Fundamentos y disposiciones generales

Temas específicos de protección de datos personales

Tratamiento de Datos Biométricos

Introducción

El imparable desarrollo tecnológico ha facilitado, de formas antes impensables nuestras actividades cotidianas, un ejemplo de ello es el uso de nuestros datos biométricos. Cada vez es más frecuente que nuestra huella digital, iris o voz, sea la llave de entrada a nuestro lugar de trabajo, computadora o teléfono celular.
En el mismo sentido, nuestra información biométrica puede ser utilizada por las autoridades para cumplir de mejor manera sus facultades y para proveer mejores servicios a la ciudadanía, por ejemplo, en los procesos de reposición de documentos de identificación, de control migratorio, o en el ámbito penal, por mencionar algunos.
Como veremos más adelante, los datos biométricos, como regla general, se pueden considerar datos personales y, por esta razón, las empresas, organizaciones, profesionistas y autoridades tienen el deber de realizar el tratamiento de esta información bajo las condiciones que establece la normativa en esta materia.
Para apoyar en esta labor, el INAI ha desarrollado el presente curso en línea dirigido a los responsables o encargados de los sectores público y privado, que pretendan tratar o traten en la actualidad datos biométricos a través de medios digitales o electrónicos, es decir automatizados, con el objeto de que el tratamiento se realice de conformidad con los principios, deberes y obligaciones establecidas en la LFPDPPP y en la LGPDPPSO, así como demás normativa aplicable.
En la parte inferior de la página podrás encontrar un glosario que te apoyará en el entendimiento de los términos técnicos y normativos más relevantes integrados en este trayecto formativo.
Entre los contenidos que se abordarán en este curso, se encuentra la descripción de las características y generalidades de los datos biométricos y, en especial, dada su amplia utilización, de la huella dactilar. Como parte fundamental, se encuentra el apartado que explica los casos en los que un dato biométrico es considerado como un dato personal.
Así mismo, el apartado de Recomendaciones, aborda los conceptos fundamentales para entender el derecho de protección de datos personales; proporciona una descripción detallada de cada uno de los principios, deberes y derechos previstos por la normativa en materia de protección de datos personales; identifica y explica las obligaciones vinculadas con cada uno de ellos; y, desarrolla las recomendaciones para que en el tratamiento de datos biométricos se cumplan las obligaciones previamente descritas.

Nota

Nota:

En el caso de instituciones públicas estatales o municipales, para el debido tratamiento de datos biométricos, éstas deberán observar, de manera adicional, las disposiciones locales existentes en la materia.



¡Es momento de comenzar!
Para conocer más, pulse sobre cada uno de los siguientes temas.

Tratamiento de Datos Biométricos

¿Qué son los datos biométricos y cuáles son sus características principales?

Los datos biométricos tal y como se menciona en el glosario de este curso, son las propiedades físicas, fisiológicas, de comportamiento o rasgos de la personalidad, atribuibles a una sola persona y que son medibles.*
De conformidad con el Grupo de trabajo del Artículo 29, los datos biométricos, en mayor o menor medida, son: **

Instrucciones:Da clic sobre los recuadros para conocer las características de los Datos biométricos




Tipos de datos biométricos

Entre los datos biométricos que refieren a características físicas y fisiológicas se encuentran la huella digital, el rostro (reconocimiento facial), la retina, el iris, la geometría de la mano o de los dedos, la estructura de las venas de la mano, la forma de las orejas, la piel o textura de la superficie dérmica, el ADN, la composición química del olor corporal y el patrón vascular, pulsación cardíaca, entre otros.
Por otro lado, entre los datos biométricos que refieren a las características del comportamiento y los rasgos de la personalidad se encuentran la firma autógrafa, la escritura, la voz, la forma de oprimir un teclado y la forma de caminar, entre otros.
El tipo de dato biométrico determinará el sistema biométrico que deberá utilizarse para el reconocimiento de la persona. Es importante mencionar que cada sistema biométrico tiene sus características propias.
Las tecnologías biométricas de reconocimiento de características físicas y fisiológicas consideran parámetros derivados de la medición directa de algún rasgo estrictamente físico o funcional del cuerpo humano a la hora de identificar personas. Entre las más comunes se encuentran:

Observa las más comunes dando clic en las imágenes para desplegar la información


Huella dactilar: Reconocimiento facial: Reconocimiento de iris: Geometría de la mano: Reconocimiento de retina: Reconocimiento vascular:

Huella dactilar:

Es la más antigua y existen dos técnicas: Basada en minucias y basada en correlación. Esta última requiere un registro más preciso pues se analiza el patrón global seguido por la huella dactilar.

Reconocimiento facial:

El análisis se realiza a través de mediciones como la distancia entre los ojos, la longitud de la nariz o el ángulo de la mandíbula.

Reconocimiento de iris:

Una cámara infrarroja escanea el iris y proporciona sus detalles. Los patrones del iris vienen marcados desde el nacimiento y rara vez cambian, son muy complejos y contienen una gran cantidad de información, más de 200 propiedades únicas.

Geometría de la mano:

De una cámara se capturan imágenes en 3-D, se extraen características que incluyen las curvas de los dedos, su grosor y longitud, la altura y la anchura del dorso de la mano, las distancias entre las articulaciones y la estructura ósea.

Reconocimiento de retina:

Se basa en la utilización del patrón de los vasos sanguíneos contenidos en la misma. Cada patrón es único incluso entre los gemelos idénticos y tiene una tasa de falsos positivos prácticamente nula.

Reconocimiento vascular:

Se extrae el patrón biométrico a partir de la geometría del árbol de venas del dedo. Es interno y no deja rastro, por lo que el robo de identidad es muy difícil.


Por su parte, las tecnologías biométricas de reconocimiento de características del comportamiento y la personalidad se caracterizan por considerar en el proceso de identificación rasgos derivados de una acción realizada por una persona. Entre las más comunes se encuentran:

Observa las más comunes dando clic en cada imagen



A pesar de que los datos biométricos son relativamente efectivos para distinguir individuos, éstos tienen distintos grados de estabilidad; por ejemplo, las huellas dactilares y el iris tienden a mantenerse estables a través del tiempo y son difíciles de alterar, mientras que el rostro puede modificarse con el tiempo y disimularse mediante el uso de cosméticos, disfraces, cirugías y hasta con posturas y muecas.

Huellas dactilares

Los sistemas biométricos de reconocimiento de huellas dactilares son los más comúnmente utilizados debido a lo fácil que resulta recolectar de las personas este dato.
Las huellas dactilares se forman a partir de la superficie desigual de la piel de los dedos de la mano, en donde se identifican diversas protuberancias y hendiduras conocidas como crestas y valles, las cuales se encuentran dispuestas de modo único. Si bien, a una huella dactilar se le pueden aplicar procedimientos manuales de reconocimiento biométrico conocidos como técnica biométrica de correlación, este espacio se enfocará en la técnica biométrica automatizada basada en minucias.
Cuando se registra una huella dactilar en un sistema de reconocimiento, ésta aparece como una serie de líneas oscuras que representan las crestas y de líneas blancas que representan los valles, ubicados entre las crestas. A menudo, las crestas son más cortas y se detienen y comienzan abruptamente. Esta combinación de crestas y valles, con sus correspondientes ubicaciones, direcciones, bifurcaciones, inicios y finales -las minucias-, resultan en un patrón único de características de cada huella dactilar. Las minucias son, entonces, aquellos puntos de interés en toda huella digital.

Imagen

La información de las minucias -principalmente las bifurcaciones y las terminaciones de las crestas, aunque también se utilizan otras minucias- es la que se recolecta y la que posteriormente se utiliza para desarrollar la plantilla.

Imagen

Uno de los componentes esenciales en el campo del reconocimiento de huellas dactilares, es el desarrollo de estándares técnicos. Este enfoque es manejado por la vasta variedad de algoritmos y sensores disponibles en el mercado. La interoperabilidad está relacionada con los estándares de la tecnología y es otro aspecto crucial en la implementación del producto. Las plantillas generadas por un sistema biométrico para reconocimiento dactilar deberían ser capaces de ser interpretadas por otra computadora usando un sistema diferente.

Nota

Nota:

Cabe señalar que, de acuerdo con el análisis de los sistemas biométricos para reconocimiento dactilar, realizado por el Instituto Nacional de Estándares de los Estados Unidos, (NIST por sus siglas en inglés), derivado de la USA PATRIOT ACT, en donde se evaluó la precisión de distintos sistemas de esta clase, se concluyó que la utilización de cuatro a 10 huellas dactilares resulta tan eficiente como la utilización de una sola huella dactilar de alta calidad.

* A modo de referencia, el REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento Europeo), en su artículo 4, inciso 14, define como datos biométricos a los datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos.
** Adicionalmente, existen varias formas en las que un dato biométrico puede presentarse y esto se encuentra vinculado a la cantidad de información que revelan. Atendiendo a lo anterior, se dice que un dato biométrico se presenta en su imagen pura, cuando es reconocible a simple vista como la imagen de una huella dactilar; que se presenta en una imagen cifrada cuando los datos sólo pueden ser recreados por ciertas personas o tecnologías para ser usados para generar una imagen; y que se presenta en una imagen parcialmente cifrada, cuando existen datos parciales de una imagen, los cuales son cifrados, y no pueden ser usados para recrear la imagen completa original.

Reconocimiento de personas a través de un Dato Biométrico

El objeto del sistema biométrico es reconocer a las personas, es decir, “volver a conocer” a una persona que ha sido previamente identificada y registrada, dicho reconocimiento implica comparar, ya sea de manera manual, o bien automatizada, una muestra biométrica de una persona con plantillas previamente registradas y relacionadas con una identidad especifica.

Los datos biométricos en la vida diaria

Uno de los usos más frecuentes de los datos biométricos es el que se realiza en los lugares de trabajo, para controlar la asistencia de los empleados o para asegurar que sólo las personas autorizadas ingresen a determinada zona del lugar de trabajo; pero también pueden usarse como medio para acceder a determinadas aplicaciones o dispositivos como la computadora o el celular.
Igualmente, los biométricos son utilizados para robustecer el control migratorio y, en el ámbito penal, para que la autoridad confirme la identidad de un imputado a un delito, entre otros usos. Asimismo, con mayor frecuencia, los datos biométricos se utilizan para confirmar la identidad del individuo en las transacciones financieras, para evitar daños patrimoniales o jurídicos.

Reflexión

A través de los procesos de identificación y verificación se puede llevar a cabo el reconocimiento de los individuos.

Proceso de identificación o verificación

Pulsa sobre la imagen para conocer los procesos de identificación y verificación


Identificación Verificación

Identificación:* Consiste en comparar la muestra biométrica recolectada de una persona frente a una base completa de datos biométricos registrados con anterioridad. No se requiere de ningún dato adicional del usuario, es decir, el único dato que se recoge en el momento del uso es una muestra biométrica, sin apoyo de un nombre de usuario u otro dato, la cual es transformada en plantilla. Por ejemplo, una base de datos criminales, donde se compara uno o más datos biométricos contra todos los registros de una base de datos en posesión de la policía a fin de encontrar una coincidencia.
Este método requiere de un proceso de cálculo complejo, puesto que se ha de comparar esta nueva plantilla con cada una de las plantillas anteriormente almacenadas y relacionadas a personas específicas para buscar una coincidencia (comparación 1 a muchos, 1:N).
Este proceso permite determinar, si en la base de datos biométricos de determinado sistema biométrico existe una muestra coincidente y, en caso de que así sea, la identidad de la persona. Por ejemplo, un nombre o número vinculado a dicha plantilla Un sistema biométrico de identificación puede medir su precisión a través de la tasa de falsa alarma, es decir, la tasa en la que un sistema biométrico realiza coincidencias de plantillas de manera incorrecta, determinando que una persona es quien no es en realidad y, la tasa de identificación, es decir, la tasa de coincidencias –identificaciones- realizadas correctamente.

*Tal y como se señala en el estudio sobre Privacidad y Biométricos del Consejo Nacional de Ciencia y Tecnología de Estados Unidos, la identificación de las personas que se realiza a través de estos sistemas biométricos de identificación (identificación por sistema) es distinta –y más limitada- a la identificación que una persona tiene fuera del sistema biométrico (identificación absoluta). Al respecto, se entiende que esta otra identificación fuera del sistema está relacionada a cuestiones jurídicas o de hecho, por ejemplo, al nombre con el que una persona es registrada en el Registro Civil o el nombre con el que la gente de su comunidad lo reconoce.

