Publicación de acuerdo de creación en GODF Con fundamento en los artículos 6 y 133 de la Constitución Política de los Estados Unidos Mexicanos; primer párrafo del 63 de la Ley de Transparencia y Acceso a la Información Pública del Distrito Federal; 6, 7, 8 y 9 de la Ley Protección de Datos Personales para el Distrito Federal, en relación con el artículo __, fracción __ del Reglamento Interior _______________________________________________________; numeral 7 del Capítulo I del Título Segundo de los Lineamientos para la Protección de Datos Personales en el Distrito Federal; y atendiendo a los principios de seguridad, licitud, calidad, confidencialidad, consentimiento, temporalidad y certeza de los datos personales en poder del Instituto de Acceso a la Información Pública del Distrito Federal, se determina la creación del siguiente:
SISTEMA DE DATOS PERSONALES DE LOS RECURSOS HUMANOS DEL INSTITUTO DE ACCESO A LA INFORMACIÓN PÚBLICA DEL DISTRITO FEDERAL
Fundamentación para crear el sistema Nombre del sistema
I. Finalidad y uso previsto (Ejemplo: La finalidad es la integración de expedientes personales de cada uno de los empleados y/o prestadores de Servicios Profesionales que laboran en el Instituto de Acceso a la Información Pública del Distrito Federal, así como la administración de la nómina, prestaciones y movimientos del personal)
II. Normatividad aplicable Constitución Política de los Estados Unidos Mexicanos Ley de Protección de Datos Personales para el Distrito Federal Ley de Transparencia y Acceso a la Información Pública del Distrito Federal Ley de Archivos del Distrito Federal; Demás normatividad específica
La finalidad debe estar asociada al nombre del sistema No copiar normateca del GDF, sólo la que se utiliza para el sistema en especial Publicación de acuerdo de creación en GODF
IV. Cesión de datos (Ejemplo: Banco, IMSSS, FOVISSSTE, ISSSTE, compañías de seguros)
V. Unidad Administrativa y responsable del sistema Unidad administrativa: (Nombre del área) Cargo del responsable: (Cargo)
VI. Unidad Administrativa ante la cual se presentarán solicitudes para ejercer derechos de acceso, rectificación, cancelación, oposición de datos personales, así como la revocación del consentimiento Dirección de Oficina de Información Pública
VII. Nivel de seguridad Nivel Alto
Publicación de acuerdo de creación en GODF
Verificar que cumpla con la normatividad Ley de Protección de Datos Personales para el Distrito Federal Artículo 6.- Corresponde a cada ente público determinar, a través de su titular o, en su caso, del órgano competente, la creación, modificación o supresión de sistemas de datos personales, conforme a su respectivo ámbito de competencia. Artículo 7.- La integración, tratamiento y tutela de los sistemas de datos personales se regirán por las disposiciones siguientes: I. Cada ente público deberá publicar en la Gaceta Oficial del Distrito Federal la creación, modificación o supresión de su sistema de datos personales; II. En caso de creación o modificación de sistemas de datos personales, se deberá indicar por lo menos:a) La finalidad del sistema de datos personales y los usos previstos para el mismo; b) Las personas o grupos de personas sobre los que se pretenda obtener datos de carácter personal o que resulten obligados a suministrarlosc) El procedimiento de recolección de los datos de carácter personal;d) La estructura básica del sistema de datos personales y la descripción de los tipos de datos incluidos en el mismo; e) De la cesión de las que pueden ser objeto los datos f) Las instancias responsables del tratamiento del sistema de datos personales; g) La unidad administrativa ante la que podrán ejercitarse los derechos de acceso, rectificación, cancelación u oposición; y h) El nivel de protección exigible III. En las disposiciones que se dicten para la supresión de los sistemas de datos personales, se establecerá el destino de los datos contenidos en los mismos o, en su caso, las previsiones que se adopten para su destrucción. IV: De la destrucción de los datos personales podrán ser excluidos aquellos que, con finalidades estadísticas o históricas, sean previamente sometidos al procedimiento de disociación
