TALLER sobre la Nueva Regulación en

materia de Acceso a la Información y

Protección de Datos Personales

14 noviembre 2016

1
Protección de datos
personales

Unidad Técnica de Transparencia y Protección de Datos Personales

Dirección de Acceso a la Información y Protección de Datos Personales

2
Objetivo

Al término del Módulo, los servidores públicos identificarán los

principios y deberes sobre el tratamiento de datos personales, así
como los elementos básicos que debe contener una
manifestación de protección de datos (aviso de privacidad) del
sector público.

Duración.
- Exposición.- 1 hora
- Preguntas.- 30 minutos

3
Temario

1. Antecedentes internacionales y nacionales en materia de protección de datos personales.

2. Normatividad de protección de datos personales en el INE.
3. Excepciones del “Acuerdo por el que se establecen los Principios, Criterios, Plazos y Procedimientos para
garantizar la protección de datos personales en posesión del INE y de los PPN”.
4. Definiciones básicas en materia de protección de datos personales.
5. Integración y funciones del Comité de Protección de Datos Personales.
6. Obligaciones que deben cumplir los servidores públicos en materia de protección de datos personales.
7. Principios y deberes que rigen el tratamiento de los datos personales.
8. Derechos de acceso, rectificación, cancelación y oposición (ARCO)
9. Procedimiento para el ejercicio de los derechos ARCO.
10. Acreditación de la identidad y, en su caso, de la personalidad.
11. Recurso de revisión e Incidente de incumplimiento.
12. Régimen transitorio del Acuerdo.
 Antecedentes Internacionales

Año Instrumento internacional

1968 Resolución 509

Derecho humano independiente al de la intimidad
del Consejo de Europa
1980 Directrices de la Organización para la
Lineamientos sobre la Protección de la Privacidad y el Flujo
Cooperación y el Desarrollo Económicos
Transfronterizo de Datos Personales
(OCDE)
1981 Convenio 108 Se reconoce la necesidad de conciliar los valores fundamentales del
del Consejo de Europa respeto a la vida privada y de la libre circulación de la información
entre los pueblos.
1990 Resolución 45/95 de la
Directrices de protección de datos
Asamblea General de la ONU
1995 Directiva 95/46/CE Se precisan y amplían los principios del Convenio 108 del Consejo de
Europa.
1999 Marco de Privacidad del Foro de Cooperación Busca un equilibrio entre la seguridad de la información personal y
Económica Asia Pacífico (APEC) el libre flujo de información en la región Asia Pacífico para asegurar
sus fines comerciales.
2000 Art. 8 de la Carta de Derechos Fundamentales Se reconoce el derecho a la protección de datos como un derecho
de la Unión Europea fundamental y autónomo, distinto al derecho a la intimidad y la
privacidad de las personas.

Año
2002 Ley Federal de Transparencia y Acceso a la
Información Pública Gubernamental (Ley
Federal de Transparencia)
2007 Reforma al artículo 6° Constitucional, se
mencionan las fracciones I y II
2009 Reforma al artículo 16 Constitucional,
adición del segundo párrafo.
2011 Reforma al artículo 1 Constitucional.
2015 Ley General de Transparencia y Acceso a la
Información Pública. (Ley General de
Transparencia)
Antecedentes Nacionales
Instrumento Nacional
Confidencialidad de los DP como límite al derecho de acceso a la
información pública (aplicable supletoriamente al Acuerdo de protección
de datos personales)
Reconocimiento de la protección de la vida privada y de los datos
personales como un derecho fundamental independiente.
Derecho a la protección de datos personales como un derecho
fundamental autónomo.
“Toda persona tiene derecho a la protección de sus datos personales, al
acceso, rectificación y cancelación de los mismos, así como a manifestar
su oposición, en los términos que fije la ley, la cual establecerá los
supuestos de excepciones a los principios que rigen el tratamiento de
datos, pro razones de seguridad nacional, disposición de orden público,
seguridad y salud públicas, o para proteger los derechos de terceros.”
Derecho a la protección de datos personales como un derecho humano.
Hasta en tanto no se expida una ley general en materia de datos
personales en posesión de los sujetos obligados, permanecerá vigente la
normatividad federal y local en la materia, en sus respectivos ámbitos de
aplicación (artículo Tercero Transitorio)