Verificación: Este proceso implica un método cuyo primer paso es la individualización del usuario mediante algún nombre, tarjeta, dispositivo inteligente o algún otro método, y la obtención de su muestra biométrica la cual es convertida en una plantilla. Posteriormente, se realiza la selección de la plantilla anteriormente registrada para dicho usuario. Por último, se comparan ambas plantillas (comparación uno a uno, 1:1), se determina si son coincidentes y, en ese sentido, si la persona es o no quien dice ser, es decir, el resultado es positivo si las plantillas coinciden o negativo si no lo hacen. Este proceso es simple, al tener que comparar únicamente dos plantillas.
Algunos de los ejemplos de este método, son los registros de asistencia, donde se compara uno o más datos biométricos contra el mismo registro almacenado para comprobar que un empleado es quien dice ser, o bien la verificación de la huella dactilar de un usuario para desbloquear su teléfono inteligente. La precisión de un sistema biométrico de verificación puede medirse de las siguientes formas:

  1. Tasa de falsos positivos, es decir, la tasa de verificaciones incorrectas porque se determine que una persona es quien dice ser cuando en realidad no lo sea.
  2. Tasa de falsos negativos, es decir, la tasa de verificaciones incorrectas porque se determine que una persona no es quien dice ser cuando en realidad sí lo sea.
  3. Tasa de verificación, es decir, la tasa de coincidencias –verificaciones- realizadas correctamente


Considerando lo previamente expuesto, es posible identificar las siguientes fases de los sistemas biométricos, tanto de verificación como de identificación. Estas fases implican distintos tratamientos de datos personales:

Conócelos dando clic sobre las imágenes


1. Registro. 2. Conversión. 3. Almacenamiento. 4. Comparación. 5. Decisión:

1. Registro.Es el primer paso de un sistema biométrico y se realiza a través de sensores o aparatos que observan y graban ciertas muestras biométricas. Abarca tanto la recolección de la muestra como su ingreso al sistema.

2. Conversión. Es el proceso por el cual se convierte la muestra biométrica recopilada en una plantilla.

3. Almacenamiento. Proceso por el que se guardan las plantillas generadas durante la fase de recolección y durante el proceso de verificación o identificación.
Este almacenamiento puede hacerse en una base de datos que contenga todas las muestras y plantillas biométricas obtenidas, o bien, en una tarjeta inteligente que contenga sólo la muestra o plantilla biométrica del dueño del dato biométrico y usuario de dicha tarjeta.

4. Comparación. La plantilla nueva (obtenida de la “captura en vivo”) es comparada con la(s) otra(s) plantilla(s) generadas y guardadas previamente, a través de cálculos algorítmicos y de puntajes de coincidencia que se evalúan con base en umbrales de coincidencia previamente establecidos.
Establecer el umbral de coincidencia no es una tarea sencilla ya que, por ejemplo, las tasas de verificación, de falsos negativos y de falsos positivos son variables dependientes y si el umbral de coincidencia se fija en un valor bajo, la tasa de tasa de verificación aumentará y la tasa de falsos negativos disminuirá, pero, en el mismo sentido, la tasa de falsos positivos aumentará.

5. Decisión: Consiste en el proceso a través del cual se toma una decisión de forma automática o con asistencia humana sobre la verificación o identificación basada en el resultado de la fase de comparación. Esta decisión es comunicada por el sistema biométrico al usuario que puede ser el propio sujeto a identificarse o verificarse, o bien, un tercero.


Aunado a la variabilidad en la estabilidad de los distintos datos biométricos, un sistema biométrico sólo es tecnológicamente capaz de determinar dentro de una probabilidad estadística si la plantilla analizada coincide o no con las plantillas previamente almacenadas. En este sentido, los sistemas biométricos no pueden garantizar una exactitud completa.
Por lo anterior, tanto la gestión, supervisión y evaluación de los efectos de un sistema biométrico deberían considerar siempre la naturaleza probabilística del proceso e integrar dicha característica en las políticas y procedimientos del uso del sistema. Como ya vimos, esto puede hacerse a través de estadísticas como las tasas de verificaciones o de verificaciones incorrectas y las tasas de falsa alarma –o falso positivo- y de identificación.
Los procesos de reconocimiento biométrico pueden ser automatizados, semiautomatizados, y manuales, lo que implica que pueden involucrar ciertas etapas de recolección o análisis donde intervenga el factor humano.

Aunque el uso de datos biométricos para identificar o verificar la identidad de una persona es cada vez más común, éstos no son la única alternativa para llevar a cabo el proceso de reconocimiento. En general, existen tres factores a partir de los cuales se puede identificar o verificar la identidad de una persona:

Da clic sobre la imagen



Para determinar cuál de los tres factores de reconocimiento es el adecuado para identificar o verificar la identidad de una persona en un tratamiento particular, se deben tomar en cuenta diversos criterios, como los siguientes. Da clic en el enlace, observa y analiza con atención el cuadro de comparación de los factores de reconocimiento.

Nota

Nota:

Si quieres conocer más acerca sobre los Factores de reconocimiento te recomendamos consultar el texto Tecnologías biométricas aplicadas a la ciberseguridad creado en 2016 por el INCIBE en España

Descarga

Guía para el tratamiento de Datos Biométricos Descargar formato

Como se puede observar, ninguno de los tres elementos tiene por sí mismo todas las ventajas o desventajas asociadas a los factores previamente mencionados, por ello, resulta recomendable usar un factor de reconocimiento múltiple, adaptado a las circunstancias concretas del tratamiento en cuestión. En el caso de los datos biométricos y sus sistemas, el factor de reconocimiento múltiple podría consistir en:

Biometría multimodal:

Biometría multimodal:

Consiste en utilizar dos o más datos biométricos de manera conjunta. Este método se utiliza con la finalidad de aumentar la capacidad de reconocimiento de un sistema biométrico.

Reconocimiento multimodal:

Reconocimiento multimodal:

Consiste en utilizar un dato biométrico en combinación con una contraseña, pin, tarjeta o token. Este método puede tener dos finalidades, la primera, reforzar la identificación o verificación de la identidad de la persona, al requerir dos o más elementos para comprobar la identidad y, la segunda, que exista un método de verificación de respaldo en caso de falla o malfuncionamiento del sistema biométrico.

Para cerrar este apartado, es necesario señalar que la adquisición de determinado sistema biométrico es decisión del responsable, quien deberá considerar diversos factores como la naturaleza de sus actividades, la finalidad del tratamiento, la naturaleza del biométrico a utilizar, la interoperabilidad entre sistemas biométricos y el costo.*

*Los sistemas biométricos correspondientes a distintas clases de biométricos generalmente utilizan distintos métodos de obtención de muestras biométricas y no es posible utilizar las muestras obtenidas por un sistema biométrico en otro sistema biométrico salvo las huellas dactilares, en donde existen estándares (INCITS 378 o el ISO/IEC 19794-2:2005) que especifican las características que deben ser satisfechas por las plantillas biométricas de las huellas dactilares para que pueda existir interoperabilidad entre los distintos sistemas que utilizan este biométrico para reconocimiento]

¿Cuándo un dato biométrico se considera dato personal?

Una vez que se ha descrito qué es un dato biométrico y cuáles son sus principales características, podremos definir las circunstancias bajo las cuales se podrán considerar un dato personal.
De acuerdo con la Ley Federal de Protección de Datos Personales en Posesión de los Particulares y la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados, los datos personales son cualquier información concerniente a una persona física identificada o identificable*. Lo anterior, independientemente de la forma en que dicha información se encuentre expresada, misma que puede ser numérica, alfabética, gráfica, fotográfica, acústica, entre otras.
Ambas leyes precisan que una persona es identificable cuando su identidad pueda determinarse, directa o indirectamente, a través de cualquier información.
A partir de la definición anterior, podemos observar que hay dos condiciones que se deben cumplir para que cierta información se considere un dato personal:

Pulsa sobre cada imagen para desplegar la información


Ficha 3. Obligaciones generales. Debe identificar o hacer identificable a su titular.

Debe referir a una persona física.

Los datos biométricos son las propiedades físicas, fisiológicas, de comportamiento o rasgos de la personalidad, atribuibles a una sola persona y que son medibles. En ese sentido, podemos concluir que cumplen con la primera condición antes descrita, pues refieren y están asociados a una persona física en lo particular.

Debe identificar o hacer identificable a su titular.

Es decir, a que identifiquen o hagan identificable a su titular, se puede advertir que, si bien existen datos biométricos que por sí mismos identifican a una persona, por ejemplo, el rostro de una persona conocida; la mayoría de ellos requiere de un procesamiento o información adicional para que sea posible reconocer a su titular, como se explicó anteriormente.
Tal es el caso de la huella digital, que por sí sola y de manera aislada no identifica a su titular, pero cuando ingresa a un sistema en el que se vincula a un individuo en lo particular y después se pueden comparar nuevas muestras con la plantilla previamente registrada, se vuelve un dato personal, al hacer identificable a su titular.


Hoy en día, los datos biométricos se utilizan precisamente con el propósito de reconocer a los individuos y confirmar su identidad, mediante el uso de la tecnología y métodos científicos, que permiten recolectarlos, almacenarlos, compararlos e interpretarlos. Sin embargo, un dato biométrico aislado, que no pueda ser registrado en un sistema biométrico, ni se pueda vincular con un sujeto en lo particular o comparar con otras muestras, no podría considerarse un dato personal, ya que, por una parte, por sí mismo no identificaría a su titular, y por la otra, los esfuerzos necesarios para hacerlo identificable serían desproporcionados.

Nota

Nota:

Un dato biométrico será dato personal cuando de manera directa identifique a su titular, o bien, lo haga identificable a través de la biometría, pues sin la aplicación de este método serían desproporcionales los esfuerzos que se requerirían para reconocer a la persona.

Por otra parte, tanto la Ley General como la Federal contemplan una figura especial de datos personales, los denominados “datos personales sensibles”, que se definen como aquéllos que se refieren a la esfera más íntima de su titular, o cuya utilización indebida pueda dar origen a discriminación o conlleve un riesgo grave para éste. Adicionalmente, se enlista una serie de datos personales que explícitamente son considerados como sensibles, incluyendo los que revelen aspectos como el origen racial o étnico, el estado de salud, la información genética, las creencias religiosas, filosóficas o morales, las opiniones políticas, la preferencia sexual y, en el caso de la Ley Federal, la afiliación sindical.
Si bien los datos biométricos no están mencionados de manera expresa en el listado de datos personales sensibles que se incluyen en ambas leyes**, ello no implica que no se puedan considerar como tales bajo ciertas circunstancias. Para determinar tal característica, se requiere atender las condiciones del caso concreto, a fin de analizar si los datos biométricos en cuestión actualizan alguno de los siguientes tres supuestos que prevén la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados y la Ley Federal de Protección de Datos Personales en Posesión de los Particulares para considerar un dato personal como sensible:

Que se refieran a la esfera más íntima de su titular;

Que su utilización indebida pueda dar origen a discriminación, o

Que su uso ilegítimo conlleve un grave riesgo para su titular.

Ejemplos de datos biométricos como datos sensibles

Da clic en los siguientes cuadros


IRIS HUELLA DIGITAL

IRIS

El dato biométrico del iris podría considerarse sensible en los casos en que permita obtener información sobre el estado de salud de su titular.

HUELLA DIGITAL

Una huella digital podría considerarse sensible si a través de un uso indebido de la misma se puede tener acceso a información privilegiada que pudiera poner en riesgo la seguridad o estabilidad patrimonial o financiera de una persona o incluso su condición jurídica.
En los casos en los que un dato biométrico se considere sensible, se requerirá de una protección reforzada.


Una vez precisados los casos en los que un dato biométrico podrá considerarse personal y sensible, podemos continuar con algunas recomendaciones específicas, para que su tratamiento sea conforme a lo dispuesto por las normas que regulan la protección de datos personales en el sector público y privado.***

*A modo de referencia, se señala que el Reglamento Europeo prevé que una persona física es identificable cuando su identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona.
** Distinto de lo que sucede con nuestra legislación que no hace una mención explícita al respecto, el artículo 9, inciso 1, del Reglamento Europeo prevé que los datos biométricos dirigidos a identificar de manera unívoca a una persona física son considerados como datos con una categoría especial, es decir, datos sensibles.
***Por ejemplo, en la resolución ACT-PRIV-20/01/2016.03.01.01, el Pleno del INAI señaló que, en el caso concreto, las huellas digitales se consideran como datos personales sensibles.

AUTOEVALUACIÓN Ejercicio Interactivo. Para reforzar conocimientos seleccione la respuesta que considere correcta.

1.Algunas de las características propias de los datos biométricos es que son:

  1. Universales, únicos, permanentes y medibles
  2. Medibles, confiables, transferibles y físicos
  3. Universales, físicos, permanentes y seguros

Su respuesta es correcta.

Su respuesta no es correcta.

2.Forma parte de las tecnologías biométricas de reconocimiento de características físicas y fisiológicas:

  1. Reconocimiento de escritura
  2. Reconocimiento de firma
  3. Reconocimiento vascular

Su respuesta es correcta.

