Protección de Datos Personales: Conceptos Clave

Questions and Answers

Cuando los datos personales se procesan para la toma de decisiones sin intervención humana, el responsable no necesita informar al titular.

False (B)

El titular de los datos no tiene derecho a rectificar datos personales inexactos utilizados en decisiones automatizadas.

False (B)

El derecho de acceso permite al titular conocer los datos personales utilizados en la toma de decisiones automatizadas.

True (A)

La solicitud de protección de derechos puede ser presentada únicamente por el titular y no por su representante.

False (B)

La solicitud para el procedimiento de protección de derechos tiene que presentarse en un plazo específico según lo estipulado en el artículo 45 de la Ley.

True (A)

El Instituto debe poner a disposición el formato y el sistema para presentar la solicitud de protección de derechos solo en las oficinas habilitadas.

False (B)

Para acreditar la identidad al promover una solicitud de protección de derechos, el titular no puede usar medios electrónicos.

False (B)

La solicitud de protección de derechos no puede presentarse por correo certificado con acuse de recibo.

False (B)

Si el responsable no responde a la propuesta del Instituto en un plazo de cinco días, el Instituto está obligado a esperar indefinidamente antes de tomar una resolución.

False (B)

El uso de medidas compensatorias será autorizado siempre y cuando el responsable justifique plenamente la imposibilidad de dar a conocer el aviso de privacidad al titular.

False (B)

La autorización otorgada por el Instituto para el uso de una medida compensatoria permanece vigente incluso si las circunstancias bajo las cuales se autorizó han sido modificadas.

False (B)

Las medidas compensatorias de comunicación masiva deben incluir la información estipulada en el artículo 29 del reglamento.

False (B)

La publicación de avisos de privacidad en canales de televisión de paga no se considera una medida compensatoria válida.

True (A)

El principio de calidad exige que los datos personales sean exactos, completos, pertinentes, correctos y actualizados únicamente al momento de su recolección.

False (B)

Se asume que los datos personales cumplen con el principio de calidad cuando son proporcionados directamente por el titular, a menos que el responsable tenga evidencia objetiva que lo contradiga.

True (A)

Si un titular de datos personales verbalmente contradice la exactitud de sus datos previamente proporcionados, el responsable está obligado a corregirlos de inmediato.

False (B)

Un microfilm es considerado un soporte físico según las definiciones del reglamento.

False (B)

La supresión de datos personales implica la eliminación o destrucción de los mismos tras un periodo de bloqueo, siguiendo las medidas de seguridad establecidas.

True (A)

Este reglamento aplica únicamente a los datos personales que obran en soportes electrónicos.

False (B)

El reglamento no se aplica si acceder a los datos personales requiere actividades desproporcionadas.

True (A)

Los datos personales solo pueden estar expresados de forma numérica o alfabética.

False (B)

Si una empresa Mexicana contrata a un extranjero como encargado, el reglamento no sera de aplicación.

False (B)

Si una empresa no establecida en México utiliza medios ubicados en territorio mexicano para el tratamiento de datos, el reglamento siempre será aplicable sin excepción.

False (B)

Un soporte físico requiere de un aparato electrónico para acceder, modificar o almacenar datos personales.

False (B)

El responsable que transfiere datos personales debe garantizar que el receptor asuma las mismas obligaciones de protección que él, pero no necesariamente las condiciones del consentimiento original del titular.

False (B)

Los responsables nunca pueden solicitar la opinión del Instituto respecto a si las transferencias están cumpliendo lo dispuesto por la Ley, ya que es su responsabilidad asegurarse del cumplimiento sin ayuda externa.

False (B)

El Instituto y la dependencia competente deben colaborar en la emisión o modificación de regulaciones específicas sobre el tratamiento de datos personales, pero la decisión final sobre la regulación recae únicamente en la dependencia.

False (B)

La dependencia competente, al normar el tratamiento de datos personales en un sector, lo hace de manera totalmente independiente del Instituto, sin necesidad de coordinación.

False (B)

La dependencia y el Instituto tienen la potestad de definir las disposiciones que regularán el tratamiento de datos personales en un sector o actividad, cada uno dentro de sus competencias.