Verificar que cumpla con la normatividad Lineamientos para la protección de datos personales en el Distrito Federal 6. La creación, modificación o supresión de los sistemas de datos personales de los entes públicos sólo podrá efectuarse mediante acuerdo emitido por el titular del ente, o, en su caso, del órgano competente, publicado en la Gaceta Oficial del Distrito Federal 7. El acuerdo de creación de sistemas de datos personales deberá contener: I. La identificación del sistema de datos personales, indicando su denominación y normativa aplicable, así como la descripción de la finalidad y usos previstos; II. El origen de los datos, indicando el colectivo de personas sobre las que se pretende obtener datos de carácter personal, o que resulten obligados a suministrarlos; su procedencia (propio interesado, representante, ente público, etcétera) así como el procedimiento de obtención de los mismos (formulario, Internet, transmisión electrónica, etcétera); III. La estructura básica del sistema de datos personales mediante la descripción detallada de los datos identificativos que contiene y, en su caso, de los datos especialmente protegidos, así como las restantes categorías de datos de carácter personal, incluidas en el mismo y el modo de tratamiento utilizado en su organización (manual o automatizado). En su caso, señalar los datos de carácter obligatorio y facultativo; IV. Las cesiones de datos que se tengan previstas, indicando, en su caso, los destinatarios o categorías de destinatarios; V. La identificación de la unidad administrativa a la que corresponde el sistema de datos personales, así como del cargo del responsable; VI. Domicilio oficial y dirección electrónica de la Oficina de Información Pública ante la cual se presentarán las solicitudes para ejercer los derechos de acceso, rectificación, cancelación y oposición, así como la revocación del consentimiento; e VII. Indicación del nivel de seguridad que resulte aplicable: básico, medio o alto.
Preguntas de validación ¿El sistema fue creado mediante publicación en la Gaceta Oficial del Distrito Federal? ¿ El Acuerdo indica la denominación del sistema? ¿El Acuerdo indica la normatividad aplicable.? ¿El Acuerdo establece el origen de los datos, indicando el colectivo de personas sobre las que se obtienen datos de carácter personal, o resulten obligados a suministrarlos? ¿El Acuerdo establece la procedencia de los datos personales (interesado, representante, ente público, etcétera)? ¿ El Acuerdo establece el procedimiento de obtención de los datos personales (especifica si es obtenido mediante formulario, Internet, transmisión electrónica, etcétera)? ¿ El Acuerdo establece la descripción detallada de los datos identificativos que contiene? ¿El Acuerdo establece la descripción detallada de los datos especialmente protegidos (Sólo aplica si contiene datos sensibles). ¿ El Acuerdo establece la descripción detallada de las categorías de los datos que contiene.? ¿ El Acuerdo, en su caso, señala los datos de carácter obligatorio y facultativo? ¿ El Acuerdo establece la estructura básica del sistema de datos personales, mediante la descripción del modo de tratamiento utilizado en su organización (manual, automatizado o mixto)?
Preguntas de validación ¿ En el Acuerdo se establecen las cesiones de datos previstas, indicando en su caso los destinatarios o sus categorías? ¿ El Acuerdo identifica la unidad administrativa a la que corresponde el sistema de datos personales? ¿ El Acuerdo identifica el cargo del responsable del sistema.? ¿ El cargo del responsable corresponde al del titular de la unidad administrativa que resguarda el sistema de datos personales.? ¿ En el acuerdo se identifica el domicilio de la Oficina de Información Pública ante la cual se presentarán las solicitudes para el ejercicio de los derechos de acceso, rectificación, cancelación y oposición, así como la revocación del consentimiento? ¿ En el Acuerdo se incluye la dirección electrónica de la Oficina de Información Pública para la presentación de solicitudes en el ejercicio de los derechos de acceso, rectificación, cancelación y oposición, así como la revocación del consentimiento? ¿ El Acuerdo establece el nivel de seguridad que resulte aplicable al sistema de datos: básico, medio o alto? ¿ El Acuerdo de creación o modificación de sistemas fue publicado dentro del plazo establecido de 15 días hábiles, previos a la recopilación de los datos personales? ¿ El Acuerdo de creación del sistema de datos personales se notificó al Instituto.? ¿En el Acuerdo de creación del sistema notificado al Instituto se incluye la fecha de publicación en la GODF.?
