Protección de datos personales en el sector salud

Questions and Answers

El tratamiento de datos personales para la gestión de servicios de salud requiere siempre el consentimiento explícito del titular, independientemente de si lo realiza un profesional de la salud sujeto a secreto profesional.

False (B)

Un individuo puede oponerse al tratamiento de sus datos personales en cualquier momento, incluso si dicho tratamiento es necesario para cumplir con una obligación legal adquirida previamente.

True (A)

La solicitud para ejercer los derechos de acceso, rectificación, cancelación u oposición de datos personales debe incluir obligatoriamente una copia certificada del acta de nacimiento del titular.

False (B)

Si un responsable determina que la oposición al tratamiento de datos es procedente, puede continuar tratando los datos mientras no afecte directamente al titular.

False (B)

La designación de un departamento de datos personales dentro de una organización es opcional y depende del tamaño de la empresa.

False (B)

El derecho de acceso a los datos personales permite al titular conocer únicamente la información básica, como nombre y dirección, pero no el historial de tratamientos médicos.

False (B)

Es posible cancelar datos personales, incluso si son necesarios para una investigación relacionada a delitos fiscales.

False (B)

Si los datos personales se obtienen directamente del titular, el aviso de privacidad debe proporcionarse al momento de recabarlos, de forma clara y fehaciente.

True (A)

Si una solicitud de acceso a datos personales no incluye un domicilio para recibir la respuesta, el responsable está exento de responder.

False (B)

Si la información se recaba por medios electrónicos, ópticos o cualquier tecnología, ¿es suficiente con proporcionar solo las fracciones IV y V del artículo anterior en el aviso de privacidad?

False (B)

De acuerdo con la ley, si los datos no han sido obtenidos directamente del titular, el responsable no tiene la obligación de darle a conocer el aviso de privacidad.

False (B)

La obligación de informar sobre el aviso de privacidad, cuando los datos no fueron recabados directamente del titular, aplica incluso si el tratamiento de los datos es con fines históricos, estadísticos o científicos.

False (B)

Si resulta imposible dar a conocer el aviso de privacidad al titular, el responsable puede optar por instrumentar medidas compensatorias sin necesidad de autorización previa.

False (B)

Todo responsable que trate datos personales debe implementar medidas de seguridad administrativas, técnicas y físicas para proteger los datos contra daño, pérdida o acceso no autorizado.

True (A)

Un responsable puede adoptar medidas de seguridad inferiores a las que utiliza para manejar su propia información, siempre y cuando considere que es suficiente para proteger los datos personales.

False (B)

Al establecer las medidas de seguridad para los datos personales, solo se debe tomar en cuenta el riesgo existente, sin considerar las posibles consecuencias para los titulares.

False (B)

La imposibilidad legal de acceder a datos personales impide la rectificación, cancelación u oposición de los mismos.

True (A)

El Instituto debe admitir todas las pruebas presentadas por el responsable durante el proceso de protección de datos.

False (B)

Si la rectificación ya se ha realizado, una nueva solicitud siempre debe ser aceptada y procesada sin excepción.

False (B)

La negativa a una solicitud de acceso a datos siempre debe ser total, nunca parcial.

False (B)

El responsable tiene diez días para responder a la solicitud de protección de datos presentada ante el Instituto.

False (B)

El responsable debe justificar su decisión de negar el acceso a los datos, comunicándola al titular por el mismo medio utilizado en la solicitud.

True (A)

Una solicitud de protección de datos puede ser rechazada si el solicitante no está de acuerdo con la rapidez con la que el responsable entregó la información.

False (B)

El Reglamento de la Ley establece los principios generales bajo los cuales se interpretará la ley de protección de datos.

False (B)

Las acciones del Ejecutivo Federal en protección de datos personales están sujetas a los presupuestos aprobados de las instituciones y a la Ley Federal de Responsabilidad Administrativa de los Servidores Públicos.