Su respuesta no es correcta.

3. Es el sistema biométrico de reconocimiento más utilizado debido a lo fácil que resulta la recolección del dato:

  1. Reconocimiento del iris
  2. Huella dactilar
  3. Reconocimiento de la retina

Su respuesta es correcta.

Su respuesta no es correcta.

4. El reconocimiento de individuos puede llevarse a cabo a través de los procesos de:

  1. Identificación y verificación
  2. Registro inicial y transferencia
  3. Preregistro y Comparación

Su respuesta es correcta.

Su respuesta no es correcta.

5. Es la comparación de una muestra biométrica recolectada de una persona frente a una base completa de datos biométricos registrados previamente:

  1. Verificación
  2. Transferencia
  3. Identificación

Su respuesta es correcta.

Su respuesta no es correcta.

6. Consiste en utilizar dos o más datos biométricos de manera conjunta. Este método se usa con la finalidad de aumentar la capacidad de reconocimiento de un sistema biométrico:

  1. Biometría multimodal
  2. Reconocimiento multimodal
  3. Conversión multimodal

Su respuesta es correcta.

Su respuesta no es correcta.

7.Son condiciones que deben cumplirse para que cierta información se considere un dato personal:

  1. Debe referir a una persona física y determinar la situación judicial de su titular
  2. Debe referir a una persona física e identificar o hacer identificable a su titular
  3. Debe referir a una persona física y contribuir a su localización

Su respuesta es correcta.

Su respuesta no es correcta.

Reiniciar ejercicio

Obligaciones y recomendaciones en cuanto a principios y deberes

En este espacio conoceremos los sujetos a los que aplica la regulación en materia de protección de datos personales y profundizaremos en algunas recomendaciones para el tratamiento de datos biométricos en cuanto a principios y deberes, entre los que se encuentran: licitud, lealtad, información, consentimiento, finalidad, proporcionalidad, calidad, responsabilidad, así como los deberes de seguridad y confidencialidad.

Recomendaciones para el tratamiento de datos biométricos

¿A quién aplica la regulación en materia de protección de datos personales?

En términos de la LFPDPPP, serán sujetos regulados, los particulares, sean personas físicas o morales, que lleven a cabo el tratamiento de datos personales, con excepción de:

a) las sociedades de información crediticia en los supuestos de la Ley para Regular las Sociedades de Información Crediticia y demás disposiciones aplicables.

b) las personas que lleven a cabo el tratamiento de datos que sea para uso exclusivamente personal, y sin fines de divulgación o utilización comercial.

Es importante diferenciar los aspectos que aplican en el ámbito privado, es decir, para los sujetos regulados y, por otro lado en el ámbito público, es decir los sujetos obligados; por lo anterior, a lo largo del desarrollo de este tema podrá encontrar estos ámbitos en diferentes colores, el morado corresponde al privado mientras que el azul hace referencia al público.

Así mismo, de acuerdo a la LGPDPPSO, serán sujetos obligados, en el ámbito federal, estatal y municipal, cualquier autoridad, entidad, órgano y organismo de los Poderes Ejecutivo, Legislativo y Judicial, órganos autónomos, partidos políticos, fideicomisos y fondos públicos.

Los sindicatos y cualquier otra persona física o moral que reciba y ejerza recursos públicos o realice actos de autoridad en el ámbito federal, estatal y municipal serán responsables de los datos personales, de conformidad con la normatividad aplicable para la protección de datos personales en posesión de los particulares.

En conclusión, cualquier persona, empresa, organización o autoridad que trate datos biométricos y decida sobre dicho tratamiento, deberá atender cualquiera de las dos normativas mencionadas que le aplique y la que de ella derive, para lograr un adecuado tratamiento de dicha información.

Reflexión

Principios y deberes rectores de la protección de datos personales

Con la entrada en vigor de la LFPDPPP, el 6 de julio de 2010, así como de la LGPDPPSO, el 27 de enero de 2017, se reconocen una serie de principios, deberes y derechos rectores de la protección de datos personales, de observancia obligatoria para los particulares (sujetos regulados) y sujetos obligados del sector público que tratan datos personales, y que en su conjunto garantizan un manejo adecuado de los mismos, en favor de la privacidad y de la autodeterminación informativa de los titulares de los datos personales. De acuerdo con las citadas leyes, los principios rectores de la protección de datos personales son: licitud, lealtad, información, consentimiento, finalidad, proporcionalidad, calidad y responsabilidad. Dichos principios se traducen en obligaciones concretas para los responsables del tratamiento de los datos personales, las cuales se describirán a detalle en este tema. De manera adicional, se reconocen los deberes de seguridad y confidencialidad, los cuales también establecen obligaciones concretas a quienes traten datos personales en el ejercicio de sus actividades. Asimismo, los responsables del tratamiento deberán garantizar y facilitar a los titulares de los datos personales el ejercicio de los derechos de acceso, rectificación, cancelación, oposición (Derechos ARCO), la revocación del consentimiento y la prerrogativa de portabilidad.

Nota

Nota:

El derecho de revocación del consentimiento se encuentra contemplado en la LFPDPPP y en los Lineamientos Generales del sector público, mientras que la prerrogativa de portabilidad está prevista sólo en la LGPDPPSO

Ocho principios de la protección de datos personales

Los principios son un pilar fundamental que garantizan al titular ese poder de decisión y control sobre la información que le concierne y que se traducen en obligaciones de hacer o no hacer a cargo del responsable, que deben converger, a través de la implementación de acciones o controles específicos, en cualquier tratamiento de datos personales que efectúe.
Obsérvalos a continuación.

1. Principio de licitud

Pulse sobre las imágenes para ver más información.


Ficha 1. Fundamento legal (artículos relacionados) Ficha 2. ¿En qué consiste? Ficha 3. Obligaciones generales. Ficha 4. Recomendaciones específicas

Ficha 1. Fundamento legal (artículos relacionados)

Principio LFPDPPP RLFPDPPP LGPDPPSO Lineamientos Generales
Licitud 7, primer párrafo
9, segundo párrafo
10 y 56 7 y 17 8

Ficha 2. ¿En qué consiste?

De conformidad con este principio los datos deberán tratarse con apego y cumplimiento a lo dispuesto por la legislación mexicana y el derecho internacional.

Ámbito Público:

En el caso de los sujetos obligados, de manera adicional, el tratamiento de los datos personales que estos realicen deberá sujetarse a las facultades o atribuciones que la normativa aplicable les confiera.

Ámbito Público

Ficha 4. Recomendaciones específicas

  • Conocer la normatividad que en lo específico regula y aplica a la actividad en la que son tratados los datos biométricos, a fin de verificar que la misma prevea el uso de este tipo de datos y en qué términos lo hace, o bien, que la misma no lo prohíba.
  • Revisar las atribuciones que facultan al sujeto obligado para tratar datos biométricos.
  • En el caso de los responsables del sector privado, analizar si el uso de los datos biométricos está debidamente justificado según la finalidad de la que se trate.

2. Principio de lealtad

Pulse sobre las imágenes para ver más información.

Ficha 1. Fundamento legal (artículos relacionados) Ficha 2. ¿En qué consiste?  Ficha 3. Obligaciones generales Ficha 4. Recomendaciones específicas

Ficha 1. Fundamento legal (artículos relacionados)

Principio LFPDPPP RLFPDPPP LGPDPPSO Lineamientos Generales
Lealtad 7 44 19 11

Ficha 2. ¿En qué consiste?

Establece la obligación de tratar los datos personales privilegiando la protección de los intereses del titular y la expectativa razonable de privacidad, es decir, la confianza que deposita el titular en el responsable, respecto de que los datos personales proporcionados serán tratados conforme a lo que acordaron, así como a lo señalado por la normatividad y el aviso de privacidad correspondiente. De igual forma dispone que el responsable no deberá obtener ni tratar datos personales a través de medios engañosos o fraudulentos.

Ficha 4. Recomendaciones específicas

  • Hacer uso de medios que estén permitidos por la ley para obtener los datos biométricos.
  • Verificar que en el aviso de privacidad se señale de manera expresa el tratamiento de los datos biométricos y que esté incluida la finalidad para la cual se utilizarán.
  • Tener especial cuidado en el tratamiento de datos biométricos, a fin de que éste se apegue a lo informado al titular y se privilegie en todo momento sus intereses con relación al uso de sus datos personales.

3. Principio de información

Pulse sobre las imágenes para ver más información.

Ficha 1. Fundamento legal (artículos relacionados) Ficha 2. ¿En qué consiste? Ficha 3. Obligaciones generales Ficha 4. Recomendaciones específicas

Ficha 1. Fundamento legal (artículos relacionados)

Principio LFPDPPP RLFPDPPP LGPDPPSO Lineamientos Generales
Información 15 al 18 23 al 35
Asimismo, los Lineamientos y Criterios
26 al 28 26 al 45

Ficha 2. ¿En qué consiste?

Aviso de privacidad

Es el principio en virtud del cual el responsable tiene la obligación de comunicar al titular de los datos personales, las características principales del tratamiento al que será sometida su información personal, así como los medios para ejercer sus derechos, lo que se materializa a través del aviso de privacidad.
Por lo anterior, todo responsable que trate datos personales, sin importar la actividad que realice o si se trata de una persona física o moral, pública o privada, requiere elaborar y poner a disposición de los titulares el aviso de privacidad. El principio de información legitima el tratamiento de los datos personales, mediante la elaboración y puesta a disposición del aviso de privacidad, entendido éste como el documento físico, electrónico o en cualquier otro formato generado por el responsable, que es puesto a disposición del titular, previo al tratamiento de sus datos personales, con el propósito de informarle en qué consistirá el mismo, así como los medios disponibles para ejercer sus derechos.
El aviso de privacidad permite que el titular esté debidamente informado, de forma tal que pueda ejercer su derecho a la autodeterminación informativa y protección de datos personales.

Ficha 3. Obligaciones generales

Pulse sobre las imágenes para ver más información.

Nota

Nota:

Los responsables a los que les aplique la LFPDPPP pueden consultar los Lineamientos del Aviso de Privacidad y el ABC del aviso de privacidad. Los responsables a los que les aplique la LGPDPPSO deberán redactar el aviso de privacidad en las modalidades y con los elementos informativos que se señalan en los artículos 27 y 28 de dicho ordenamiento, así como en los Lineamientos Generales.

Puedes consultar algunas Herramientas elaboradas por el INAI para facilitar el cumplimiento del principio de información, así como para la elaboración y puesta a disposición del aviso de privacidad dando clic a los siguientes recuadros.
Para responsables a los que les aplica la LFPDPPP:
Para los sujetos obligados a los que les aplica la LGPDPPSO:

Ficha 4. Recomendaciones específicas

  • Informar expresamente en el aviso de privacidad que se recabarán datos biométricos, especificando su tipo (por ejemplo, huellas dactilares o iris).
  • Cuando los datos biométricos que se traten sean sensibles, señalarlo en el aviso de privacidad.
  • Incluir en el aviso de privacidad las finalidades para las cuales serán tratados los datos biométricos, entre ellas el reconocimiento de los titulares, y en caso de que éstas requieran el consentimiento, señalarlo.
  • Cuando se realicen transferencias de datos biométricos, informarlo en el aviso de privacidad y, en caso de que éstas requieran consentimiento, señalarlo.
  • Si las finalidades o transferencias de datos biométricos requieren consentimiento, se deberá ofrecer al titular un mecanismo para que pueda otorgar o negar su consentimiento.
  • En el caso del sector público, incluir en el aviso de privacidad las disposiciones normativas que fundamentan el tratamiento de los datos biométricos.
  • Tomar en cuenta que, debido a la naturaleza de los sistemas biométricos tratados para fines de reconocimiento, normalmente se llevarán a cabo dos etapas en las que estos datos serán recolectados: la primera, para la creación de las plantillas que serán almacenadas en el sistema biométrico; la segunda, para la comparación de nuevas muestras biométricas con las plantillas almacenadas. Al respecto, no es necesario que el responsable dé a conocer el aviso de privacidad integral en cada ocasión que un dato biométrico es recolectado, para realizar la comparación si el aviso de privacidad fue dado a conocer con anterioridad a la recolección inicial de un sistema biométrico en particular. No obstante, se recomienda que en cada recolección de datos biométricos, se ponga a disposición del titular el aviso de privacidad simplificado.

4. Principio de consentimiento

Pulse sobre las imágenes para ver más información.

Ficha 1. Fundamento legal (artículos relacionados) Ficha 2. ¿En qué consiste? Ficha 3. Obligaciones generales Ficha 4. Recomendaciones específicas

Ficha 1. Fundamento legal (artículos relacionados)

Principio LFPDPPP RLFPDPPP LGPDPPSO Lineamientos Generales
Consentimiento 8 al 10 11 al 21 7, 20 al 22 12 al 20

Ficha 2. ¿En qué consiste?