True (A)

Si una dependencia gubernamental advierte la necesidad de regular el tratamiento de datos personales en un sector específico, puede hacerlo unilateralmente sin la participación del Instituto.

False (B)

El Instituto puede proponer a una dependencia competente la elaboración de un anteproyecto para regular el tratamiento de datos personales en un sector específico, si considera que es necesario.

True (A)

La finalidad de la autorregulación, dentro del contexto de la protección de datos personales, persigue la imposición de sanciones económicas a las empresas que incumplan con la normativa vigente.

False (B)

De acuerdo con el artículo 17, fracción II de la Ley, si los datos personales se obtienen directamente del titular, el responsable debe proporcionar inmediatamente solo su identidad.

False (B)

El responsable está exento de proveer mecanismos para que el titular conozca el aviso de privacidad si divulga inmediatamente la información requerida al obtener los datos personales directamente.

False (B)

Según el artículo 28, si los datos personales se obtienen por medios impresos con espacio mínimo, el aviso de privacidad no necesita cumplir con los términos del artículo anterior.

False (B)

El artículo 29 establece que si los datos personales se obtienen indirectamente y se usan para una finalidad ya consentida en una transferencia, el aviso de privacidad debe darse a conocer en el primer contacto con el titular.

True (A)

Cuando se obtienen datos personales indirectamente, si el responsable pretende usar los datos para un fin diferente al que fue autorizado originalmente, debe informar sobre este cambio después de haber utilizado los datos.

False (B)

El principio de lealtad requiere que el responsable utilice los datos personales para fines distintos a los que fueron recolectados originalmente.

False (B)

Si los datos personales se obtienen de una fuente de acceso público, nunca es necesario dar a conocer el aviso de privacidad.

False (B)

El principio de proporcionalidad implica que el tratamiento de datos debe ser excesivo en relación con los fines para los cuales se obtienen.

False (B)

Según el reglamento, el 'domicilio del responsable' que se debe proporcionar al titular se refiere únicamente a la dirección física de la oficina central.

False (B)

El principio de responsabilidad exime al responsable de implementar medidas de seguridad para proteger los datos personales.

False (B)

El principio de licitud permite el tratamiento de datos personales sin apego a la legislación mexicana o el derecho internacional, siempre y cuando el responsable lo considere necesario.

False (B)

Independientemente de cómo se obtengan los datos personales, el responsable debe proporcionar al titular un aviso de privacidad completo antes de cualquier tratamiento de los datos.

False (B)

El consentimiento para el tratamiento de datos personales siempre debe ser expreso, sin excepciones.

False (B)

Un consentimiento se considera 'libre' si el titular otorga su aprobación bajo coacción o engaño.

False (B)

El consentimiento tácito es válido incluso si la ley exige expresamente el consentimiento expreso del titular.

False (B)

El aviso de privacidad es necesario solo cuando los datos personales se obtienen de forma indirecta y no directamente del titular.

False (B)

Flashcards

Principio de Lealtad

El responsable debe actuar con honestidad y transparencia en el manejo de datos personales.

Principio de Proporcionalidad

El tratamiento de datos debe ser adecuado, relevante y no excesivo en relación con las finalidades.

Principio de Responsabilidad

El responsable debe responder por el tratamiento de datos personales.

Principio de Licitud

El tratamiento de datos debe cumplir con las leyes mexicanas e internacionales.

Principio de Consentimiento

Se requiere el consentimiento del titular para el tratamiento de sus datos personales.

Características del Consentimiento

El consentimiento debe ser libre, específico e informado.

Consentimiento Libre

El consentimiento se otorga sin error, violencia o dolo.

Consentimiento Específico

El consentimiento se refiere a finalidades específicas y justificadas.

Transferencia de datos personales

El responsable que transfiere datos personales puede usar cláusulas contractuales u otros instrumentos para asegurar que el receptor mantenga las mismas obligaciones de protección.

Opinión del Instituto sobre transferencias

Los responsables pueden solicitar la opinión del Instituto para verificar si sus transferencias internacionales de datos cumplen con la ley.

Regulación secundaria

La dependencia competente puede emitir o modificar regulación específica sobre el tratamiento de datos personales en su sector, en colaboración con el Instituto.