Identificación de sistemas Sub Los sistemas registrados cumplen con la totalidad de las atribuciones del ente público. Los sistemas registrados se encuentran duplicados. Existen sistemas registrados que son improcedentes a las atribuciones del ente público. Existen posibles sistemas de datos personales, que establece la normativa del ente público y no está registrado.
100 % sistemas registrados
Durante la recolección de los datos
Al momento de recolectar los datos Deber de Información Artículo 9.- Cuando los entes públicos recaben datos personales deberán informar previamente a los interesados de forma expresa, precisa e inequívoca lo siguiente:
De la existencia de un sistema de datos personales, del tratamiento de datos personales, de la finalidad de la obtención de éstos y de los destinatarios de la información;
Del carácter obligatorio o facultativo de responder a las preguntas que les sean planteadas;
De las consecuencias de la obtención de los datos personales, de la negativa a suministrarlos o de la inexactitud de los mismos;
De la posibilidad para que estos datos sean difundidos, en cuyo caso deberá constar el consentimiento expreso del interesado, salvo cuando se trate de datos personales que por disposición de una Ley sean considerados públicos;
De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición; y
Del nombre del responsable del sistema de datos personales y en su caso de los destinatarios.
Cuando se utilicen cuestionarios u otros impresos para la obtención de los datos, figurarán en los mismos, en forma claramente legible, las advertencias a que se refiere el presente artículo.
En caso de que los datos de carácter personal no hayan sido obtenidos del interesado, éste deberá ser informado de manera expresa, precisa e inequívoca, por el responsable del sistema de datos personales, dentro de los tres meses siguientes al momento del registro de los datos, salvo que ya hubiera sido informado con anterioridad de lo previsto en las fracciones I, IV y V del presente artículo.
Se exceptúa de lo previsto en el presente artículo cuando alguna ley expresamente así lo estipule. Tampoco regirá lo dispuesto en el presente artículo cuando los datos personales procedan de fuentes accesibles al público en general.
De la posibilidad de que datos sean difundidos, en cuyo caso deberá constar el consentimiento expreso del interesado, salvo cuando se trate de datos personales que por disposición de una Ley sean considerados públicos;
De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición;
Del nombre del responsable del sistema de datos personales y en su caso de los destinatarios.
Al momento de recolectar los datos Deber de Información
Preguntas de validación ¿El formato con el que se recaban datos personales incluye la leyenda informativa diseñada para cumplir con el deber de información?
¿En la leyenda se menciona, de manera clara y por su nombre, la existencia de un sistema de datos personales donde serán concentrados los datos entregados por el titular?
¿Como parte de la leyenda se menciona la finalidad que justifica la recolección de los datos personales. La finalidad coincide con la del sistema descrito en el Registro Electrónico de Sistemas de Datos Personales?
¿En la leyenda se menciona, de manera clara y por su nombre, la existencia de destinatarios y las razones por las cuales se realizarán cesiones de los datos?
¿El formato establece, mediante un asterisco y de forma clara, en cuáles preguntas la respuesta es obligatoria o facultativa?
¿En la leyenda o el formato se advierte de las consecuencias de la negativa a suministrar datos personales, obligatorios para cumplir con la atribución que provoca el sistema?
¿En la leyenda o el formato se advierte sobre la posibilidad de que los datos suministrados sean difundidos?
¿En casos específicos, se solicita el consentimiento expreso del interesado para difundir los datos?
¿En la leyenda se informa al titular de los datos sobre la capacidad que tiene de ejercer los derechos de acceso, rectificación, cancelación y oposición?