Como regla general, el responsable deberá contar con el consentimiento del titular para el tratamiento de sus datos personales, salvo en los casos de excepción previstos en los artículos 10 y 37 de la LFPDPPP, o en el artículo 22 de la LGPDPPSO, según resulte aplicable. Cuando éste sea necesario, la solicitud del consentimiento deberá ir siempre ligada a las finalidades concretas del tratamiento que se informe en el aviso de privacidad, es decir, el consentimiento se deberá solicitar para tratar los datos personales para finalidades específicas, no en lo general. De igual manera, el consentimiento debe ser informado, por lo que previo a su obtención, es necesario que el titular conozca el aviso de privacidad. Ahora bien, el consentimiento puede ser tácito, expreso o expreso y por escrito, dependiendo del tipo de datos personales que se tratarán, como se explica en el documento que puedes descargar dando clic en el ícono:

De clic en el enlace para Descargar

El consentimiento expreso o expreso y por escrito se puede obtener a través del aviso de privacidad o de cualquier otro documento físico o electrónico que determine el responsable. Por ejemplo, el consentimiento expreso y por escrito se podría obtener a través de un formato o contrato, y el expreso por medio de una grabación telefónica o de una casilla en formato electrónico. No obstante, hay que recordar que, en todos los casos, de manera previa se debe dar a conocer el aviso de privacidad. Es importante tener en cuenta, que el medio que el responsable ponga a disposición del titular para obtener su consentimiento debe ser sencillo y gratuito.
Adicionalmente, la obtención del consentimiento deberá reunir las siguientes características:

Pulse sobre las imágenes para ver más información.

La LFPDPPP establece excepciones a la obligación general de obtener el consentimiento para el tratamiento de los datos personales, las cuales se encuentran previstas en el artículo 10 de dicha norma. Por su parte, el artículo 22 de la LGPDPPSO, establece las excepciones en las que el responsable no estará obligado a recabar el consentimiento del titular para el tratamiento de sus datos personales.

LFPDPPP (Art. 10)
Ámbito privado (sujetos regulados)
Ámbito privado
LGPDPPSO (Art. 22)
Ámbito público (sujetos obligados)
 Ámbito público
El tratamiento sea necesario porque así lo ordena una ley. Cuando una ley así lo disponga, sin que dichos supuestos contravengan las bases, principios y disposiciones de la LGPDPPSO.
Los datos personales se obtengan de una fuente de acceso público. Cuando los datos personales figuren en fuentes de acceso público.
Los datos personales se sometan a un procedimiento previo de disociación, de forma tal que no se pueda identificar a su titular. Cuando los datos personales se sometan a un procedimiento previo de disociación.
El tratamiento tenga el propósito de cumplir obligaciones derivadas de una relación jurídica entre el titular y el responsable. Cuando los datos personales se requieran para ejercer un derecho o cumplir obligaciones derivadas de una relación jurídica entre el titular y el responsable.
Exista una situación de emergencia que potencialmente pueda dañar a un individuo en su persona o en sus bienes. Cuando exista una situación de emergencia que potencialmente pueda dañar a un individuo en su persona o en sus bienes.
Los datos personales sean indispensables para la atención médica, la prevención, diagnóstico, la prestación de asistencia sanitaria, tratamientos médicos o la gestión de servicios sanitarios, mientras el titular no esté en condiciones de otorgar el consentimiento, en los términos que establece la Ley General de Salud y demás disposiciones jurídicas aplicables, y cuando el tratamiento se realice por una persona sujeta al secreto profesional u obligación equivalente. Cuando los datos personales sean necesarios para efectuar un tratamiento para la prevención, diagnóstico, la prestación de asistencia sanitaria.
Se dicte resolución de autoridad competente. Cuando exista una orden judicial, resolución o mandato fundado y motivado de autoridad competente.
Cuando las transferencias que se realicen entre responsables, sean sobre datos personales que se utilicen para el ejercicio de facultades propias, compatibles o análogas con la finalidad que motivó el tratamiento de los datos personales
Para el reconocimiento o defensa de derechos del titular ante autoridad competente.
Cuando el titular de los datos personales sea una persona reportada como desaparecida.

Resulta imprescindible tener en cuenta, que el hecho de que no se requiera el consentimiento para el tratamiento, no implica que no se deban cumplir los otros principios, lo que incluye la obligación de poner a disposición del titular el aviso de privacidad.

Ficha 3. Obligaciones generales

NUMERO 1

Recabar el consentimiento para el tratamiento de datos personales, cuando éste se requiera. Para ello se deberá identificar, primero, si se actualiza alguna de las causales previstas en el artículo 10 de la LFPDPPP o 22 de la LGPDPPSO y, en caso de que no sea así, se deberá identificar el tipo de datos personales que se van a tratar, para determinar si se requiere el consentimiento tácito, expreso o expreso-por escrito.

NUMERO 2

Solicitar el consentimiento expreso para los datos personales financieros o patrimoniales.

NUMERO 3

Solicitar el consentimiento expreso-por escrito para los datos personales sensibles.

NUMERO 4

Dar a conocer al titular el aviso de privacidad previo a la obtención del consentimiento.

NUMERO 5

Solicitar el consentimiento siempre ligado a finalidades específicas e informadas en el aviso de privacidad.

NUMERO 6

Solicitar el consentimiento previo a la obtención de los datos personales o en el momento en que lo indique la normatividad que resulte aplicable.

NUMERO 7

Obtener el consentimiento para nuevas finalidades, cuando se pretenda tratar los datos personales para fines distintos, que no sean compatibles o análogos a los establecidos de origen en el aviso de privacidad.

NUMERO 8

Facilitar al titular medios sencillos y gratuitos para que, en su caso, pueda manifestar su consentimiento o negativa al mismo.

NUMERO 9

Generar pruebas para acreditar que se cumplió con el principio de consentimiento.

NUMERO 10

Llevar un control para identificar a los titulares que en su caso hayan negado su consentimiento para el tratamiento de finalidades específicas, que no se traten de aquéllas que originan y sustentan la relación jurídica entre el titular y el responsable.

Si deseas conocer recomendaciones adicionales a las mencionadas, sobre cómo cumplir con el principio de consentimiento, te sugerimos consultar la Guía para cumplir con los principios y deberes de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares.

De clic en el enlace paraDescargar

Ficha 4. Recomendaciones específicas

  • Se recomienda identificar si el dato biométrico recolectado será tratado dentro de alguno de los supuestos previstos por los artículos 10 de la LFPDPPP o 22 de la LGPDPPSO. En caso de que así sea, su tratamiento no requerirá consentimiento.
  • No obstante, si el responsable pretende hacer uso de datos biométricos para finalidades que no encuadren en las excepciones anteriormente señaladas, o que no resulten compatibles o análogas con aquéllas para las cuales se recabaron los datos personales, será necesario que se obtenga el consentimiento del titular.
  • Solicitar el consentimiento tácito de los titulares de los datos biométricos, cuando éstos no resulten sensibles.
  • Solicitar el consentimiento expreso y por escrito de los titulares de los datos biométricos, previo a que se recaben, o bien, en el momento en que lo indique la normativa aplicable, cuando éstos resulten sensibles.

5. Principio de finalidad

Pulse sobre las imágenes para ver más información.

Ficha 1. Fundamento legal (artículos relacionados) Ficha 2. ¿En qué consiste? Ficha 3. Obligaciones generales Ficha 4. Recomendaciones específicas

Ficha 1. Fundamento legal (artículos relacionados)

Principio LFPDPPP RLFPDPPP LGPDPPSO Lineamientos Generales
Finalidad 4, 9, segundo párrafo, 10 y 12 40 al 43 y 56 18 9 y 10

Ficha 2. ¿En qué consiste?

¿En qué consiste?

  • En atención a este principio, los datos personales sólo pueden ser tratados para cumplir con la finalidad o finalidades que hayan sido informados al titular en el aviso de privacidad y, en su caso, consentidas por éste, o bien, para aquellas finalidades que sean compatibles o análogas.
  • Se entiende por finalidad del tratamiento, el propósito, motivo o razón por el cual se tratan los datos personales.
  • Las finalidades del tratamiento de datos personales deberán ser determinadas, es decir, deberán especificar para qué objeto se tratarán los datos personales de manera clara, sin lugar a confusión y con objetividad.
  • De igual forma, los sujetos obligados de la LGPDPPSO deberán realizar los tratamientos que estén justificados por finalidades concretas, lícitas, explícitas y legítimas, relacionadas con las atribuciones que la normatividad aplicable les confiera. Estos responsables podrán tratar datos personales para finalidades distintas a aquéllas establecidas en el aviso de privacidad, siempre que cuenten con atribuciones conferidas en la ley y medie el consentimiento del titular, salvo que el titular sea una persona reportada como desaparecida, en los términos previstos en la LGPDPPSO y demás disposiciones que resulten aplicables en la materia.
Finalmente, es de carácter primordial recordar que en el caso de que los datos biométricos sean también datos personales sensibles, los responsables del sector privado no podrán crear bases de estos datos sin que se justifique su creación para finalidades legítimas, concretas y acordes con las actividades o fines explícitos que persigue el responsable u obedezca a un mandato legal.

Ficha 4. Recomendaciones específicas

  • Describir en el aviso de privacidad la o las finalidades para las cuales serán tratados los datos biométricos recolectados. En el caso de que los datos biométricos se utilicen para el reconocimiento de personas, incluirlo en el aviso de privacidad como una finalidad más.
  • No tratar los datos biométricos del titular para finalidades que no resulten compatibles o análogas a aquéllas para las cuales fueron recabados, por ejemplo, para conocer su estado de salud, en el caso de que se hayan recabado para el control de acceso a instalaciones.
  • Cuando los datos biométricos que se recaben se consideren sensibles, las finalidades para las cuales se recaben y traten los datos biométricos deberán estar debidamente justificadas. Para el caso de los particulares, estas finalidades deberán ser legítimas, concretas y acordes con las actividades del responsable. Por su parte, para el caso del sector público, las finalidades deberán estar debidamente fundamentadas, además de motivadas.

6. Principio de proporcionalidad

Pulse sobre las imágenes para ver más información.

Ficha 1. Fundamento legal (artículos relacionados) Ficha 2. ¿En qué consiste? Ficha 3. Obligaciones generales Ficha 4. Recomendaciones específicas

Ficha 1. Fundamento legal (artículos relacionados)

Principio LFPDPPP RLFPDPPP LGPDPPSO Lineamientos Generales
Proporcionalidad 13 45 y 46 25 24 y 25

Ficha 2. ¿En qué consiste?

¿En qué consiste?

En atención a este principio sólo podrán ser objeto de tratamiento los datos personales que resulten necesarios, adecuados y relevantes en relación con las finalidades para las que se hayan obtenido y que se encuentren previstas en el aviso de privacidad. El responsable tendrá que realizar esfuerzos razonables para que los datos personales tratados sean los mínimos necesarios para lograr la finalidad o finalidades para las cuales se obtuvieron. En cuanto al tratamiento de datos personales sensibles, los responsables deberán realizar esfuerzos razonables para limitar el periodo de tratamiento al mínimo indispensable, con relación a las finalidades que motivan su tratamiento.

Ficha 4. Recomendaciones específicas

  • Evaluar si la recolección de datos biométricos es necesaria para la finalidad pretendida.
  • Priorizar el uso de datos que no sean biométricos para lograr la misma finalidad sin restarle efectividad.
  • Obtener y utilizar únicamente los datos biométricos que sean necesarios, adecuados y no excesivos para las finalidades para las que fueron recabados. Por ejemplo, se recomienda adquirir sistemas biométricos en donde se eliminen las muestras biométricas inicialmente recolectadas y se almacenen únicamente las plantillas obtenidas de dichas muestras y que son las que se utilizarán para futuras comparaciones.
  • Recolectar y tratar el número mínimo de datos biométricos (muestras biométricas) necesarios para la finalidad para la cual se están recolectando. Por ejemplo, para los procesos de control de acceso, es recomendable dar prioridad a sistemas biométricos de verificación sobre los de identificación.
  • Evitar o limitar al máximo la recolección de datos biométricos que pudieran revelar datos sensibles no necesarios para las finalidades legitimas que se persiguen. Por ejemplo, la muestra del iris usada para el control de acceso podría revelar información sobre el estado de salud de una persona, la cual es excesiva para dicha finalidad.
  • La cantidad de muestras biométricas también depende de su calidad, es decir, entre más precisas y exactas sean las muestras biométricas y las plantillas recolectadas y generadas, será necesario recolectar un menor número de muestras biométricas por individuo. Por ello, es recomendable recabar datos con la mejor calidad posible para disminuir el número de datos biométricos requeridos para cumplir con la finalidad correspondiente. En este sentido, de acuerdo con el análisis de los sistemas biométricos para reconocimiento dactilar realizado por el Instituto Nacional de Estándares de los Estados Unidos de América, NIST (por sus siglas en inglés) la utilización de cuatro a diez huellas dactilares resulta tan eficiente como la utilización de una sola huella dactilar de alta calidad. Sólo en ciertos casos, por ejemplo, cuando una autoridad realice un tratamiento de huellas dactilares con una finalidad vinculada con un tema de seguridad nacional o pública, podría justificarse la recolección de un mayor número de datos.