False (B)

La entrega de datos personales es gratuita, y el titular solo cubre los gastos de envío o reproducción.

True (A)

El Presupuesto de Egresos de la Federación para el Ejercicio Fiscal de 2010 considerará partidas suficientes para el adecuado funcionamiento del Instituto Federal de Acceso a la Información y Protección de Datos.

False (B)

Si una persona reitera su solicitud de acceso a datos en menos de seis meses, se le cobrará un costo máximo de tres días de salario mínimo.

False (B)

Si el responsable se niega a modificar datos personales, no procede la solicitud de protección de datos.

False (B)

Este Decreto entrará en vigor al día siguiente al de su sanción en el Diario Oficial de la Federación.

False (B)

El titular puede presentar una queja ante la autoridad si no recibe respuesta a su solicitud de protección de datos.

True (A)

La solicitud de protección de datos debe contener el nombre del delegado de protección de datos de la empresa responsable.

False (B)

Al transferir datos personales a terceros, el responsable debe asegurar que estos están al tanto del aviso de privacidad y las finalidades del tratamiento de los datos.

True (A)

El presente Decreto fue expedido por Felipe de Jesús Calderón Hinojosa en la Residencia del Poder Ejecutivo Federal el 28 de julio de 2010.

False (B)

El Instituto está obligado a celebrar audiencias con las partes involucradas en la solicitud de protección de datos.

False (B)

El Instituto está limitado a considerar las pruebas presentadas por las partes al resolver sobre la solicitud de protección de datos.

False (B)

De acuerdo con el texto, la Constitución Política de los Estados Unidos Mexicanos se menciona en cumplimiento de lo dispuesto por la fracción I del Artículo 98.

False (B)

Si el Instituto determina que una solicitud es procedente, el responsable debe cumplirla asumiendo los costos de reproducción para el titular.

True (A)

Las resoluciones del Instituto, una vez emitidas, nunca pueden ser difundidas públicamente para proteger la privacidad de los involucrados.

False (B)

Un titular que ha sufrido un daño por el incumplimiento de la ley puede demandar una indemnización, según las leyes aplicables.

True (A)

La verificación del cumplimiento de la ley por parte del Instituto solo puede iniciarse a petición de parte y nunca de oficio.

False (B)

En un procedimiento de verificación, el Instituto puede acceder a cualquier información que considere necesaria, sin importar su relevancia para la investigación.

False (B)

Los servidores públicos federales están obligados a mantener la confidencialidad de la información obtenida durante una verificación.

True (A)

El procedimiento de verificación está completamente detallado en la Ley Federal de Protección de Datos Personales en Posesión de los Particulares.

False (B)

Contra las resoluciones del Instituto, los particulares podrán promover el juicio de amparo ante el Tribunal Colegiado de Circuito.

False (B)

Flashcards

Entrega del Aviso de Privacidad

El aviso de privacidad debe ser facilitado al titular de forma clara y fehaciente al momento de recabar sus datos.

Datos Recabados Electrónicamente

Al recabar datos por medios electrónicos, el responsable debe proporcionar información clave y mecanismos para acceder al aviso de privacidad completo inmediatamente.

¿Cuándo es necesario el tratamiento de datos (Contratos)?

El tratamiento de datos personales es necesario para la ejecución de un contrato.

Aviso de Privacidad Indirecto

Si los datos no se obtienen directamente del titular, se le debe informar sobre cualquier cambio en el aviso de privacidad.

Excepción: Fines Históricos/Científicos

La obligación de informar sobre cambios en el aviso de privacidad no aplica para tratamientos con fines históricos, estadísticos o científicos.

¿Cuándo es necesario el tratamiento de datos (Disposición Legal)?

El tratamiento de datos es requerido por una ley específica.

¿Cuándo es necesario el tratamiento de datos (Intereses Jurídicos)?

El tratamiento de datos se requiere para proteger los intereses legales del titular.