Propuesta del Instituto

El Instituto puede proponer a la dependencia competente la elaboración de un anteproyecto de regulación específica para un sector o actividad.

Mecanismos de coordinación

La dependencia y el Instituto establecerán mecanismos de coordinación para elaborar, emitir y publicar regulación sobre datos personales.

Determinación de disposiciones

La dependencia y el Instituto determinarán las disposiciones que normen el tratamiento de datos personales en el sector o actividad correspondiente.

Objeto de la autorregulación

Sirve para que los responsables establezcan sus propias normas de protección de datos, siempre y cuando éstas sean vinculantes y no contradigan la ley.

Soporte Electrónico

Medio de almacenamiento accesible solo con aparatos electrónicos que procesan su contenido.

Soporte Físico

Medio de almacenamiento inteligible a simple vista, sin necesidad de aparatos.

Supresión de Datos

Eliminar o destruir datos personales al finalizar el periodo de bloqueo.

Ámbito Objetivo

El reglamento aplica al tratamiento de datos en soportes físicos o electrónicos.

Formas de Datos Personales

Datos expresados numéricamente, alfabéticamente, o de cualquier otra forma identificable.

Ámbito Territorial (I)

El reglamento se aplica si el responsable tiene un establecimiento en México.

Ámbito Territorial (II)

El reglamento aplica si un encargado en cualquier lugar trabaja para un responsable en México.

Ámbito Territorial (III)

El reglamento aplica al tratamiento de datos si al responsable le aplica la ley Mexicana.

Notificación al responsable

Documento que informa al responsable sobre medidas compensatorias propuestas y le da la oportunidad de responder.

Plazo de respuesta

Plazo para que el responsable responda a la propuesta del Instituto sobre medidas compensatorias.

Medidas compensatorias de comunicación masiva

Acciones de comunicación a gran escala para informar sobre el uso de datos personales cuando no es posible el aviso directo.

Contenido de las medidas compensatorias

Avisos de privacidad publicados en medios de amplia cobertura para informar al público.

Diarios de circulación nacional

Diarios de alcance nacional para divulgar avisos de privacidad.

Página de Internet del responsable

Página web del responsable donde se publica el aviso de privacidad.

Principio de calidad

Principio que exige que los datos personales sean correctos, completos y actualizados.

Presunción de calidad

Condición en la cual se asume que los datos proporcionados por el titular son correctos, salvo prueba en contrario.

¿Qué información debe proporcionar el responsable al obtener datos directamente del titular?

Según el artículo 17, fracción II de la Ley, incluye la identidad y domicilio del responsable.

¿Cuál es un elemento clave que debe informarse al titular sobre el tratamiento de sus datos?

Las finalidades del tratamiento de los datos.

¿Qué información debe proporcionar el responsable al titular para conocer el aviso de privacidad?

Los mecanismos para que el titular conozca el aviso de privacidad según el artículo 26 del Reglamento.

¿La divulgación inmediata de la información exime al responsable de otras obligaciones?

No exime al responsable de proveer los mecanismos para que el titular conozca el contenido del aviso de privacidad.

¿Cuándo se permite un aviso de privacidad en formatos con espacio limitado?

El responsable puede usar formatos reducidos si el espacio para la información es mínimo y los datos son mínimos.

¿Cuándo debe darse a conocer el aviso de privacidad en la obtención indirecta de datos?

Cuando los datos se obtienen de una transferencia consentida o fuente pública, el aviso debe darse en el primer contacto.

¿Qué debe ocurrir antes de utilizar datos para una finalidad distinta a la consentida?

El aviso de privacidad debe darse a conocer antes de usar los datos para un propósito diferente al original.

¿De que habla el articulo 30?

Articulo 30

Decisiones automatizadas e información

Cuando se utilizan datos personales en la toma de decisiones automatizada, el responsable debe informar al titular.

Derechos ARCO en decisiones automatizadas

El titular puede acceder a los datos usados en la decisión automatizada y rectificarlos si son inexactos.

¿Quién puede iniciar el procedimiento?

El titular o su representante pueden presentar la solicitud de protección de derechos.

Plazo para la solicitud de protección

La solicitud se debe presentar en el plazo previsto en el artículo 45 de la Ley.

Formas de presentar la solicitud

Escrito libre, formatos del Instituto o sistema electrónico.