7. Principio de calidad

Pulse sobre las imágenes para ver más información.

Ficha 1. Fundamento legal (artículos relacionados) Ficha 2. ¿En qué consiste? Ficha 3. Obligaciones generales Ficha 4. Recomendaciones específicas

Ficha 1. Fundamento legal (artículos relacionados)

Principio LFPDPPP RLFPDPPP LGPDPPSO Lineamientos Generales
Calidad 11 36 al 39 23 y 24 21 a 23

Ficha 2. ¿En qué consiste?

El principio de calidad refiere a que, conforme a la finalidad (es) para las que se vayan a tratar los datos personales, éstos sean: exactos, completos, pertinentes (solo para la LFPDPPP), correctos y actualizados.

Pulse sobre las imágenes para ver más información.

El responsable debe adoptar las medidas que considere convenientes para procurar que los datos personales cumplan con estas características, con el fin de que no se altere la veracidad de la información, ni que ello tenga como consecuencia que el titular se vea afectado por esta situación.
Además, este principio establece la obligación del responsable de suprimir o eliminar previo bloqueo –en caso de que fuera requerido- los datos personales que hayan dejado de ser necesarios para el cumplimiento de las finalidades que originaron su tratamiento, salvo que, por disposiciones legales y por consideraciones administrativas, contables, fiscales, jurídicas o históricas, deban ser conservadas por más tiempo.
Finalmente, se presume que se cumple con la calidad de los datos cuando éstos son proporcionados directamente por el titular, y hasta que éste no manifieste y acredite lo contrario, o bien, el responsable cuente con evidencia objetiva que lo contradiga.

Ficha 3. Obligaciones generales

Pulse sobre las imágenes para ver más información.

NUMERO 1

Adoptar los mecanismos necesarios para procurar que los datos personales en posesión del responsable sean exactos, completos, pertinentes, actualizados y correctos, a fin de que no se altere la veracidad de la información, ni que el titular se vea afectado por dicha situación.

NUMERO 2

Conservar los datos personales exclusivamente hasta en tanto la finalidad para la cual se recabaron haya sido satisfecha y por el tiempo establecido en las disposiciones legales aplicables, tomando en cuenta los aspectos administrativos, contables, fiscales, jurídicos e históricos de la información.

NUMERO 3

Bloquear los datos personales una vez que concluya el plazo de conservación, para limitar su uso exclusivamente, y sólo en caso de que sea necesario, para determinar responsabilidades en relación con su tratamiento.

NUMERO 4

Suprimir los datos personales una vez terminado el periodo de bloqueo, siempre que no exista una disposición legal que obligue a la conservación de la información o que la misma tenga valor histórico.

Los responsables a quienes les aplica la LFPDPPP deberán eliminar los datos personales relacionados al incumplimiento de obligaciones contractuales, previo bloqueo, una vez que transcurra un plazo de 72 meses, contado a partir de la fecha en que se presente el incumplimiento.

Tomar medidas razonables para que se cumpla el principio de calidad, teniendo en cuenta siempre el tipo de datos personales y las condiciones de tratamiento, cuando los datos personales no se obtengan directamente del titular.

Establecer y documentar procedimientos para la conservación, bloqueo y supresión de los datos personales, que incluyan los periodos de conservación.

Contar con un procedimiento o mecanismo que le permita demostrar que los datos personales se conservan, bloquean, suprimen o cancelan cumpliendo los plazos establecidos para ello, o en atención a una solicitud del derecho de cancelación.

Ficha 4. Recomendaciones específicas

  • Los responsables deberán tomar todas las medidas razonables para garantizar que los datos biométricos en su poder sean exactos, completos, pertinentes y actualizados.
  • Es importante señalar que la exactitud (es decir, que tengan contraste y resolución que sean comprimidas correctamente y no presenten distorsiones), de las plantillas y la calidad de las muestras biométricas depende de diversos factores como:

Pulse sobre las imágenes para ver más información.

La tecnología o el sistema biométrico utilizado. Al respecto, es recomendable utilizar tecnología o sistemas biométricos que garanticen la mayor calidad posible en la obtención de las muestras biométricas y que tengan tasas bajas de falsos positivos y de falsos negativos. Se considera oportuno recordar nuevamente que las tasas de falsos positivos y falsos negativos son variables dependientes y cuando una sube, la otra baja, por lo que la decisión para establecer el umbral de coincidencia debe ser analizado a fondo. No obstante, es importante reconocer que, hasta el momento, no hay tecnología o sistema biométrico que garantice un 100 por ciento de exactitud.*

Si se lleva a cabo un proceso de verificación o de identificación. La calidad de las muestras biométricas y la exactitud de las plantillas requerida para procesos de identificación es mayor que la requerida en procesos de verificación.

La naturaleza del propio biométrico, ya que hay algunos más estables que otros y que facilitan comparaciones útiles para efectos de reconocimiento. El iris y la huella dactilar tienden a tener menos variaciones que la voz o la imagen facial, que pueden distorsionarse por el entorno de captura y tienen características no lineales (la misma persona puede tener distintos tonos de voz o expresiones faciales).

El tamaño de la base de datos biométricos a compararse. Entre mayor sea el número de datos biométricos a compararse, se requerirá una mayor calidad en la muestra biométrica recolectada y en la exactitud de la plantilla generada.


No conservar los datos biométricos por un plazo superior al necesario para cumplir con la finalidad para la que se recolectaron. Por ejemplo, si los datos biométricos de un empleado han sido recabados para controlar el acceso a las instalaciones o sistemas informáticos del empleador, dichos datos deberían eliminarse tan pronto como concluya el plazo en el que se puedan utilizar para un procedimiento jurídico o administrativo, o bien, se termine la relación laboral.
*Según Aware, Inc., los sensores de los sistemas biométricos producen distorsiones ópticas y eléctricas, sobre la muestra biométrica. Asimismo, en el momento de la conversión a plantilla biométrica hay información de la muestra biométrica que se pierde. En el mismo sentido, señala que “[l]as frecuencias de muestreo (resolución espacial en el dominio digital) tienen un impacto significativo sobre la calidad de muestras biométricas”, entre otros aspectos a considerarse.

8. Principio de responsabilidad

Pulse sobre las imágenes para ver más información.

Ficha 1. Fundamento legal (artículos relacionados) Ficha 2. ¿En qué consiste? Ficha 3. Obligaciones generales Ficha 4. Recomendaciones específicas

Ficha 1. Fundamento legal (artículos relacionados)

Principio LFPDPPP RLFPDPPP LGPDPPSO Lineamientos Generales
Responsabilidad 14 47 y 48 29 y 30 46 a 52

Ficha 2. ¿En qué consiste?

El responsable deberá velar por el cumplimiento de los principios de protección de datos personales, con relación a los datos que se encuentren bajo su custodia o posesión, o bien, aquellos que haya comunicado un encargado, así como rendir cuentas de su tratamiento.

Nota:

Para cumplir este principio en responsable puede valerse de estándares, mejores prácticas internacionales, políticas corporativas, esquemas de autorregulación vinculante o cualquier otro mecanismo que determine adecuado para tales fines, siempre observando las disposiciones de la Constitución Política de los Estados Unidos Mexicanos y los Tratados Internacionales en los que el Estado mexicano sea parte.

Ficha 3. Obligaciones generales

1. Velar por el cumplimiento de los principios, deberes y obligaciones establecidos en las leyes de protección de datos personales, debiendo adoptar las medidas necesarias para su aplicación e implementar los mecanismos para acreditar su cumplimiento. Lo anterior aplicará aún y cuando estos datos fueren tratados por un tercero a solicitud del responsable.

2. Adoptar, al menos los siguientes mecanismos o medidas para cumplir con el principio de responsabilidad:

a. Elaborar políticas y programas de protección de datos personales obligatorios y exigibles al interior de la organización del responsable.

b. Poner en práctica un programa de capacitación, actualización y concientización del personal sobre las obligaciones y demás deberes en materia de protección de datos personales. Te sugerimos visitar nuestro campus virtual CEVINAI, enlace y otros cursos impartidos por el INAI.

c. Destinar recursos para la instrumentación de los programas y políticas de privacidad. En el caso de los sujetos obligados de la LGPDPPSO, dichos recursos deberán estar autorizados;

d. Revisar periódicamente las políticas y programas de seguridad de datos personales para determinar las modificaciones que se requieran;

e. Establecer procedimientos para recibir y responder dudas y quejas de los titulares, y

f. Prever un sistema de supervisión y vigilancia interna y/o externa, incluyendo auditorías, para comprobar el cumplimiento de las políticas de protección de datos personales.

Además de las obligaciones anteriores, los responsables a quienes les aplica la LFPDPPP deberán:

Velar y responder por el tratamiento de los datos personales que se encuentren bajo su custodia o posesión, o por aquéllos que haya comunicado a un encargado, ya sea que este último se encuentre o no en territorio mexicano. Para cumplir lo anterior, podrá valerse de estándares, mejores prácticas internacionales, políticas corporativas, esquemas de autorregulación o cualquier otro mecanismo que determine adecuado para tales fines.

Tomar las medidas necesarias y suficientes para garantizar que el aviso de privacidad dado a conocer al titular, sea respetado en todo momento al interior de su organización o por terceros con los que guarde alguna relación jurídica.

Instrumentar un procedimiento para que se atienda el riesgo para la protección de datos personales por la implementación de nuevos productos, servicios, tecnologías y modelos de negocios, así como para mitigarlos;

Para los responsables a quienes aplica la LFPDPPPdeberán establecer medidas para el aseguramiento de los datos personales, es decir, un conjunto de acciones técnicas y administrativas que permitan garantizar al responsable el cumplimiento de los principios y obligaciones establecidas por la Ley.

Establecer medidas para la trazabilidad de los datos personales, es decir, acciones, medidas y procedimientos técnicos que permiten rastrear a los datos personales durante su tratamiento.

Disponer de mecanismos para el cumplimiento de las políticas y programas de privacidad, así como de sanciones por su incumplimiento.

Por su parte, los responsables a quienes les aplica la LGPDPPSO, deberán:

Ficha 4. Recomendaciones específicas

  • Instrumentar procedimientos para que se evalúe y atienda el riesgo por la implementación de nuevos productos, servicios, tecnologías y modelos de negocios que impliquen el tratamiento de datos biométricos; así como para mitigar los riesgos identificados.
  • Implementar Privacidad por Diseño (es decir, tomar en cuenta los principios rectores de la protección de datos personales desde la fase inicial de diseño de cualquier desarrollo tecnológico) y, en su caso, Evaluaciones de Impacto a la Protección de Datos Personales.
  • Vigilar y documentar el desempeño del personal y prever acciones disciplinarias apropiadas y proporcionales -cuando la normativa laboral aplicable así lo permita- para aquellos empleados que no cumplan debidamente sus deberes en el manejo de datos personales, incluidos los datos biométricos.
  • Asegurarse que los servicios prestados por cualquier encargado que realice tratamiento de datos personales –incluidos los datos biométricos- a nombre y por cuenta del responsable se apegue a los artículos 50 a 55 del Reglamento de la LFPDPPP, en caso de particulares, o bien, a los artículos 58 al 64 de la LGPDPPSO, en el caso de Sujetos Obligados, los cuales se desarrollarán más adelante, en el apartado de las obligaciones derivadas de la relación con encargados del tratamiento.
  • Supervisar constantemente las actividades realizadas por proveedores externos que ofrezcan servicios que involucren el tratamiento de datos biométricos y adoptar esquemas de autorregulación vinculante o buenas prácticas en el tratamiento de datos biométricos.
  • Adoptar esquemas de autorregulación vinculante o buenas prácticas en el tratamiento de datos biométricos

Deberes que rigen la protección de datos personales

Además de los principios previamente abordados se reconocen los deberes de seguridad y confidencialidad, los cuales también establecen obligaciones concretas a quienes traten datos personales en el ejercicio de sus actividades.

1. Deber de seguridad

Pulse sobre las imágenes para ver más información.

Ficha 1. Fundamento legal (artículos relacionados) Ficha 2. ¿En qué consiste? Ficha 3. Obligaciones generales Ficha 4. Recomendaciones específicas

Ficha 1. Fundamento legal (artículos relacionados)

Deber LFPDPPP RLFPDPPP LGPDPPSO Lineamientos Generales
Seguridad 19 y 20 Capítulo III 31 al 41 55 al 70

Ficha 2. ¿En qué consiste?

