujetos obligados.



Medio

Se refiere a las medidas de seguridad requeridas para aquellos sistemas de datos relativos a la comisión de infracciones administrativas o penales, hacienda pública, servicios financieros, datos patrimoniales, así como los sistemas que contengan datos con los que se permita obtener evaluación de personalidad o perfiles de cualquier tipo en el presente pasado o futuro.



Alto

Corresponde a las medidas de seguridad aplicables a sistemas de datos concernientes a ideología, religión, creencias, afiliación política, origen racial o étnico, salud, biométricos, genéticos o vida sexual, así como los que contengan datos recabados para fines policiales, de seguridad, prevención, investigación y persecución de delitos.