Acreditación al presentar la solicitud

Acreditar identidad o personalidad según el artículo 89 del Reglamento.

Dónde presentar la solicitud

Domicilio del Instituto, oficinas habilitadas, correo certificado o sistema electrónico.

Acuse de recibo obligatorio

Se debe entregar un acuse de recibo con la fecha de presentación.

Study Notes

Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares

• El reglamento fue publicado en el Diario Oficial de la Federación el 21 de diciembre de 2011.
• Felipe de Jesús Calderón Hinojosa, en su rol de Presidente de los Estados Unidos Mexicanos, expidió este reglamento.
• El reglamento reglamenta las disposiciones de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares.

Disposiciones Generales (Capítulo I)

• Dependencias se refiere a las señaladas en el artículo 26 de la Ley Orgánica de la Administración Pública Federal.
• Derechos ARCO son los derechos de acceso, rectificación, cancelación y oposición.
• Entorno digital abarca hardware, software, redes y tecnologías que permiten el intercambio o procesamiento de datos.
• Listado de exclusión es una base de datos para registrar la negativa del titular al tratamiento de sus datos.
• Medidas de seguridad administrativas son acciones para gestionar y revisar la seguridad de la información, identificarla y clasificarla, así como capacitar al personal.
• Medidas de seguridad físicas son acciones y mecanismos para prevenir accesos no autorizados y proteger equipos e instalaciones.
• Medidas de seguridad técnicas son actividades, controles o mecanismos que aseguran el acceso lógico y la gestión de comunicaciones con tecnología.
• Persona física identificable es aquella cuya identidad puede determinarse directa o indirectamente.
• Remisión es la comunicación de datos personales entre el responsable y el encargado, dentro o fuera de México.
• Soporte electrónico es un medio de almacenamiento accesible mediante aparatos electrónicos.
• Soporte físico es un medio de almacenamiento visible que no requiere procesamiento electrónico.
• Supresión es la eliminación o destrucción de datos personales tras el período de bloqueo.
• El reglamento aplica al tratamiento de datos personales en soportes físicos o electrónicos que permitan el acceso a los datos con criterios determinados.
• El reglamento no aplica cuando acceder a los datos personales requiera plazos o actividades desproporcionadas.
• Los datos personales pueden estar expresados en forma numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo.
• El reglamento es obligatorio para todo tratamiento efectuado en un establecimiento del responsable en territorio mexicano.
• También aplica si un encargado, independientemente de su ubicación, actúa a nombre de un responsable en territorio mexicano.
• El reglamento aplica si el responsable no está en México pero le aplica la legislación mexicana por contrato o derecho internacional.
• La normativa será de aplicación aunque el responsable no esté establecido en territorio mexicano y utilice medios situados en dicho territorio, a excepción que se utilicen unicamente para fines de transito
• Se entenderá por establecimiento el local donde la persona física tenga el principal asiento de sus negocios o su casa habitación.
• Para personas morales, el establecimiento es donde se encuentre la administración principal; si residen en el extranjero con negocio en México rige el local donde tenga su administración principal.
• Las disposiciones del reglamento no aplican a información relativa a personas morales.
• Tampoco aplica a aquella que refiera a personas físicas en su calidad de comerciantes y profesionistas.
• No se aplica si los datos de personas físicas que prestan un servicio a una persona moral son su nombre, cargo, domicilio, dirección electrónica, teléfono y número de fax; siempre que esta información sea tratada para fines de representación del empleador o contratista.

Tratamiento y Fuentes de Acceso (Artículos 6-8)

• Si el tratamiento de datos tiene como propósito cumplir una obligación derivada de una relación jurídica, no se considera para uso exclusivamente personal.
• Se consideran fuentes de acceso público los medios de comunicación electrónica, directorios telefónicos, diarios oficiales y medios de comunicación social.
• El acceso público requiere que la consulta de los datos pueda ser realizada por cualquier persona sin impedimentos normativos, más allá del pago de una tarifa en caso de ser requerida.
• No se considera fuente de acceso público la información contenida en medios con procedencia ilícita.
• El tratamiento de datos personales obtenidos de fuentes de acceso público respetará la expectativa razonable de privacidad.
• Las personas integrantes de un grupo que actúe sin personalidad jurídica y que trate datos personales para finalidades específicas o propias del grupo se considerarán también responsables o encargados.