Año
2003- Reglamento del INE en materia de
2014 transparencia y Acceso a la Información
Pública.
(Histórico)
2011 Lineamientos que deberán observar los OR
del INE y la UE en la recepción,
procesamiento y trámite de las solicitudes
de acceso a la información pública, a datos
personales y corrección de los mismos, que
formulen los particulares, así como en su
Resolución y notificación, y la entrega de la
información en su caso.
(Histórico)
2012 Lineamientos para el Acceso, Rectificación,
Cancelación, Oposición y Validación de
Datos Personales en Posesión de la DERFE.
VIGENTE
Normatividad de protección de datos personales en el INE
Instrumento Normativo
Debido e la emisión de la Ley Federal de Transparencia, el Consejo
General emitió el Reglamento de Transparencia del INE; sin
embargo, en dicho instrumento únicamente se había reconocido el
ejercicio de los derechos de acceso y corrección de datos
personales.
Abrogados conforme a lo dispuesto en:
• El Reglamento de Transparencia del INE de 2016
• Acuerdo en materia de protección de datos personales de
2016
Se establecen los mecanismos para garantizar el ejercicio de los
derechos ARCO de los datos personales en posesión la DERFE.
Asimismo, se prevé la validación o cotejo de datos personales
requeridos por instancias públicas y privadas y la verificación de los
datos de la Credencial para Votar con Fotografía. Sin que esto
implique en forma alguna la entrega de dichos datos a las citadas
instancias.
 Normatividad de protección de datos personales en el INE
Año
2016 Reglamento de Transparencia del INE
VIGENTE
2016 Lineamientos para la verificación de los
padrones de afiliados de los PPN para la
conservación de su registro y su
publicidad, así como para el ejercicio de
los derechos ARCO de los datos personales
en posesión del INE
VIGENTE
2016 Acuerdo INE/CG312/2016 del Consejo
General del INE por el se establecen los
principios, criterios, plazos y se emitió el citado acuerdo a efecto de cumplir con el ejercicio de la
procedimientos para garantizar la
protección de Datos Personales en
posesión del INE y Partidos Políticos
(Acuerdo en materia de protección de
datos personales) VIGENTE
Instrumento Normativo
Acuerdo INE/CG281/2016, del 27 de abril de 2016, mediante el cual el
Consejo General aprobó el Reglamento del INE en materia de
Transparencia y Acceso a la Información Pública, en el cual se eliminan
las disposiciones aplicables en materia de protección de datos
personales. (De aplicación supletoria al Acuerdo de Protección de
Datos Personales)
Tiene por objeto, entre otros, regular el alcance de la publicidad de las
listas de afiliados, en atención a las normas que regulan la protección
de los datos personales, y establecer los órganos, procedimientos y
plazos para el ejercicio de los derechos ARCO de los datos personales
contenidos en los padrones de afiliados en posesión del INE.
Debido a la reforma político-electoral y en consideración a lo señalado
en el artículo Tercero Transitorio de la Ley General de Transparencia,
protección de datos personales, hasta en tanto no se expida la Ley
general de la materia.
 Principales novedades del
Acuerdo de protección de datos personales

Alineación del INE en materia de protección de datos personales.

UT
Designación de la Unidad Técnica de Transparencia y Protección
de Datos Personales, como Unidad de Transparencia.
CP
DP Constitución del Comité de Protección de Datos Personales.
Establecimiento de los principios y deberes que rigen el tratamiento
de los datos personales.
Regulación de los 4 derechos ARCO, establecimiento de horarios
de recepción, trámite y notificación.
Ampliación de los plazos de respuesta.
Formas de acreditar la identidad del solicitante y, en su caso,
personalidad del representante.
 Ámbito de aplicación

Las disposiciones del Acuerdo son de

observancia general y obligatoria para los
servidores públicos del INE y para los PPN.
 Excepciones para la aplicación del Acuerdo

a) El ejercicio de los derechos ARCO de los datos personales en

posesión del Registro Federal de Electores, se regirá por las
disposiciones previstas en los Lineamientos que emita el CG
(ciudadanos).
Excep
b) El acceso a los datos personales en posesión del Registro Federal de
Electores por parte de los PPN se regirá por los Lineamientos para cio
el acceso, verificación y entregada de dichos datos que emita el CG.
nes
c) Los procedimientos para el ejercicio de los derechos ARCO de los
datos personales de los afiliados y militantes de los PPN, además
de lo previsto en el presente acuerdo, se regiran por los Lineamientos
que apruebe el CG en la materia.
 Definiciones básicas