¿En la leyenda se establece el nombre completo del responsable del sistema de datos personales en donde quedarán inscritos los datos que el titular suministra?
¿Al recabar datos personales, se informa al titular de los datos sobre su derecho a no proporcionar datos de tipo sensible?
¿Establece el interés general, o se funda y motiva la razón para el tratamiento de datos de tipo sensible?
¿En los casos en que los datos personales sean utilizados con fines estadísticos o históricos, la captura de los datos se realiza de tal forma que pueden ser disociados?
Preguntas de validación
Durante el tratamiento de los datos
En cuanto al tratamiento de los datos personales
Decidir sobre la finalidad, contenido y uso del tratamiento del sistema de datos personales (artículo 22, LPDPDF). Modificar los sistemas de datos personales; Actualizar la información en el RESDP; Suprimir los sistemas de datos personales una vez concluidos sus plazos legales de conservación (artículo 19, LPDPDF);
Asegurar niveles de protección y seguridad Obligaciones de los Entes Públicos
Medidas de Seguridad Las medidas de seguridad se dividen en técnica y organizativa para garantizar la confidencialidad, frente a su:
Alteración. Pérdida. Transmisión. Y acceso no autorizado.
Tipos de Seguridad: Física: toda medida orientada a la protección de instalaciones equipos, soportes o sistemas de datos para la prevención de riesgos por caso fortuito o causas de fuerza mayor. Lógica: Permiten la identificación y autentificación de las personas o usuarios autorizados para el tratamiento de los datos personales de acuerdo con su función. Desarrollo y aplicaciones: Corresponde a las autorizaciones con las que deberá contar la creación o tratamiento de datos personales, según su importancia, previniendo la participación de usuarios, la separación de entornos, la metodología. Cifrado: implementación de algoritmos, claves contraseñas, así como dispositivos concretos de protección que garanticen la integridad y confidencialidad de la información. Comunicaciones y redes: Restricciones preventivas y/o de riesgo que deberá observar los usuarios de datos o sistemas de datos personales para acceder a dominios o cargar programas autorizados, así como para el manejo de telecomunicaciones.
Personas involucradas en materia de DP
Enlace: Servidor público que fungirá como vínculo entre el ente público y el Instituto para atender los asuntos relativos a la Ley de la materia.
Responsable: El servidor público de la unidad administrativa a la que se encuentre adscrito el sistema de datos personales, designado por el titular del ente público, que decide sobre el tratamiento de datos personales, así como el contenido y finalidad de los sistemas de datos personales.
Responsable de seguridad: persona a la que el responsable del sistema de datos personales asigna formalmente la función de coordinar y controlar las medidas de seguridad aplicables así como también se puede separar del área tecnológica.
Encargado: Servidor público que en ejercicio de sus atribuciones, realiza tratamiento de datos personales de forma cotidiana.
Usuario: Persona física o moral externa autorizada para prestarle servicios sobre el tratamiento de datos personales .
Elementos a considerar en la designación de Responsables Se establece un organigrama de jerarquía, debido a la responsabilidad que tiene cada funcionario público sobre el tratamiento de los sistemas de datos personales.
En este caso el enlace coordina a todos los responsables de los sistemas de datos personales, y estos a su vez a los encargados del tratamiento cotidiano de los sistemas de datos personales.
El responsable deberá inscribir en el Registro de Sistema de Datos Personales (Artículo 8) Nombre y cargo del responsable y usuarios.
La identificación del sistema.
El origen de los datos.
La estructura básica del sistema.
Las cesiones previstas, indicando destinatarios o categorías de destinatarios.
La unidad administrativa a la que está adscrito el sistema y cargo del responsable.
Domicilio oficial y dirección electrónica de la OIP ante la cual se presentarán las solicitudes para ejercer derechos ARCO así como la revocación del consentimiento.
Indicación del nivel de seguridad aplicable: básico, medio o alto.
Página anterior | Volver al principio del trabajo | Página siguiente |