Un pilar básico para un efectivo sistema de protección de datos personales, es el relacionado con la seguridad de dichos datos, entendido como la implementación de medidas administrativas, físicas y técnicas para garantizar y velar por la integridad, confidencialidad y disponibilidad de los datos personales. En este sentido, todo responsable y encargado que lleve a cabo tratamiento de datos personales deberá establecer y mantener medidas de seguridad administrativas, técnicas y físicas que permitan proteger los datos personales contra daño, pérdida, alteración, destrucción o el uso, acceso o tratamiento no autorizado.


De conformidad con la LFPDPPP, el responsable no podrá adoptar medidas para la seguridad de los datos personales, menores a aquéllas que tenga implementadas para la protección de su información en general.
Asimismo, tanto la LFPDPPP como la LGPDPPSO prevén que, para el establecimiento de las medidas o controles de seguridad, se deberá tomar en cuenta:

Pulse sobre las imágenes para ver más información.

De igual manera, el responsable deberá informar al titular las vulneraciones que afecten de forma significativa sus derechos patrimoniales o morales, en cuanto confirme que ocurrió la vulneración y haya tomado las acciones encaminadas a detonar un proceso de revisión exhaustiva de la magnitud de la afectación, y sin dilación alguna, a fin de que los titulares afectados puedan tomar las medidas correspondientes para la defensa de sus derechos. Para ello, el responsable deberá informar al titular al menos lo siguiente: Además de lo anterior, en caso de que ocurra una vulneración a los datos personales, el responsable debe analizar las causas por las cuales se presentó y a efecto de evitar que la vulneración se repita, deberá implementar acciones correctivas, preventivas y de mejora.
En el caso del sector público, el responsable que sufra una vulneración deberá informar también al INAI o al organismo garante que corresponda. Los Lineamientos Generales desarrollan con mayor detalle aspectos sobre plazos y los requerimientos de esta notificación.
Otra obligación adicional que tienen los responsables del sector público, es la elaboración de un documento de seguridad con la siguiente información:
  • El inventario de datos personales y de los sistemas de tratamiento;
  • Las funciones y obligaciones de las personas que traten datos personales;
  • El análisis de riesgos;
  • El análisis de brecha;
  • El plan de trabajo;
  • Los mecanismos de monitoreo y revisión de las medidas de seguridad, y
  • El programa general de capacitación.
El documento de seguridad deberá actualizarse en los siguientes casos:
  • Se produzcan modificaciones sustanciales al tratamiento de datos personales que deriven en un cambio en el nivel de riesgo;
  • Como resultado de un proceso de mejora continua, derivado del monitoreo y revisión del sistema de gestión;
  • Como resultado de un proceso de mejora para mitigar el impacto de una vulneración a la seguridad ocurrida, e
  • Implementación de acciones correctivas y preventivas ante una vulneración de seguridad.

Ficha 3. Obligaciones generales

  • Establecer y mantener medidas de seguridad administrativas, físicas y técnicas necesarias para el manejo de los datos personales en general.
  • Tomar en cuenta el riesgo inherente por tipo de dato personal; las posibles consecuencias para los titulares por una vulneración; la sensibilidad de los datos personales tratados y el desarrollo tecnológico, el número de titulares, las vulneraciones previas ocurridas en los sistemas de tratamiento, el riesgo por el valor potencial cuantitativo o cualitativo que pudieran tener los datos personales tratados para una tercera persona no autorizada para su posesión, entre otros factores que pudieran influir en el nivel de riesgo.
  • Considerar las acciones que establece el artículo 61 del Reglamento de la LFPDPPP o 33 de la LGPDPSO para la implementación y mantenimiento de las medidas de seguridad.
  • Actualizar las medidas de seguridad implementadas –y el documento de seguridad, cuando así se requiera-, es decir la LGPDPPSO según los criterios antes descritos.
  • Notificar a los titulares, y en su caso al INAI, las vulneraciones de seguridad que se presenten cuando éstas afecten de forma significativa sus derechos patrimoniales o morales.
  • Llevar a cabo las acciones que sean necesarias para corregir o prevenir que la vulneración de seguridad se repita.
Por su parte, los sujetos obligados de la LGPDPPSO además deberán:

Pulse sobre las imágenes para ver más información.

Es importante que los sujetos obligados de la Ley General observen cómo cumplir con las obligaciones de este deber y el establecimiento de las medidas correspondientes, de conformidad con las especificaciones previstas en los Lineamientos Generales.
Por otro lado, cabe señalar que el INAI publicó las Recomendaciones en materia de seguridad de datos personales en el DOF el 30 de octubre de 2013. Estas recomendaciones sirven de orientación tanto a los responsables como a los encargados del sector privado, para determinar qué procedimientos y mecanismos deben aplicar para garantizar la seguridad de los datos personales.
Además, el INAI desarrolló la Guía para implementar un Sistema de Gestión de Seguridad de Datos Personales y una metodología de análisis de riesgo, ambas publicadas en septiembre de 2013, en el portal de Internet del Instituto (www.inai.org.mx), así como el Manual en materia de seguridad de datos personales para MIPYMES y organizaciones pequeñas, publicado en dicho portal en julio de 2014.
Te recomendamos revisar las siguientes herramientas disponibles en las direcciones electrónicas especificadas, o bien, en el portal del Internet del INAI ( www.inai.org.mx ). Solo da clic sobre las imágenes:

Ficha 4. Recomendaciones específicas

  • Implementar las medidas físicas, técnicas y administrativas necesarias para garantizar que los datos biométricos estén protegidos del acceso, procesamiento, eliminación, pérdida o uso no autorizados. Para decidir el tipo de medidas a implementar, se recomienda tener en cuenta aspectos como la unicidad del biométrico tratado, su estabilidad en el tiempo, la posibilidad o no de usarlo para distintos fines, la posibilidad de ser obtenidos sin el conocimiento ni consentimiento del titular, y el impacto sobre el titular en caso de robo.
  • Revisar que la tecnología biométrica contemple mecanismos de cifrado en el almacenamiento y el tránsito de los datos y restringir el acceso a los datos biométricos únicamente a personal autorizado.
  • Guardar en bitácoras todos los accesos a los datos biométricos y evitar cruces de información innecesarios entre los sistemas biométricos y otros sistemas de tratamiento.
  • Se sugiere adquirir sistemas biométricos que almacenen únicamente la plantilla con minucias de huellas dactilares en lugar de la representación completa de la misma. para que sea más difícil su recreación en caso de que la información sea robada.
  • Minimizar el uso de bases de datos centralizadas para el almacenamiento de biométricos.
  • Contar con un sitio alterno para resguardar las bases de datos biométricos, el cual deberá estar provisto con las medidas de seguridad suficientes.
  • Considerar lo previsto por estándares internacionales, por ejemplo, los generados por el grupo de trabajo ISO/IEC JTC 1/SC 27, (vea: https://www.iso.org/committee/45306.html) en donde se desarrollan aspectos de seguridad en tecnologías de la información, incluidos los relacionados con información biométrica.

2. Deber de confidencialidad

Pulse sobre las imágenes para ver más información.

Ficha 1. Fundamento legal (artículos relacionados) Ficha 2. ¿En qué consiste? Ficha 3. Obligaciones generales Ficha 4. Recomendaciones específicas

Ficha 1. Fundamento legal (artículos relacionados)

Deber LFPDPPP RLFPDPPP LGPDPPSO Lineamientos Generales
Confidencialidad 21 42 71

Ficha 2. ¿En qué consiste?

El responsable o terceros que intervengan en cualquier fase del tratamiento de datos personales deberán guardar confidencialidad respecto de los datos personales, obligación que subsistirá aun después de finalizar su relación con el titular, o en el caso del encargado o de un empleado, con el responsable.

Ficha 4. Recomendaciones específicas

  • No difundir datos biométricos a terceros sin consentimiento de su titular.
  • Mantener el secreto de la información relacionada con los datosbiométricos recabados y almacenados, excepto cuando su comunicación se encuentre permitida en términos de una disposición legal.
  • Definir claramente al personal autorizado para tener acceso y para tratar datos biométricos al interior de la organización, o bien, por terceros que actúen a nombre y por cuenta del responsable. Al respecto, se considera pertinente el uso de cláusulas contractuales que delimiten las obligaciones de los empleados dentro de la organización, así como del encargado.
  • Implementar las medidas de seguridad necesarias para garantizar la secrecía de los datos biométricos.


Instrucciones: Lee con atención cada una de los puntos que se muestran a continuación y elige Verdadero si consideras que la sentencia es correcta o Falso si es falsa.

1.Cualquier persona, empresa, organización o autoridad que trate con datos biométricos y decida sobre dicho tratamiento, deberá atender las normativas de la LFPDPPP, o bien, la LGPDPPSO según corresponda.

  1. Verdadero
  2. Falso

Su respuesta es correcta.

Su respuesta no es correcta.

2. Los principios y deberes que rigen la protección de datos personales no garantizan un buen manejo de éstos.

  1. Verdadero
  2. Falso

Su respuesta es correcta.

Su respuesta no es correcta.

3. Los principios rectores de la protección de datos personales son obligaciones concretas para los responsables del tratamiento de los datos personales.

  1. Verdadero
  2. Falso

Su respuesta es correcta.

Su respuesta no es correcta.

4. Los principios rectores de la protección de datos personales son: licitud, lealtad, información, consentimiento, finalidad, seguridad y confidencialidad.

  1. Verdadero
  2. Falso

Su respuesta es correcta.

Su respuesta no es correcta.

5. El principio de licitud consiste en tratar los datos personales con apego y cumplimiento a lo dispuesto por la legislación mexicana y el derecho internacional.

  1. Verdadero
  2. Falso

Su respuesta es correcta.

Su respuesta no es correcta.

6. Según el principio de información no es necesario poner a disposición del titular el aviso de privacidad bajo circunstancias específicas.

  1. Verdadero
  2. Falso

Su respuesta es correcta.

Su respuesta no es correcta.

7. El consentimiento para el tratamiento de datos personales debe reunir las siguientes características: Libre, especifico, informado e inequívoco.

  1. Verdadero
  2. Falso

Su respuesta es correcta.

Su respuesta no es correcta.

8. Realizar esfuerzos razonables para que los datos personales que se recaben, sean los mínimos necesarios de acuerdo con la finalidad del tratamiento que tenga lugar es una obligación general del principio de calidad

  1. Verdadero
  2. Falso

Su respuesta es correcta.

Su respuesta no es correcta.

9. De acuerdo al deber de confidencialidad todo responsable y encargado que lleve a cabo tratamiento de datos personales deberá establecer y mantener medidas de seguridad administrativas, técnicas y físicas que permitan la protección de dichos datos.

  1. Verdadero
  2. Falso

Su respuesta es correcta.

Su respuesta no es correcta.

10. No difundir datos biométricos a terceros sin consentimiento del titular es una recomendación para el deber de confidencialidad.

  1. Verdadero
  2. Falso

Su respuesta es correcta.

Su respuesta no es correcta.

Reiniciar ejercicio

Obligaciones y recomendaciones: En cuanto a transferencias, encargado y derechos ARCO

Para concluir el Módulo 1, en este tema se abordan las obligaciones en torno a las transferencias, los derechos ARCO y las recomendaciones para el cumplimiento de éstas.

Pulsa sobre cada uno de los temas

Transferencias y tratamiento de datos

LFPDPPP RLFPDPPP LGPDPPSO Lineamientos Generales
36 y 37 Capítulo IV Título Quinto Título Quinto

¿Qué es una transferencia?

Es toda comunicación de datos personales realizada a persona distinta del responsable que posee los datos personales, del encargado o del titular de los datos personales.
Las transferencias pueden ser:

Da clic sobre cada ficha

Para que un responsable pueda transferir los datos personales, dentro o fuera de México, es necesario que:

Pulse sobre las imágenes para ver más información.

Los responsables del sector privado no requerirán el consentimiento de los titulares para realizar una transferencia de datos personales, en los siguientes casos (artículo 37 de la LFPDPPP):

Esté prevista en una ley o tratado en los que México sea parte.

Sea necesaria para la prevención o el diagnóstico médico, la prestación de asistencia sanitaria, tratamiento médico o la gestión de servicios sanitarios.

Sea efectuada a sociedades controladoras, subsidiarias o afiliadas bajo el control común del responsable, o a una sociedad matriz o a cualquier sociedad del mismo grupo del responsable que opere bajo los mismos procesos y políticas internas.

Sea necesaria por virtud de un contrato celebrado o por celebrar en interés del titular, por el responsable y un tercero.

Sea necesaria o legalmente exigida para la salvaguarda de un interés público, o para la procuración o administración de justicia.

Sea precisa para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial.