Datos Personales:
La información concerniente a una persona
física, identificada o identificable.
(Artículo 2, numeral 1, fracción XVI del Reglamento de Transparencia)

Datos Personales S e n s i b l e s:
Aquellos datos personales que afecten a la
En particular, se consideran sensibles:
esfera más íntima de su titular, o cuya
utilización indebida pueda dar origen a  Origen racial o étnico,
discriminación o conlleve un riesgo grave  Estado de salud,
para éste.  Información genética y biométrica,
(Artículo 3, numeral 1, fracción V del Acuerdo)
creencias religiosas, filosóficas y morales,
 Opiniones políticas
 Preferencia sexual, entre otros.
 Definiciones básicas

 Bases de datos: Conjunto ordenado de datos personales referentes a una

persona física identificada o identificable, condicionado a criterios
determinados con independencia de la forma o modalidad de su creación, BD
tipo de soporte, procesamiento, almacenamiento y organización y que
obren en poder del Instituto, o bien, de los partidos políticos nacionales
(artículo 3, numeral 1, fracción II del Acuerdo)

 Encargado: La persona física o moral, pública o privada, ajena a la

organización del responsable, que sola o conjuntamente con otras, trata
datos personales por cuenta del responsable. (artículo 3, numeral 1, fracción VII del Acuerdo)
 Remisión: Toda comunicación de datos personales realizada
exclusivamente entre el responsable y el encargado, dentro o fuera del
territorio mexicano. (artículo 3, numeral 1, fracción XII del Acuerdo)
 Responsable: El Instituto, a través de sus áreas, los partidos políticos
nacionales, a través de la instancia interna designada, para el caso de los
padrones de afiliados y militantes. (artículo 3, numeral 1, fracción XIII del Acuerdo)
 Definiciones básicas

 Titular: La persona física a quien pertenecen los datos personales. (artículo 3,

numeral 1, fracción XVI del Acuerdo de la PDP en posesión del INE y los PP)

 Transferencia: Toda comunicación de datos personales dentro o fuera del

territorio mexicano, realizada a persona distinta del titular, responsable o
encargado del tratamiento. (artículo 3, numeral 1, fracción XVII del Acuerdo de la PDP en posesión del INE
y los PP)

 Tratamiento: Cualquier operación o conjunto de operaciones efectuadas

mediante procedimientos físicos o automatizados, aplicados a los datos
personales, relacionadas con la obtención, registro, organización,
conservación, elaboración, utilización, comunicación, difusión,
almacenamiento, posesión, acceso, manejo, aprovechamiento, divulgación
o disposición de datos personales. (artículo 3, numeral 1, fracción XVIII del Acuerdo de la PDP en
posesión del INE y los PP)
Persona | Individuo | Ser humano | Titular de DP
 Ejemplos de Datos Personales
Conforme a su tipo

 Académicos:
Trayectoria educativa, título, certificados, etc...

 Ideológicos:
creencias religiosas, afiliación política y/o sindical, pertenencia a organizaciones
de la sociedad civil y/o asociaciones religiosas...

 Salud:
Estado de salud, historial clínico, enfermedades, información relacionada con
cuestiones de carácter psicológico y/o psiquiátrico, etc...

 Características personales:
Tipo de sangre, ADN, huella digital, etc...

 Características físicas:
Color de piel, iris y cabellos, señales particulares, etc...

 Vida y hábitos sexuales, origen (étnico y racial.); entre otros

 Obligaciones en materia de
protección de datos personales

 Los responsables no podrán difundir, distribuir o comercializar los datos personales

contenidos en los sistemas de datos personales, desarrollados en el ejercicio de
sus funciones, salvo que haya mediado el consentimiento expreso, por escrito o por
un medio de autenticación similar, de los individuos a que haga referencia la
información de acuerdo a la normatividad aplicable;

 Los servidores públicos del Instituto y funcionarios de los partidos políticos que
intervengan en el tratamiento de datos personales, deberán garantizar la protección
en el manejo de dicha información, por lo que no podrá ser comunicada salvo en los
casos previstos por una ley.