Imposibilidad del Aviso

Si es imposible o desproporcionado dar a conocer el aviso, con autorización del Instituto, se pueden implementar medidas compensatorias.

Medidas de Seguridad de Datos

Todo responsable debe establecer medidas de seguridad administrativas, técnicas y físicas para proteger los datos personales.

¿Cuándo es necesario el tratamiento de datos (Interés público)?

El tratamiento de datos es necesario para servir al interés público.

¿Derecho de oposición?

El titular de los datos tiene derecho a oponerse al tratamiento de sus datos personales por causa legítima.

Estándar de Seguridad Mínimo

Las medidas de seguridad no deben ser menores a las que el responsable usa para su propia información.

Factores para Medidas de Seguridad

Al definir las medidas de seguridad, se debe considerar el riesgo, las consecuencias, la sensibilidad de los datos y el desarrollo tecnológico.

¿Qué derechos tiene el titular de los datos (ARCO)?

Acceder, rectificar, cancelar u oponerse al uso de sus datos personales.

¿Qué debe incluir la solicitud ARCO?

Nombre del titular, acreditación de identidad, descripción de los datos a modificar.

¿Cuál es la función del departamento de datos personales?

Gestionar las solicitudes ARCO y fomentar la protección de datos dentro de la organización.

Restricción de Acceso a Datos

Impedimento legal o resolución que restringe el acceso a datos personales.

Solicitud Previamente Cumplida

Cuando la rectificación, cancelación u oposición ya se ha realizado previamente.

Negativa Parcial

El responsable puede negar parcialmente el acceso, rectificación, etc. y deberá informar el motivo.

Obligación de Informar la Decisión

El responsable debe informar el motivo de la decisión al titular en los plazos establecidos.

Entrega Gratuita Inicial

La entrega inicial de datos personales es gratuita, pero puede haber costos por envíos o copias.

Costos por Reiteración de Solicitud

Si se reitera la solicitud en menos de 12 meses, los costos no serán mayores a tres días de salario mínimo.

Solicitud de Protección de Datos

El titular puede presentar una solicitud de protección de datos si no está satisfecho con la respuesta.

Comunicación en Transferencia de Datos

Al transferir datos a terceros, se debe comunicar el aviso de privacidad y las finalidades del tratamiento.

Financiamiento de Acciones de Protección de Datos

Las acciones del Ejecutivo Federal relacionadas con la Ley Federal de Protección de Datos Personales se financiarán con los presupuestos aprobados de las instituciones correspondientes.

Presupuesto para el IFAI en 2011

El Presupuesto de Egresos de la Federación de 2011 debe incluir fondos suficientes para el funcionamiento del Instituto Federal de Acceso a la Información y Protección de Datos.

Vigencia del Decreto

El decreto entra en vigor el día siguiente de su publicación en el Diario Oficial de la Federación.

Expedición del Decreto

El decreto fue expedido por Felipe de Jesús Calderón Hinojosa, el entonces Presidente de México.

Refrendo del Decreto

El Secretario de Gobernación, Fernando Francisco Gómez Mont Urueta, refrendó (firmó) el decreto.

¿Cuándo procede la solicitud de protección de datos?

Solicitud presentada cuando el responsable niega acceso a datos, los entrega incomprensibles, rehúsa correcciones, o la información es incompleta.

¿Cuál es el plazo de respuesta del responsable?

El Instituto notifica al responsable, quien tiene 15 días para responder, presentar pruebas y exponer su posición.

¿Qué puede hacer el Instituto con respecto a pruebas?

El Instituto puede admitir y solicitar pruebas, y el responsable puede presentar alegatos tras el desahogo de pruebas.

¿Cómo resuelve el Instituto la solicitud?

El Instituto resuelve la solicitud basándose en las pruebas, audiencias y demás elementos de convicción.

¿Dónde se detallan los procedimientos?

El reglamento de la ley detalla la forma, términos y plazos del procedimiento de protección de derechos.

