Normatividad

También conocido como el derecho de información al interesado, se refiere a que los Entes Públicos, al momento de recabar datos personales, deberán informar previamente a los interesados de forma expresa, precisa e inequívoca lo siguiente:

  • De la existencia de un sistema de datos personales, del tratamiento de datos personales, de la finalidad de la obtención de éstos y de los destinatarios de la información;
  • Del carácter obligatorio o facultativo de responder a las preguntas que les sean planteadas;
  • De las consecuencias de la obtención de los datos personales, de la negativa a suministrarlos o de la inexactitud de los mismos;
  • De la posibilidad para que estos datos sean difundidos, en cuyo caso deberá constar el consentimiento expreso del interesado, salvo cuando se trate de datos personales que por disposición de una Ley sean considerados públicos.
  • De la posibilidad de ejercitar los derechos ARCO;
  • Del nombre del responsable del sistema de datos personales y en su caso de los destinatarios.


Cuando se utilicen cuestionarios u otros impresos para la obtención de los datos, figurarán en los mismos, en forma claramente legible, las advertencias ya señaladas.


En caso de que los datos de carácter personal no hayan sido obtenidos del interesado, éste deberá ser informado de manera expresa, precisa e inequívoca, por el responsable del sistema de datos personales, dentro de los 3 meses siguientes al momento del registro de los datos.


Para el cumplimiento de esta obligación, el INFODF emitió un acuerdo por medio del cual aprobó la leyenda que deben utilizar los Entes Públicos para informar a los interesados de estas advertencias:


"Los datos personales recabados serán protegidos, incorporados y tratados en el Sistema de Datos Personales (nombre del sistema de datos personales), el cual tiene su fundamento en (fundamento legal que faculta al Ente público para recabar los datos personales), cuya finalidad es (describir la finalidad del sistema) y podrán ser transmitidos a (destinatario y finalidad de la transmisión), además de otras transmisiones previstas en la Ley de Protección de Datos Personales para el Distrito Federal.

Los datos marcados con un asterisco (*) son obligatorios y sin ellos no podrá acceder al servicio o completar el trámite (indicar el servicio o trámite de que se trate).

Asimismo, se le informa que sus datos no podrán ser difundidos sin su consentimiento expreso, salvo las excepciones previstas en la Ley.

El responsable del Sistema de datos personales es (nombre del responsable), y la dirección donde podrá ejercer los derechos de acceso, rectificación, cancelación y oposición, así como la revocación del consentimiento es (indicar el domicilio de la Oficina de Información Pública correspondiente).

El interesado podrá dirigirse al Instituto de Transparencia, Acceso a la Información Pública, Protección de Datos Personales y Rendición de Cuentas de la Ciudad de México, donde recibirá asesoría sobre los derechos que tutela la Ley de Protección de Datos Personales para el Distrito Federal al teléfono: 5636-4636; correo electrónico: Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo. o www.infodf.org.mx."

El tratamiento de datos se refiere a cualquier operación o conjunto de operaciones que se realicen con los datos personales de una persona, a través de procedimientos automatizados o físicos, que va desde la obtención, registro, organización, conservación, utilización, cesión, difusión, interconexión, hasta la rectificación, cancelación u oposición de sus datos.


Este tratamiento requerirá el consentimiento inequívoco, expreso y por escrito del interesado, salvo en los casos y excepciones siguientes:

  • Cuando se recaben para el ejercicio de las atribuciones legales conferidas a los entes públicos;
  • Cuando exista una orden judicial;
  • Cuando se refieran a las partes de un convenio de una relación de negocios, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento;
  • Cuando el interesado no esté en posibilidad de otorgar su consentimiento por motivos de salud y el tratamiento de sus datos resulte necesario para la prevención o para el diagnóstico médico, la prestación o gestión de asistencia sanitaria o tratamientos médicos, siempre que dicho tratamiento de datos se realice por una persona sujeta al secreto profesional u obligación equivalente;
  • Cuando la transmisión se encuentre expresamente prevista en una ley;
  • Cuando la transmisión se produzca entre organismos gubernamentales y tenga por objeto el tratamiento posterior de los datos con fines históricos, estadísticos o científicos;
  • Cuando se den a conocer a terceros para la prestación de un servicio que responda al tratamiento de datos personales, mediante la libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control implique necesariamente que la comunicación de los datos será legítima en cuanto se limite a la finalidad que la justifique;
  • Cuando se trate de datos personales relativos a la salud, y sea necesario por razones de salud pública, de emergencia, o para la realización de estudios epidemiológicos;
  • Cuando los datos figuren en registros públicos en general y su tratamiento sea necesario siempre que no se vulneren los derechos y libertades fundamentales del interesado.