 Las áreas que posean por cualquier título sistemas de datos personales, deberán
hacerlo del conocimiento del Comité de Protección de Datos Personales, a través CP
DP
de la Unidad de Transparencia, quien coadyuvará a mantener el registro
actualizado de los sistemas de datos personales en posesión del Instituto.
(Artículo 10 del Acuerdo)
 Órgano competente en materia de Datos Personales.

Comité de Protección de Datos Personales

¿Cómo se integra? Determinación de

integración mediante
a) Tres Consejeros Electorales: Acuerdo INE/CG364/2016.
• Designado por las dos terceras partes
del CG.
• Uno fungirá como presidente del Comité
• Contarán con voz y voto. Presidente:
CE Lic. Javier Santiago Castillo.
c) Representantes de los PP y Integrantes:
Consejeros del Poder legislativo: CE Mtra. Adriana M. Favela Herrera
• Con voz pero sin voto. CE Dr. Benito Nacif Hernández

d) El Director Jurídico del Instituto:

• Fungirá como Secretario Técnico Consejeros del Poder Legislativo y
• Con voz pero sin voto. representantes de los PP: Por los 9 PP

Director Jurídico del INE.

 Principios

Licitud

Finalidad
Proporcionalidad

Principios
Consentimiento

Calidad

Información
 Principios

 Licitud:
El tratamiento de datos personales por parte de los responsables deberá
obedecer exclusivamente a las facultades, atribuciones o competencias que
la normatividad aplicable les confiere. (Artículo 12 del Acuerdo)

 Proporcionalidad:
El responsable sólo deberá tratar los datos personales que resulten
adecuados, relevantes y estrictamente necesarios para la finalidad que
justifica su tratamiento (Artículo 13 del Acuerdo)

 Finalidad:
Los datos personales en posesión de los responsables deberán tratarse
únicamente para la o las finalidades para las cuales fueron obtenidos. Dichas
finalidades deberán ser concretas, lícitas, explícitas y legítimas. (Artículo 19 del
Acuerdo)
 Principios

 Calidad:
 El responsable deberá adoptar las medidas necesarias para mantener
exactos, correctos, completos y actualizados los datos personales en su
posesión, a fin de no alterar su veracidad, y que el Titular no se vea
afectado por tal situación.
 Cuando los datos personales hayan dejado de ser necesarios para el
cumplimiento de la finalidad prevista en la MPDP de los datos y que
motivó su tratamiento, deberán ser suprimidos, previo bloqueo en su
caso, y una vez que concluya el plazo de conservación de los mismos, se
informará de tal situación al titular.
 Los plazos de conservación de los datos personales no deberán exceder
aquéllos que sean necesarios para el cumplimiento de las finalidades que
justificaron su tratamiento, y deberán atender a las disposiciones
aplicables a la materia de que se trate y considerar los aspectos
administrativos, contables, fiscales, jurídicos e históricos de los datos
personales. (Artículo 14, del Acuerdo de la PDP en posesión del INE y los PP)
 Principios

 Información:
 Se deberá informar al titular de los datos personales, a través de la
Manifestación de Protección de Datos Personales (MPDP), la
existencia y características principales del tratamiento al que serán
sometidos sus datos personales, a fin de que pueda tomar decisiones
informadas al respecto.

 La MPDP deberá:
 Por regla general ponerse a disposición del titular de los datos, de
manera previa a la obtención de los datos personales.
 Redactarse y estructurarse de manera clara y sencilla.
 La UTyPDP podrá auxiliar a las áreas y PPN en la redacción de las
MPDP.
(Artículos 15 del Acuerdo)
 Principios

 Consentimiento:
Todo tratamiento de datos personales en posesión de los
responsables deberá contar con el consentimiento previo del titular
de los datos, el cual deberá otorgarse en forma libre, específica e
informada.