Sea precisa para el mantenimiento o cumplimiento de una relación jurídica entre el responsable y el titular.

Los sujetos obligados del sector público no requerirán el consentimiento de los titulares para realizar una transferencia, en los siguientes casos (artículo 70 de la LGPDPPSO):

Esté prevista en alguna ley, en convenios o Tratados Internacionales suscritos y ratificados por México;

Cuando se realice entre responsables, siempre y cuando los datos personales se utilicen para el ejercicio de facultades propias, compatibles o análogas con la finalidad que motivó el tratamiento de los datos personales;

Cuando sea legalmente exigida para la investigación y persecución de los delitos, así como la procuración o administración de justicia;

Cuando sea precisa para el reconocimiento, ejercicio o defensa de un derecho ante autoridad competente, siempre y cuando medie el requerimiento de esta última;

Cuando sea necesaria para la prevención o el diagnóstico médico, la prestación de asistencia sanitaria, tratamiento médico o la gestión de servicios sanitarios, siempre y cuando dichos fines sean acreditados;

Cuando sea precisa para el mantenimiento o cumplimiento de una relación jurídica entre el responsable y el titular;

Cuando sea necesaria por virtud de un contrato celebrado o por celebrar en interés del titular, por el responsable y un tercero;

Cuando se trate de los casos en los que el responsable no esté obligado a recabar el consentimiento del titular para el tratamiento y transmisión de sus datos personales, conforme a lo dispuesto en el artículo 22 de la LGPDPPSO, o

Cuando sea necesaria por razones de seguridad nacional.

Nota:

Es importante tener en cuenta que la comunicación de los datos personales a un tercero que administre un sistema biométrico que opera por cuenta y nombre del responsable no se considera una transferencia sino una remisión, por lo que no existe una obligación de informarla en el aviso de privacidad ni obtener el consentimiento del titular para que ocurra.
En cambio, cuando haya una comunicación entre el responsable y un nuevo responsable para tratamientos sobre los que este segundo responsable tiene poder de decisión, dicha comunicación se considera una transferencia, por lo que es necesario informarla en el aviso de privacidad y cumplir con las obligaciones previstas en esta sección.

Obligaciones que derivan del régimen de transferencia

Existen algunas obligaciones para los responsables y receptores de datos personales que deberán ser cumplidas:

Pulse sobre las imágenes para ver más información.

A) Obligaciones del responsable que transfiere los datos personales: B) Obligaciones adicionales para responsables del sector privado que transfieren datos personales: C)	Obligaciones adicionales para los responsables que son sujetos obligados de la LGPDPPSO que transfieren datos personales: D)	Obligaciones del receptor de los datos personales:

Obligaciones del responsable que transfiere los datos personales:

  • Informar al titular, a través del aviso de privacidad, las transferencias a las que serán sometidos sus datos personales, los receptores y finalidades de las mismas. En el caso de sujetos obligados, éstos deberán informar los elementos señalados de aquellas transferencias que realicen y requieran consentimiento;
  • Limitar las transferencias a lo convenido en el aviso de privacidad;
  • Comunicar a los terceros receptores el aviso de privacidad y las sujetó su tratamiento;
  • Obtener el consentimiento del titular para las transferencias, salvo en el caso de que aplique algunas de las excepciones previstas en el artículo 37 de la LFPDPPP o en el artículo 70 de la LGPDPPSO;
  • En caso de ser necesario el consentimiento, incluir en el aviso de privacidad un mecanismo en el que el titular pueda manifestar si acepta o no la transferencia de sus datos, y
  • Probar que la transferencia se realizó conforme a lo que establece la LFPDPPP y su Reglamento, o bien, conforme a la LGPDPPSO.

Obligaciones adicionales para responsables del sector privado que transfieren datos personales:

  • En las transferencias nacionales, formalizar la transferencia mediante algún instrumento jurídico como un contrato, que permita demostrar que el responsable comunicó al tercero receptor las condiciones en las que el titular consintió el tratamiento de sus datos personales, y
  • En las transferencias internacionales, acordar o celebrar con el tercero receptor cláusulas contractuales u otros instrumentos jurídicos, en los que se prevean al menos las mismas obligaciones a las que se encuentra sujeto el responsable que transfiere los datos personales, así como las condiciones en las que el titular consintió el tratamiento de sus datos personales.

Obligaciones adicionales para los responsables que son sujetos obligados de la LGPDPPSO que transfieren datos personales:

  • Formalizar la transferencia mediante la suscripción de cláusulas contractuales, convenios de colaboración o cualquier otro instrumento jurídico, de conformidad con la normatividad que le resulte aplicable al responsable, que permita demostrar el alcance del tratamiento de los datos personales, así como las obligaciones y responsabilidades asumidas por las partes, salvo en los siguientes casos:
    1. Cuando sea nacional y se realice entre responsables en virtud del cumplimiento de una disposición legal o en el ejercicio de atribuciones expresamente conferidas a éstos, y
    2. Cuando sea internacional y se encuentre prevista en una ley o tratado suscrito y ratificado por México, o bien, se realice a petición de una autoridad extranjera u organismo internacional competente en su carácter de receptor, siempre y cuando las facoltades entre el responsable transferente y receptor sean homólogas, o bien, las finalidades que motivan la transferencia sean análogas o compatibles respecto de aquéllas que dieron origen al tratamiento del responsable transferente.
  • Transferir o hacer remisión de datos personales fuera del territorio nacional, sólo cuando el tercero receptor, el encargado y las facultades se obliguen a proteger los datos personales conforme a los principios y deberes que establece la Ley.
  • Cuando lo considere necesario, el responsable podrá solicitar la opinión del Instituto respecto aquellas transferencias internacionales de datos personales que pretenda efectuar, para lo cual deberá cumplir con los requisitos señalados en el artículo 117 de los Lineamientos Generales.

Obligaciones del receptor de los datos personales:

  • Tratar los datos personales de conformidad con lo convenido en el aviso de privacidad. Es decir, limitar el tratamiento de los datos transferidos a las finalidades que justificaron las transferencias;
  • Asumir las mismas obligaciones que corresponden al responsable que transfirió los datos, incluyendo el deber de confidencialidad, y
  • En el caso del receptor que reciba datos personales de un responsable del sector privado, deberá probar que la transferencia se realizó conforme a lo que establece la LFPDPPP y su Reglamento.


Recomendaciones específicas para el régimen de transferencias en el tratamiento de datos biométricos

Pulse sobre las imágenes para ver más información.

¿Quién es el encargado del tratamiento de los datos y cuáles son sus obligaciones?

LFPDPPP RLFPDPPP LGPDPPSO Lineamientos Generales
Artículo 3 fracción IX 49 a 54 Titulo Cuarto Titulo Cuarto
Fundar

El encargado del tratamiento, es la persona física o moral, pública o privada, ajena a la organización del responsable, que sola o en conjuntamente con otras, tratan datos personales a nombre y por cuenta del responsable, como consecuencia de la existencia de una relación jurídica que los vincula y delimita su actuación para la prestación de un servicio. El encargado no decide sobre el tratamiento de los datos personales, sino que los trata por cuenta del responsable, siguiendo sus instrucciones.


Hay que considerar que la relación entre el responsable y el encargado deberá estar establecida mediante contrato, cláusulas u otro instrumento jurídico, que decida el responsable y que permita acreditar su existencia, alcance y contenido.
En todo caso, los acuerdos que se alcancen entre el responsable y el encargado deberán ser acordes con lo previsto en el aviso de privacidad que definió las condiciones del tratamiento de los datos personales, entre el responsable y el titular.
Tratándose de datos biométricos, se deberá considerar como encargado al tercero que realiza la recolección de muestras, creación de plantillas, almacenamiento de datos biométricos o su comparación, por nombre y cuenta de un responsable quien es el que decide sobre el tratamiento de los datos personales. Por otra parte es conveniente considerar que existen supuestos en los que un encargado será considerado como responsable, con las obligaciones propias de este cuando:


Revise la siguiente tabla comparativa. De clic en la flecha para ver la información que contiene.

a) Incumpla las instrucciones del responsable y decida por sí mismo, sobre el tratamiento de los datos personales. Por ejemplo, destine o utilice los datos personales con una finalidad distinta a la autorizada por el responsable.

b) Efectúe una transferencia, incumpliendo las instrucciones del responsable.


¿Qué es una remisión?

A diferencia de las trasferencias de datos personales entre un responsable y un tercero, la comunicación de datos personales entre el responsable y el encargado se conoce como remisión, la cual podrá ser dentro o fuera del territorio mexicano.
Las remisiones de datos personales no requerirán ser informadas al titular, ni contar con su consentimiento. No obstante, existen obligaciones vinculadas con las mismas.

Obligaciones en relación con el responsable-encargado, distintas a las instruidas por el responsable.

El encargado tendrá las siguientes obligaciones respeto del tratamiento de los datos personales que realice por cuenta del responsable. Adicionalmente, los encargados de responsables sujetos obligados a la LGPDPPSO, tienen la obligación de informar al responsable cuando ocurra una vulneración a los datos personales que trata por sus instrucciones, ya que éstos serán corresponsables por las vulneraciones de seguridad ocurridas en el tratamiento de datos personales que efectúe el encargado a nombre y por cuenta de los responsables.
Por su parte, el responsable tendrá las siguientes obligaciones al momento de establecer una relación con un encargado:

Establecer la relación con el encargado a través de un instrumento jurídico que permita acreditar la existencia de la relación jurídica, su contenido y alcance.

Fijar los acuerdos con el encargado con base en lo previsto en el aviso de privacidad que definió las condiciones del tratamiento de los datos personales.

Contemplar en el instrumento que establezca la relación jurídica con el encargado, al menos, las obligaciones que prevé el artículo 50 del Reglamento de la LFPDPPP o 59 de la LGPDPPSO.

Autorizar, en caso de que así lo desee, las subcontrataciones que realice el encargado, que involucren el tratamiento de datos personales.

Verificar que el encargado cumpla con sus obligaciones.

Los responsables de la LGPDPPSO deberán, además, prever en el contrato o instrumento jurídico, las siguientes obligaciones para el encargado:

  1. Permitir al Instituto o responsable realizar verificaciones en el lugar o establecimiento donde lleva a cabo el tratamiento de los datos personales;
  2. Colaborar con el Instituto en las investigaciones previas y verificaciones, así como
  3. Generar, actualizar y conservar la documentación necesaria que le permita acreditar el cumplimiento de sus obligaciones.

Contratar servicios de cómputo en la nube que cumplan, al menos, con las condiciones descritas en el artículo 52 del Reglamento de la LFPDPPP o 64 de la LGPDPPSO, especificados a continuación:

“Condiciones de computo en la nube”
Cumplir con Contar con mecanismos para
  • Tener y aplicar políticas de protección de datos personales afines a los principios y deberes aplicables a la normativa.
  • Dar a conocer cambios en sus políticas de privacidad o condiciones del servicio que presta;
  • Transparentar las subcontrataciones que involucren la información sobre la que se presta el servicio;
  • Permitir al responsable limitar el tipo de tratamiento de los datos personales sobre los que se presta el servicio;
  • Abstenerse de incluir condiciones en la prestación del servicio que le autoricen o permitan asumir la titularidad o propiedad de la información sobre la que presta el servicio, y
  • Establecer y mantener medidas de seguridad adecuadas para la protección de los datos personales sobre los que se preste el servicio;
  • Guardar confidencialidad respecto de los datos personales sobre los que se preste el servicio.
  • Garantizar la supresión de los datos personales una vez que haya concluido el servicio prestado al responsable, y que este último haya podido recuperarlos, e
  • Impedir el acceso a los datos personales a personas que no cuenten con privilegios de acceso.

Recomendaciones específicas para la relación responsable-encargado en el tratamiento de datos biométricos

Algunas de las recomendaciones para el correcto cumplimiento de la relación responsable encargado en el tratamiento de datos biométricos son:

Perfil del encargado.

Establecer una relación con encargados que cuentan con experiencia y buen nombre en el tratamiento de datos biométricos.

Establecimiento de términos para el tratamiento de datos personales.

Que la relación entre el responsable y el encargado que recolecte muestras biométricas, elabore plantillas, las almacene o realice las comparaciones, se sustente a través de un instrumento jurídico, en el que se establezcan con claridad los términos, condiciones e instrucciones para el tratamiento de los datos personales, y en el que se considere al menos lo dispuesto en los artículos 49 al 54 del Reglamento de la LFPDPPP o en el artículo 59 de la LGPDPPSO.

Control de actividades.

Verificar que el encargado implemente las medidas de seguridad necesarias para el tratamiento de los datos biométricos.

Corroborar la correcta prestación de servicios.