Principios de Protección de Datos Personales (Capítulo II, Sección I)

• Los responsables deben cumplir con los principios de licitud, consentimiento, información, calidad, finalidad, lealtad, proporcionalidad y responsabilidad.
• El responsable debe observar los deberes de seguridad y confidencialidad según los artículos 19 y 21 de la Ley.

Principio de licitud

• El principio de licitud obliga al responsable a que el tratamiento sea con apego y cumplimiento a lo dispuesto por la legislación mexicana y el derecho internacional.

Principio de consentimiento

• El responsable debe obtener el consentimiento para tratar los datos, salvo excepciones legales.
• La solicitud de consentimiento debe referirse a una finalidad o finalidades determinadas, indicadas en el aviso de privacidad.
• El consentimiento debe ser previo al tratamiento si los datos se obtienen directamente del titular.
• El consentimiento debe ser libre, específica e informada.
• El consentimiento expreso debe ser inequívoco.
• El consentimiento tácito es válido como regla general, a menos que la Ley exija el expreso.
• Quien pretenda recabar datos personales directa o personalmente de su titular, previamente se le tiene que facilitar un aviso de privacidad, de lo contrario el titular puede negarse a facilitar los datos personales.
• En cambio si los datos se obtienen de manera indirecta, y hay un cambio en las finalidades consentidas en la transferencia, el titular cuenta con cinco días para manifestar su negativa para el tratamiento de sus datos personales.
• Sino maniesta negativa a ceder sus datos, el titular puede haber expresado conformidad salvo prueba en contrario.
• Al usar medios electrónicos de comunicación para recabar datos personales, se debe informar al titular sobre el uso de esas tecnologías y cómo deshabilitarlas.
• El consentimiento expreso es necesario cuando lo exija una ley o reglamento, se trate de datos financieros, patrimoniales o sensibles, lo solicite el responsable, o lo acuerden las partes.
• Cuando se exige consentimiento expreso, el responsable debe facilitar al titular un medio sencillo y gratuito para manifestarlo.
• No se requiere consentimiento tácito o expreso cuando los datos se obtienen de una relación jurídica entre el titular y el responsable.
• Para obtener el consentimiento tácito de finalidades distintas a aquellas que den origen a la relación jurídica, se deben observar los requisitos del artículo 8 de la Ley y los artículos 11, 12 y 13 del reglamento.
• Tratándose de datos sensibles, financieros y patrimoniales, deberá obtener el consentimiento expreso, o bien, expreso y por escrito, según lo exija la Ley. El consentimiento expreso se otorga verbalmente de manera presencial o mediante tecnologías.
• El consentimiento expreso por escrito se externa mediante un documento con firma autógrafa, huella dactilar u otro mecanismo autorizado.

Revocación del consentimiento

• En cualquier momento, el titular puede revocar su consentimiento, para lo cual el responsable debe establecer mecanismos sencillos y gratuitos.
• Los mecanismos para atender las solicitudes de revocación no pueden exceder los plazos del artículo 32 de la Ley.
• Se debe responder expresamente a la solicitud de confirmación del cese del tratamiento de datos personales.
• Si los datos ya fueron remitidos a encargados, el responsable debe comunicar la revocación para que actúen en consecuencia.
• En caso de negativa al cese del tratamiento, el titular puede presentar una denuncia ante el Instituto.

Principio de información

• El responsable debe informar al titular sobre el tratamiento de sus datos mediante un aviso de privacidad.
• El aviso de privacidad debe ser sencillo, con información necesaria, lenguaje claro, estructura y diseño que facilite su entendimiento.
• Se puede difundir el aviso de privacidad en formatos físicos, electrónicos, verbales o cualquier otra tecnología.
• El aviso de privacidad debe contener los elementos referidos en los artículos 8, 15, 16, 33 y 36 de la Ley.
• Al obtener datos personales directamente del titular, se debe proporcionar de inmediato la identidad y domicilio del responsable, las finalidades del tratamiento y los mecanismos para conocer el aviso de privacidad.
• La divulgación de dicha información no exime de proveer los mecanismos para la notificación y información necesaria sobre el aviso de privacidad.