El consentimiento del titular podrá manifestarse de forma expresa

o tácita.
 Excepciones del consentimiento para proporcionar dp:
 Los necesarios por razones estadísticas, científicas o de interés general previstas en la ley aplicable; previo
procedimiento por el cual no puedan asociarse los datos personales con el individuo a quien se refieran;
 Cuando se transmitan entre sujetos obligados, siempre y cuando los datos se utilicen para el ejercicio de
facultades propias de los mismos;
 Cuando exista una orden judicial;
 A terceros cuando se contrate la prestación de un servicio que requiera el tratamiento de datos personales.
Dichos terceros no podrán utilizar los datos personales para propósitos distintos a aquéllos para los cuales se
les hubieren transmitido,
 En los demás casos que establezcan las leyes.
(Artículos 17 y 18 del Acuerdo)
 Manifestación de protección de datos personales

¿Qué es la MPDP?

Documento físico, electrónico o en cualquier otro

formato generado por el responsable, que es puesto
a disposición del titular, previo al tratamiento de sus
datos personales.

Modalidad para darse a conocer la MPDP

Podrá darse a conocer en dos formas: simplificada o

integral.

Dependiendo la forma en que se recabaron los datos

de manera directa o personalmente del titular.
 Modalidades de la MPDP

 Simplificada: Deberá ponerse a disposición del titular, de manera directa,

previo a la obtención de sus datos personales y contendrá:

 La denominación y domicilio del responsable;

 El fundamento legal que faculta a las áreas o al partido político a recabar los datos
personales;
 Las finalidades del tratamiento para las cuales se obtienen los datos personales,
distinguiendo aquéllas que requieren el consentimiento;
 Los mecanismos y medios disponibles para el ejercicio de los derechos ARCO, y
 El sitio donde podrá consultar la MPDP integral.

La MPDP se da a conocer de manera directa cuando se hace del conocimiento

del titular por cualquier medio electrónico, óptico, sonoro, visual, o a través de
cualquier otra tecnología.
La puesta a disposición de este tipo de manifestación no exime al responsable
de su obligación de proveer los mecanismos para que el titular pueda conocer el
contenido de la manifestación integral.
 Modalidades de la MPDP

 Integral: Se da a conocer personalmente al titular de los datos; es decir, cuando el

responsable la entrega o la hace del conocimiento del titular, con la presencia física de
ambos.
Deberá contener, además de la información que debe contener la MPDP simplificada, la
siguiente:

 La mención de que los datos recabados serán protegidos en términos de la LFTAIPG y el

Acuerdo de protección de datos personales;
 Los datos personales que serán sometidos a tratamiento, identificando aquellos que sean
sensibles;
 Las transferencias de datos personales que en su caso se efectúen, requieran o no el
consentimiento del titular, deberán informar: (a) Los nombres de las autoridades, personas físicas
o morales a las que se les transfieren los datos; (b) La finalidad de la o las transferencias,
distinguiendo las que requieren el consentimiento del titular; (c) El fundamento que faculta al
responsable para llevarlas a cabo, y (d) los datos transferidos.
 El domicilio de la Unidad de Transparencia;

Los responsables deberá publicar la MPDP en el portal del Instituto para hacerla del
conocimiento de los titulares, y los PPN en sus páginas de internet en que se pueda
consultar su padrón de afiliados y militantes.
 Deberes

 Seguridad  Confidencialidad
Los responsables deberán Los responsables deberán
establecer y mantener las establecer controles o
medidas de seguridad de carácter mecanismos que tengan por
administrativo, físico y técnico objeto que todos los servidores
para la protección de los datos públicos, o bien los funcionarios
personales, que permitan de los partidos políticos para el
protegerlos contra daño, pérdida, caso de los padrones de afiliados
alteración, destrucción, o su uso, y militantes, y cualquier persona
acceso o tratamiento no que intervenga en cualquier fase
autorizado, así como garantizar del tratamiento de los datos
su confidencialidad, integridad y personales guarden absoluta
disponibilidad. confidencialidad de estos,
obligación que subsistirá aún
después de finalizar sus
relaciones con el mismo.
(Artículo 16 del Acuerdo de la PDP en posesión del INE y los PP)

(Artículo 24 del Acuerdo de la PDP en posesión del INE y los PP)

 Derechos ARCO

 Derecho de acceso: El titular tendrá derecho de acceder a los datos personales

que obren en posesión del responsable, así como a conocer la información
relacionada con las condiciones y generalidades de su tratamiento. (Artículo 27 del
Acuerdo)