Los sistemas de datos personales que hayan sido objeto de tratamiento, deberán ser suprimidos una vez que concluyan los plazos de conservación establecidos por las disposiciones aplicables, o cuando dejen de ser necesarios para los fines por los cuales fueron recabados.

Los Entes Públicos establecerán las medidas de seguridad técnica y organizativa para garantizar la confidencialidad e integralidad de cada sistema de datos personales que posean, con la finalidad de preservar el pleno ejercicio de los derechos tutelados en la LPDPDF, frente a su alteración, pérdida, transmisión y acceso no autorizado.


Dichas medidas deben adoptarse en relación con el menor o mayor grado de protección que ameriten los datos personales y deberán constar por escrito y comunicados al INFODF a través de su registro.


Tipos de seguridad:


Física

Se refiere a toda medida orientada a la protección de instalaciones, equipos, soportes o sistemas de datos para la prevención de riesgos por caso fortuito o causas de fuerza mayor;


Lógica

Se refiere a las medidas de protección que permiten la identificación y autentificación de las personas o usuarios autorizados para el tratamiento de los datos personales de acuerdo con su función;


De desarrollo y aplicaciones

Corresponde a las autorizaciones con las que deberá contar la creación o tratamiento de sistemas de datos personales, según su importancia, para garantizar el adecuado desarrollo y uso de los datos, previendo la participación de usuarios, la separación de entornos, la metodología a seguir, ciclos de vida y gestión, así como las consideraciones especiales respecto de aplicaciones y pruebas;


De cifrado

Consiste en la implementación de algoritmos, claves, contraseñas, así como dispositivos concretos de protección que garanticen la integralidad y confidencialidad de la información;


De comunicaciones y redes

Se refiere a las restricciones preventivas y/o de riesgos que deberán observar los usuarios de datos o sistemas de datos personales para acceder a dominios o cargar programas autorizados, así como para el manejo de telecomunicaciones.



Niveles de seguridad


Básico

Es el relativo a las medidas generales de seguridad cuya aplicación es obligatoria para todos los sistemas de datos personales. Dichas medidas corresponden a los siguientes aspectos:

  • Documento de seguridad;
  • Funciones y obligaciones del personal que intervenga en el tratamiento de los sistemas de datos personales;
  • Registro de incidencias;
  • Identificación y autentificación;
  • Control de acceso;
  • Gestión de soportes;
  • Copias de respaldo y recuperación.


Medio

Corresponde a aquellos sistemas de datos relativos a la comisión de infracciones administrativas o penales, hacienda pública, servicios financieros, datos patrimoniales, así como a los sistemas que contengan datos de carácter personal suficientes que permitan obtener una evaluación de la personalidad del individuo. Este nivel de seguridad, de manera adicional a las medidas calificadas como básicas, considera los siguientes aspectos:

  • Responsable de seguridad;
  • Auditoría;
  • Control de acceso físico;
  • Pruebas con datos reales.


Alto

Aplica a sistemas de datos concernientes a la ideología, religión, creencias, afiliación política, origen racial o étnico, salud, biométricos, genéticos o vida sexual, así como los que contengan datos recabados para fines policiales, de seguridad, prevención, investigación y persecución de delitos. Los sistemas de datos a los que corresponde adoptar este nivel, además de incorporar las medidas de nivel básico y medio, deberán completar las que se detallan a continuación:

  • Distribución de soportes;
  • Registro de acceso;
  • Telecomunicaciones.