¿Qué información debe contener la solicitud de protección de datos?

Nombre del titular/representante, del responsable, domicilio para notificaciones, fecha de respuesta, actos que motivan la solicitud, y otros elementos relevantes.

¿A quién se debe identificar en la solicitud?

Se debe incluir el nombre del responsable ante quien se presentó la solicitud inicial (acceso, rectificación, etc.).

¿Cómo se acredita la identidad en la solicitud?

La identidad del titular y la representación legal se acreditan según lo establecido en el Reglamento.

Resolución del Instituto

El Instituto resuelve con base en la solicitud original y la respuesta del responsable.

Cumplimiento de la Solicitud

Si el Instituto falla a favor del solicitante, el responsable debe cumplir sin costo para el titular.

Apelación de Resoluciones

Los particulares pueden apelar las decisiones del Instituto ante el Tribunal Federal de Justicia Fiscal y Administrativa.

Publicación de Resoluciones (versión pública)

Las resoluciones del Instituto se publican en versiones públicas, eliminando datos personales identificables.

Indemnización por Incumplimiento

Los titulares pueden buscar indemnización por daños causados por incumplimiento de la ley por el responsable o encargado.

Verificación del Instituto

El Instituto verifica el cumplimiento de la ley de oficio o a petición de parte.

Verificación de Oficio

La verificación de oficio procede por incumplimiento de resoluciones o sospecha de violaciones a la ley.

Acceso a Información en Verificación

En la verificación, el Instituto puede acceder a información y documentación necesaria.

Study Notes

Ley Federal de Protección de Datos Personales

• Esta ley fue publicada en el Diario Oficial de la Federación el 5 de julio de 2010.
• El objetivo es regular el tratamiento legítimo, controlado e informado de los datos personales en posesión de particulares.
• Esto busca garantizar la privacidad y el derecho a la autodeterminación informativa de las personas.

Sujetos Regulados

• Los sujetos regulados son personas físicas o morales de carácter privado que manejan datos personales.
• Las excepciones incluyen sociedades de información crediticia reguladas por la ley correspondiente y personas que recolectan y almacenan datos personales para uso exclusivamente personal sin fines comerciales.

Definiciones Clave

• Aviso de Privacidad: Documento que informa al titular sobre el tratamiento de sus datos personales.
• Bases de datos: Conjunto ordenado de datos personales referentes a una persona identificada o identificable.
• Bloqueo: Conservación de datos personales para determinar posibles responsabilidades relacionadas con su tratamiento.
• Consentimiento: Manifestación de la voluntad del titular para el tratamiento de sus datos.
• Datos personales: Información concerniente a una persona física identificada o identificable.
• Datos personales sensibles: Datos que afectan la esfera más íntima del titular o pueden dar origen a discriminación.
• Disociación: Procedimiento que impide la asociación de los datos personales con su titular.
• Encargado: Persona que trata datos personales por cuenta del responsable.
• Fuente de acceso público: Bases de datos disponibles para consulta general.
• Instituto: Instituto Federal de Acceso a la Información y Protección de Datos.
• Responsable: Persona que decide sobre el tratamiento de datos personales.
• Titular: Persona física a quien corresponden los datos personales.
• Tratamiento: Obtención, uso, divulgación o almacenamiento de datos personales.
• Transferencia: Comunicación de datos a una persona distinta del responsable o encargado.

Principios y Límites

• Los principios y derechos tienen como límite la protección de la seguridad nacional, el orden, la seguridad y la salud públicos, así como los derechos de terceros.
• En ausencia de disposición expresa, se aplicarán supletoriamente el Código Federal de Procedimientos Civiles y la Ley Federal de Procedimiento Administrativo.

Principios de Protección de Datos

• Los responsables deben observar los principios de licitud, consentimiento, información, calidad, finalidad, lealtad, proporcionalidad y responsabilidad.
• La obtención de datos no debe hacerse por medios engañosos o fraudulentos.
• Se presume una expectativa razonable de privacidad en el tratamiento de datos personales.