Aviso de privacidad

• El responsable podrá poner a disposición del titular el aviso de privacidad en términos del artículo anterior, cuando obtenga los datos personales por medios impresos, siempre que el espacio utilizado para la obtención de los datos personales sea mínimo y limitado, de forma tal que los datos personales obtenidos también sean mínimos.
• Cuando los datos personales se obtengan de manera indirecta, se debe dar a conocer el aviso de privacidad en el primer contacto con el titular, o antes de utilizar los datos para una finalidad distinta a la consentida.
• En el tratamiento para fines mercadotécnicos, publicitarios o de prospección comercial, se deben incluir las finalidades relativas a este tipo de tratamiento.
• La carga de la prueba de haber puesto a disposición el aviso de privacidad recae en el responsable.

Medidas compensatorias

• En la imposibilidad de dar a conocer el aviso de privacidad al titular o exija esfuerzos desproporcionados, el responsable podrá instrumentar medidas compensatorias de comunicación masiva de acuerdo con los criterios generales expedidos por el Instituto.
• Es imprescindible la autorización expresa del Instituto previo a instrumentar la medida compensatoria, de conformidad con el procedimiento establecido en los artículos 33 y 34 del presente Reglamento.
• Se debe presentar una solicitud directamente ante el Instituto con la información requerida.
• El Instituto tiene diez días siguientes a la recepción para emitir una resolución, de no responder en este plazo, la medida se entenderá como autorizada.
• Se valorará los esfuerzos para el aviso de privacidad según el número de titulares, la antigüedad de los datos, la capacidad económica del responsable, el ámbito territorial, y la medida a utilizar.
• En caso de que El Instituto considere que la medida no cumple el principio de información, podrá proponer al responsable la adopción de alguna medida compensatoria alterna.
• La propuesta del instituto, se hará del conocimiento del responsable, a fin de que éste exponga lo que a su derecho convenga en un plazo no mayor a cinco días.
• Si el responsable no responde en el plazo, el Instituto resolverá con los elementos del expediente.
• Si el Instituto determina que el responsable no justificó la imposibilidad de dar a conocer el aviso de privacidad al titular o que ello exige esfuerzos desproporcionados, no será autorizado el uso de medidas compensatorias.
• La autorización del Instituto estará vigente mientras no se modifiquen las circunstancias iniciales.
• Las medidas compensatorias deben contener la información del artículo 27 del reglamento y difundirse a través de diarios nacionales, locales o revistas especializadas, la página de Internet del responsable, hiperenlaces en la página del Instituto, carteles informativos, cápsulas informativas en radiodifusoras y otros medios de comunicación masiva.

Principio de calidad

• Se cumple cuando los datos son exactos, completos, pertinentes, correctos y actualizados.
• Se presume cumplimiento si los datos los proporciona el titular directamente, hasta que manifieste lo contrario o el responsable cuente con evidencia objetiva que contradiga esta presunción.
• Si los datos no los proporciona el titular, el responsable deberá adoptar medidas razonables para que éstos respondan al principio de calidad.

Plazos de conservación

• No deben exceder los necesarios para cumplir las finalidades del tratamiento, atendiendo a las disposiciones aplicables y los aspectos administrativos, contables, fiscales, jurídicos e históricos de la información.
• Una vez cumplidas las finalidades y sin disposición legal que establezca lo contrario, el responsable debe cancelar los datos previo bloqueo para su supresión.
• Se debe documentar los procedimientos para la conservación, bloqueo y supresión de los datos personales. El responsable debe demostrar que los datos se conservan, bloquean, suprimen o cancelan cumpliendo los plazos previstos.

Principio de finalidad

• Los datos personales solo pueden ser tratados para el cumplimiento de la finalidad o finalidades establecidas en el aviso de privacidad.
• Dicha finalidad debe ser determinada y especificada de manera clara y objetiva.
• Se deben distinguir en el aviso las finalidades que dieron origen a la relación jurídica de aquellas que no lo son.
• El titular puede negar o revocar su consentimiento y oponerse al tratamiento para finalides distintitas a las requeridas.
• No se podrá llevar a cabo tratamientos para finalidades distintas que no resulten compatibles o análogas con aquéllas para las que hubiese recabado de origen los datos personales y que hayan sido previstas en el aviso de privacidad, salvo disposición legal o consentimiento del titular.