 Derecho de rectificación: El titular tendrá derecho a solicitar a los

responsables, según sea el caso, la rectificación de sus datos personales,
cuando estos resulten ser inexactos, incompletos o no se encuentren
actualizados. (Artículo 28 del Acuerdo)
 Derecho de cancelación: El Titular tendrá derecho a solicitar a los
responsables la supresión de sus datos personales de los archivos, registros,
expedientes y sistemas del responsable, a fin de que los mismos ya no estén en
su posesión y dejen de ser tratados por el responsable.
La cancelación da lugar a un periodo de bloqueo, tras el cual se procederá a
la supresión del dato, en términos de las disposiciones aplicables.
La cancelación no procede cuando: a) exista una obligación legal de
conservar los datos, o b) se pudiera causar un perjuicio a derechos de terceros.
(Artículo 29 del Acuerdo)
 Derechos ARCO

 Derecho de oposición: Derecho del titular a oponerse al

tratamiento de sus datos personales o exigir que cese el mismo
cuando:

 Se utilicen para fines para los que no fueron recabados,

 Exista una causa legitima y su situación específica así lo
requiera, lo cual implica que aun siendo lícito el tratamiento, el
mismo debe cesar para evitar que su persistencia cause un
daño o perjuicio al titular, o
 No desee que se lleve a cabo el tratamiento de sus datos
personales para fines específicos.

No procederá el ejercicio del derecho de oposición en aquellos casos

en los que el tratamiento sea necesario para el cumplimiento de una
obligación legal impuesta a los responsables.
 Acreditación de la identidad y personalidad

Titular, copia de su documento de identificación oficial, el cual deberá estar vigente y

habiendo exhibido el original para su cotejo, que a continuación se refieren:

 Cartilla del Servicio Militar Nacional.

 Pasaporte.
 Cédula Profesional.
 Credencial para Votar.

Representante del titular previa acreditación de:

 La identidad del titular y del representante, conforme a los documentos antes

referidos;
 Instrumento público o carta poder firmada ante dos testigos.
La identidad del titular o, en su caso, la identidad y personalidad del representante,
deberá acreditarse en el caso de las solicitudes de acceso a datos personales, al
momento de la entrega de la información; tratándose de las solicitudes de rectificación,
cancelación y oposición, al momento de notificar al solicitante la respuesta de la
procedencia del ejercicio del derecho.
 Recurso de Revisión

El Titular, por sí mismo o a través de su representante, podrá interponer un recurso de revisión,

ante la Unidad de Transparencia, dentro de los 15 días hábiles contados a partir del día
siguiente a:

 La fecha en que tuvo conocimiento del acto o respuesta impugnada;

 La notificación de la respuesta a su solicitud para el ejercicio de sus derechos ARCO, o
 El vencimiento del plazo para que se le entregara el resultado sobre la solicitud para el
ejercicio de sus derechos ARCO

El recurso de revisión procederá cuando:

 Se niegue el ejercicio de los derechos ARCO;

 Se declare la incompetencia por el área responsable;
 Se considere que la entrega de los datos personales está incompleta;
 Se entreguen datos personales que no correspondan con lo solicitado;
 Se entreguen o pongan a disposición datos personales en una modalidad o formato
distinto al solicitado, o en un formato incomprensible;
 No se dé trámite a una solicitud para el ejercicio de los derechos ARCO;
 Se estime que el Instituto o el Partido político nacional no cumplieron adecuadamente
con la obligación de otorgar el ejercicio de los derechos ARCO, o
 No se dé respuesta a una solicitud para el ejercicio de los derechos ARCO dentro de los
plazos establecidos en este Acuerdo.
 Incidente de incumplimiento

 Es procedente por la omisión total o parcial del cumplimiento a lo

ordenado en las resoluciones en los plazos fijados para tal efecto.
 Podrá promverse por el titular o, en su caso, por su representante,
mediante escrito presentado ante la Secretaría Técnica del Comité o a
través de los medios electrónicos establecidos al efecto, en los supuestos
siguientes:

 Dentro de los 15 días hábiles, contados a partir de la notificación de la

resolución al Área o PPN requerido, y
 Tratándose de omisión, dentro de los 15 días hábiles, contados a partir
del vencimiento del plazo otorgado para cumplir la resolución
Gracias.