Consentimiento

• El tratamiento de datos personales requiere el consentimiento del titular, salvo excepciones legales.
• El consentimiento puede ser expreso (verbal, escrito, electrónico, etc.) o tácito (sin oposición al aviso de privacidad).
• Los datos financieros o patrimoniales requieren consentimiento expreso.
• El consentimiento puede ser revocado, estableciendo mecanismos y procedimientos en el aviso de privacidad.
• Para datos personales sensibles, se requiere consentimiento expreso y por escrito.

Excepciones al Consentimiento

• No se necesita el consentimiento cuando está previsto en una ley, los datos figuran en fuentes de acceso público, los datos se someten a un procedimiento de disociación, o tiene el propósito de cumplir obligaciones derivadas de una relación jurídica.
• Tampoco se requiere en situaciones de emergencia, atención médica indispensable o por resolución de autoridad competente.

Calidad de los Datos

• Los datos personales deben ser pertinentes, correctos y actualizados para los fines para los que fueron recabados.
• Los datos innecesarios deben ser cancelados.
• La información sobre incumplimiento de obligaciones contractuales debe eliminarse después de 72 meses.

Limitación del Tratamiento

• El tratamiento de datos personales debe limitarse a las finalidades previstas en el aviso de privacidad.

Aviso de Privacidad

• Debe contener la identidad y domicilio del responsable que los recaba, las finalidades del tratamiento de datos, las opciones y medios que el responsable ofrezca a los titulares para limitar el uso o divulgación de los datos, y los medios para ejercer los derechos de acceso, rectificación, cancelación u oposición.
• Tambien el procedimiento y medio para comunicar cambios al aviso de privacidad y las transferencias de datos que se efectúen.
• Debe señalar expresamente si se trata de datos personales sensibles.
• Debe facilitarse de forma clara y fehaciente cuando los datos se obtienen personalmente.

Seguridad de los Datos

• Se deben establecer y mantener medidas de seguridad administrativas, técnicas y físicas para proteger los datos personales contra daño, pérdida, alteración, destrucción o el uso, acceso o tratamiento no autorizado.
• El nivel de seguridad debe ser acorde al riesgo existente, las posibles consecuencias para los titulares y la sensibilidad de los datos.

Derechos de los Titulares (ARCO)

• Acceso: Derecho a acceder a los datos personales que obren en poder del responsable y al aviso de privacidad.
• Rectificación: Derecho a rectificar los datos cuando sean inexactos o incompletos.
• Cancelación: Derecho a cancelar los datos personales.
• Oposición: Derecho a oponerse al tratamiento de los datos.
• El responsable está obligado a eliminar la información relativa al incumplimiento de obligaciones contractuales, una vez que transcurra un plazo de setenta y dos meses, contado a partir de la fecha calendario en que se presente el mencionado incumplimiento.

Ejercicio de los Derechos ARCO

• El titular o su representante legal pueden solicitar al responsable en cualquier momento el acceso, rectificación, cancelación u oposición.
• La solicitud debe contener el nombre del titular, domicilio, documentos que acrediten la identidad, descripción clara de los datos personales y cualquier otro elemento que facilite la localización de los datos personales.

Plazos y Procedimientos

• El responsable comunicará al titular la determinación adoptada en un plazo máximo de veinte días.
• Si resulta procedente, se hará efectiva la misma dentro de los quince días siguientes a la fecha en que se comunica la respuesta.
• La entrega de los datos personales será gratuita, cubriendo el titular únicamente los gastos justificados de envío o reproducción.
• Si la solicitud se reitera en un periodo menor a doce meses, los costos no serán mayores a tres días de Salario Mínimo General Vigente en el Distrito Federal.