Principio de lealtad

• Prima la protección de los intereses del titular y la expectativa razonable de privacidad.
• No se pueden usar medios engañosos o fraudulentos para recabar y tratar datos personales.
• Existe actuación fraudulenta si hay dolo, mala fe o negligencia en la información proporcionada al titular, se vulnere su expectativa razonable de privacidad o las finalidades no son las informadas.

Principio de proporcionalidad

• Solo se podrán ser objeto de tratamiento los datos personales que resulten necesarios, adecuados y relevantes en relación con las finalidades para las que se hayan obtenido.

Criterio de minimización

• El responsable debe realizar esfuerzos razonables para que los datos personales tratados sean los mínimos necesarios de acuerdo con la finalidad del tratamiento que tenga lugar.

Principio de responsabilidad

• Conforme a los artículos 6 y 14 de la Ley, el responsable tiene la obligación de velar y responder por el tratamiento de los datos personales bajo su custodia o posesión, o por aquéllos que haya comunicado a un encargado.
• Se pueden utilizar estándares, mejores prácticas internacionales, políticas corporativas, esquemas de autorregulación o cualquier otro mecanismo adecuado para cumplir la obligación.
• Se deben adoptar medidas para garantizar el debido tratamiento, privilegiando los intereses del titular y la expectativa razonable de privacidad.

Medidas para cumplir el principio de resposabilidad

• Elaborar políticas y programas de privacidad obligatorios y exigibles al interior de la organización del responsable;
• Poner en práctica un programa de capacitación, actualización y concientización del personal sobre obligaciones en materia de datos personales;
• Establecer un sistema de supervisión y vigilancia interna, verificaciones o auditorías externas para comprobar el cumplimiento de las políticas de privacidad;
• Destinar recursos para la instrumentación de los programas y políticas de privacidad;
• Instrumentar un procedimiento para que se atienda el riesgo para la protección de datos personales por la implementación de nuevos productos, servicios, tecnologías y modelos de negocios, así como para mitigarlos;
• Revisar periódicamente las políticas y programas de seguridad para determinar las modificaciones que se requieran;
• Establecer procedimientos para recibir y responder dudas y quejas de los titulares de los datos personales;
• Disponer de mecanismos para el cumplimiento de las políticas y programas de privacidad, así como de sanciones por su incumplimiento;
• Establecer medidas para el aseguramiento de los datos personales, es decir, un conjunto de acciones técnicas y administrativas que permitan garantizar al responsable el cumplimiento de los principios y obligaciones establecidas en la ley
• Establecer medidas para la trazabilidad de los datos personales, es decir, acciones, medidas y procedimientos técnicos para rastrear a los datos personales durante su tratamiento.

Figura del encargado

• Es la persona física o moral, pública o privada, ajena a la organización del responsable, que trata datos personales por cuenta del responsable, debido a una relación jurídica que le vincula con el mismo.

Obligaciones del encargado

• Tratar únicamente los datos personales conforme a las instrucciones del responsable;
• Abstenerse de tratar los datos personales para finalidades distintas a las instruidas por el responsable;
• Implementar las medidas de seguridad conforme a la Ley, el Reglamento y las demás disposiciones aplicables;
• Guardar confidencialidad respecto de los datos personales tratados;
• Suprimir los datos personales objeto de tratamiento una vez cumplida la relación jurídica con el responsable o por instrucciones del responsable;
• Abstenerse de transferir los datos personales salvo en el caso de que el responsable así lo determine.
• Los acuerdos entre responsable y encargado deben estar acordes con el aviso de privacidad.

Relación entre el responsable y el encargado

• Estará establecida mediante cláusulas contractuales u otro instrumento jurídico que decida el responsable, que permita acreditar su existencia, alcance y contenido.

Description

Repaso de conceptos clave sobre el tratamiento de datos personales y los derechos del titular. Se abordan temas como la toma de decisiones automatizadas, el derecho de acceso y el procedimiento de protección de derechos. Incluye información sobre plazos y requisitos para presentar una solicitud.