Limitaciones al Acceso, Rectificación, Cancelación y Oposición

• El responsable puede negar estos derechos cuando el solicitante no sea el titular, los datos no se encuentren en su base de datos, se lesionen los derechos de un tercero o exista un impedimento legal.
• El responsable deberá informar el motivo de su decisión.

Transferencia de Datos

• Si el responsable pretende transferir los datos personales a terceros, debe comunicar a éstos el aviso de privacidad y las finalidades del tratamiento.
• El tratamiento de los datos se hará conforme a lo convenido en el aviso de privacidad, indicando si el titular acepta o no la transferencia de sus datos.

Transferencias sin Consentimiento

• Están permitidas cuando están previstas en una ley o tratado, son necesarias para la prevención o el diagnóstico médico y se efectúan a sociedades bajo control común.
• También situaciones requeridas por virtud de un contrato, salvaguarda de un interés público, un proceso judicial o el cumplimiento de una relación jurídica.

El Instituto

• Tiene como objetivo difundir el conocimiento del derecho a la protección de datos personales.
• Debe vigilar el cumplimiento de las disposiciones previstas en la ley.
• Tiene la facultad de interpretar administrativamente la ley, proporcionar apoyo técnico, emitir criterios y recomendaciones y divulgar estándares internacionales de seguridad de la información.

Atribuciones del Instituto

• Conocer y resolver procedimientos de protección de derechos y de verificación, así como cooperar con otras autoridades.
• Rendir un informe anual al Congreso de la Unión y elaborar estudios de impacto sobre la privacidad.

La Secretaría

• Tiene la función de difundir el conocimiento de las obligaciones en torno a la protección de datos personales.
• Debe promover las mejores prácticas comerciales en torno a esta protección.
• Emitir lineamientos para el contenido y alcance de los avisos de privacidad en coadyuvancia con el Instituto.

Autorregulación

• Las personas físicas o morales pueden convenir esquemas de autorregulación vinculante que complementen la ley.
• Estos esquemas deben contener mecanismos para medir su eficacia, consecuencias y medidas correctivas en caso de incumplimiento.

Procedimiento de Protección de Derechos

• Se inicia a instancia del titular de los datos, expresando claramente la reclamación y los preceptos vulnerados.
• La solicitud debe presentarse ante el Instituto dentro de los quince días siguientes a la fecha en que se comunique la respuesta del responsable.

Resolución del Instituto

• El plazo máximo para dictar la resolución es de cincuenta días, ampliables por un período igual.
• El Instituto puede sobreseer o desechar la solicitud si no es competente, ya ha conocido del asunto, se está tramitando un recurso ante los tribunales, es ofensiva o extemporánea.
• El interesado puede promover el juicio de nulidad ante el Tribunal Federal de Justicia Fiscal y Administrativa.

Verificación

• El Instituto verificará el cumplimiento de la Ley.
• La verificación podrá iniciarse de oficio o a petición de parte.

Sanciones

• Las infracciones serán sancionadas con apercibimiento, multa de 100 a 320,000 días de salario mínimo vigente en el Distrito Federal, y en caso de infracciones reiteradas, se impondrá una multa adicional.
• En tratándose de infracciones cometidas en el tratamiento de datos sensibles, las sanciones podrán incrementarse hasta por dos veces, los montos establecidos.

Delitos

• Se impondrá prisión de tres meses a tres años al que, estando autorizado para tratar datos personales, provoque una vulneración de seguridad a las bases de datos bajo su custodia.
• Se sancionará con prisión de seis meses a cinco años al que, con el fin de alcanzar un lucro indebido, trate datos personales mediante el engaño.
• En caso de datos personales sensibles, las penas se duplican.

Description

Este cuestionario explora la normativa sobre el tratamiento de datos personales en servicios de salud. Evalúa el conocimiento sobre el consentimiento del titular, el derecho de oposición y los requisitos para ejercer los derechos ARCO. También abarca las obligaciones del responsable de datos y el alcance del derecho de acceso.