Corroborar que los encargados presten sus servicios atendiendo puntualmente las instrucciones de los responsables de los datos personales, pues a pesar de que el encargado que incumpla con las instrucciones del responsable deberá cumplir con las obligaciones que la normatividad impone y, en su caso, podrían ser sujetos de las sanciones que prevén la LFPDPPP y la LGPDPPSO, respectivamente, el responsable original seguirá teniendo que responder por el tratamiento indebido de los datos personales que están en posesión del encargado.

Derechos ARCO

Constitución Política de los Estados Unidos Mexicanos LFPDPPP RLFPDPPP LGPDPPSO Lineamientos Generales
16 22 Capítulo VII Título Tercero Título Tercero

El derecho de protección de los datos personales permite a las personas tener control sobre su información personal. La LFPDPPP y la LGPDPPSO reconoce los derechos de los titulares respecto del tratamiento de sus datos personales, a estos derechos se les conoce como Derechos ARCO los cuales son

La LFPDPPP y su Reglamento prevén la forma en que estos derechos serán ejercidos. En el mismo sentido, pero a mayor grado de detalle, la LGPDPPSO y los Lineamientos Generales, prevén los requisitos para ello. Por ejemplo, estos últimos, desarrollan el procedimiento para ejercer los derechos ARCO relacionados con personas fallecidas.
Además de estos cuatro derechos referidos internacionalmente con el acrónimo ARCO, la LFPDPPP reconoce a los titulares su derecho a revocar el consentimiento otorgado previamente para el tratamiento de su información personal, en cualquier fase del tratamiento, sin que se le atribuyan efectos retroactivos. Por su parte, la LGPDPPSO no prevé explícitamente la revocación del consentimiento; sin embargo, tienen otros derechos para solicitar que sus datos no sean tratados por el responsable, como se explicará más adelante.
Aunque la revocación del consentimiento no forma parte de los Derechos ARCO, se explica en este apartado debido a que es un derecho más que en materia de datos personales en posesión de particulares, tienen los titulares.
Por último, la LGPDPPSO prevé la prerrogativa de portabilidad, el cual faculta al titular para obtener y recibir de un responsable, en un formato estructurado y comúnmente utilizado, los datos personales tratados

Derecho de Acceso Derecho de Rectificación Derecho de Cancelación Falta

Derecho de Acceso

El titular podrá acceder a sus datos personales que obren en poder del responsable, así como a conocer el aviso de privacidad al que está sujeto el tratamiento y la información relativa a las condiciones y generalidades del tratamiento.

Derecho de Rectificación

El titular de los datos, en todo momento, tendrá derecho a rectificarlos cuando sean inexactos, desactualizados o incompletos. En otras palabras, puede solicitar a quien utilice sus datos personales que los corrija cuando los mismos resulten ser incorrectos, desactualizados o inexactos.

Derecho de Cancelación

El titular tendrá, en todo momento, el derecho a cancelar sus datos personales, es decir, a que se eliminen de las bases de datos, archivos, registros, expedientes y sistemas del responsable, a fin de que ya no sean tratados por el mismo, o cuando considere que no están siendo utilizados o tratados conforme a las obligaciones y deberes que se encuentran contenidos en la LFPDPPP o en la LGPDPPSO.
La cancelación de los datos personales no siempre procede de manera inmediata, ya que en algunos casos resulta necesaria la conservación de los mismos con fines legales y de responsabilidades. A este periodo de conservación se le denomina bloqueo y, durante el mismo, los datos personales no podrán ser utilizados para ninguna finalidad que no sean las antes señaladas y, una vez concluido, deberán ser suprimidos. El periodo de bloqueo será equivalente al plazo de prescripción de las acciones derivadas de la relación jurídica que funda el tratamiento en los términos de la ley aplicable en la materia.
En caso de que la cancelación resulte procedente, el responsable del sector público o privado deberá comunicar al titular, en un periodo de 20 días hábiles contados a partir de que recibió la solicitud de cancelación (De conformidad con el artículo 32 de la LFPDPPP, este plazo puede ser ampliado por un periodo igual; de conformidad con el artículo 51 de la LGPDPPP, este plazo podrá ser ampliado hasta por diez días hábiles), la determinación adoptada, a fin de que, si resulta procedente, se haga efectiva dentro de los 15 días hábiles siguientes. Una vez cancelado el dato, se dará aviso a su titular.
En materia de responsables a los que les aplica la LFPDPPP, este ordenamiento contempla en su artículo 26, las causas bajo las cuales el responsable no estará obligado a cancelar los datos personales:

Pulse sobre las imágenes para ver más información.

Derecho de Oposición

El titular tendrá derecho en todo momento y por causa legítima a oponerse al tratamiento de sus datos personales o exigir el cese del mismo, cuando:

Pulse sobre las imágenes para ver más información.

Frente a los Sujetos Obligados de la LGPDPPSO, los titulares podrán, además de los casos arriba señalados, oponerse al tratamiento de sus datos cuando:

Sus datos personales sean objeto de un tratamiento automatizado, el cual le produzca efectos jurídicos no deseados o afecte de manera significativa sus intereses, derechos o libertades, y estén destinados a evaluar, sin intervención humana, determinados aspectos personales del mismo o analizar o predecir, en particular, su rendimiento profesional, situación económica, estado de salud, preferencias sexuales, fiabilidad o comportamiento.

De resultar procedente el ejercicio del derecho de oposición, el responsable no podrá tratar los datos personales del titular. Existen casos en los que el derecho de oposición no procederá, específicamente cuando el tratamiento de la información personal sea necesario para el cumplimiento de una obligación legal.
Para el ejercicio del derecho de oposición, los responsables sujetos a la LFPDPPP, podrán gestionar listados de exclusión propios en los que incluyan los datos de las personas que han manifestado su negativa para que trate sus datos personales. Asimismo, los responsables podrán gestionar listados comunes de exclusión por sectores o generales. En ambos casos, la inscripción del titular a dichos listados deberá ser gratuita y otorgar al titular una constancia de su inscripción al mismo, a través de los mecanismos que el responsable determine.

¿Por qué causas puede resultar improcedente el ejercicio de derechos ARCO?

Es verdad que todos podemos ejercer nuestros derechos ARCO en cualquier momento; sin embargo, existen ciertas causas por las que puede resultar improcedente su ejercicio. La LFPDPPP y la LGPDPPSO consideran las siguientes:

Pulse sobre las imágenes para ver más información.

Adicionalmente, la LGPDPPSO prevé, en su artículo 55 las siguientes causas por las que puede resultar improcedente el ejercicio de los derechos ARCO.

Cuando se obstaculicen actuaciones judiciales o administrativas;

Cuando el responsable no sea competente;

Cuando sean necesarios para proteger intereses jurídicamente tutelados del titular;

Cuando sean necesarios para dar cumplimiento a obligaciones legalmente adquiridas por el titular;

Cuando en función de las atribuciones legales del responsable, el uso cotidiano, resguardo y manejo sean necesarios y proporcionales para mantener la integridad, estabilidad y permanencia del Estado mexicano, o

Cuando los datos personales sean parte de la información que las entidades sujetas a la regulación y supervisión financiera del sujeto obligado hayan proporcionado a éste, en cumplimiento a requerimientos de dicha información sobre sus operaciones, organización y actividades.

Por su parte, el artículo 26 de la LFPDPPP reconoce las siguientes causas por las cuales el responsable no estará obligado a cancelar los datos personales ante una solicitud de cancelación de un titular: Es importante señalar que, en todos los casos anteriores, el responsable deberá informar al titular el motivo de su determinación, en el plazo previsto para ello.

Revocación del consentimiento

Como regla general, todo tratamiento de datos personales está sujeto al consentimiento del titular. Ahora bien, para que el control sea completo, el titular tiene derecho a retirar el consentimiento en cualquier momento, sin que se le atribuyan efectos retroactivos; De conformidad con la LFPDPPP, el responsable deberá establecer los mecanismos y procedimientos para que el titular pueda revocar su consentimiento. Dichos mecanismos deberán ser sencillos y gratuitos, permitir al titular revocar su consentimiento al menos por el mismo medio por el que lo otorgó, siempre y cuando no lo impida una disposición legal, y estar informados en el aviso de privacidad.
Se deberá tomar en cuenta que existen dos modalidades en las que puede ocurrir la revocación del consentimiento:

Total:

Se da sobre la totalidad de las finalidades consentidas. Implica que el responsable deje de tratar por completo los datos del titular.

Parcial:

Ocurre sobre tratamientos determinados. En este caso, el responsable puede seguir tratando los datos personales para aquellas finalidades para las cuales el titular no revocó el consentimiento.

Nota:

La LGPDPPSO no prevé explícitamente la revocación del consentimiento; sin embargo, cuando un titular no desee que sus datos personales sigan siendo tratados por un sujeto obligado, podrá ejercer su derecho de cancelación.

Portabilidad de datos personales

Es una prerrogativa prevista únicamente por la LGPDPPSO. Faculta al titular para obtener y recibir de un responsable del sector público, en un formato estructurado y comúnmente utilizado, los datos personales tratados que le conciernan y que sean tratados en soporte electrónico, así como el derecho de transmitirlos o solicitar sean transferidos a otro responsable, para su reutilización y aprovechamiento en un nuevo tratamiento, sin que medie obstáculo alguno por parte del responsable transferente.
¿Cómo se debe atender una solicitud de ejercicio de Derechos ARCO, revocación del consentimiento o de la prerrogativa de portabilidad? En relación con las solicitudes de ejercicio de Derechos ARCO – y de revocación del consentimiento, en su caso – el responsable deberá seguir los siguientes pasos.

Establecer:

Procedimientos sencillos que permitan el ejercicio de los derechos ARCO e informarlos a través de su aviso de privacidad.

Tramitar:

En el caso de responsables del sector privado, las solicitudes de ejercicio de derechos ARCO deberán tramitarse a través de la persona o departamento de datos personales designado para ello. En el caso de responsables del sector público, a través de su Unidad de Transparencia.

Atender:

En tiempo y forma las solicitudes de los titulares, dando respuesta a las mismas, aunque el ejercicio no proceda.

Informar:

En caso de negativa del ejercicio de alguno de los derechos, se deberá informar al titular el motivo, en tiempo y forma, acompañado, en su caso, de las pruebas pertinentes.

Nota:

Los plazos establecidos en el Artículo 32 de la LFPDPPP y el Artículo 51 de la LGPDPPSO para atención de las solicitudes de derecho ARCO son 20 días hábiles para comunicar al titular la determinación de la procedencia del ejercicio del derecho y 15 días hábiles para hacer efectivo dicho ejercicio. Estos plazos se pueden ampliar, por una sola vez, siempre que exista justificación y se halla informado al titular. En el caso de revocación del consentimiento, los mecanismos o procedimientos que el responsable establezca no podrán exceder los plazos previstos para el ejercicio de los derechos ARCO.

Para complementar este tema, te recomendamos consultar las guías en relación con los Derechos ARCO que el INAI ha publicado.

Cabe señalar que el 12 de febrero de 2018, se publicó en el Diario Oficial de la Federación el acuerdo emitido por el Sistema Nacional de Transparencia y Protección de Datos Personales por el que se aprobaron los Lineamientos que establecen los parámetros, modalidades y procedimientos para la portabilidad de datos personales, mismos que, entre otros aspectos, abordan el objeto y alcance de esta prerrogativa, reglas específicas para su ejercicio y aspectos técnicos vinculados.

De clic en el enlace para Descargar

Algunas de las recomendaciones específicas para la atención de solicitudes de ejercicio de Derechos ARCO, revocación del consentimiento y la prerrogativa de portabilidad en el tratamiento de datos biométricos son:

Evaluación de impacto en la protección de datos personales

LFPDPPP RLFPDPPP Lineamientos Generales
Artículo 3 fracción XVI 74 al 79 Titulo120

¿Qué es la evaluación de Impacto en la protección de datos personales?

Es un análisis documentado mediante el cual los responsables que pretendan poner en operación o modificar políticas públicas, programas, sistemas o plataformas informáticas, valoran los impactos reales respecto de determinado tratamiento de datos personales, a efecto de identificar posibles riesgos para dichos datos, con el objeto de conocer las medidas implementadas y por implementarse, para protegerlos y mitigar los riesgos identificados.
La realización de evaluaciones de impacto en la protección de datos personales es una obligación para los sujetos obligados de la LGPDPPSO cuando realicen tratamientos intensivos o relevantes, salvo ciertas excepciones previstas por el artículo 79 de la LGPDPPSO; sin embargo, la realización de estas evaluaciones es una buena práctica que se recomienda realizar para cualquier clase de responsable, sea éste del sector público o privado (Como lo prevé el artículo 48, fracción V, del Reglamento de la LFPDPPP) e independientemente del tipo de tratamiento de datos personales que realice, salvo las excepciones ya señaladas.

Nota:

Cuando a juicio del sujeto obligado se puedan comprometer los efectos que se pretenden lograr con la posible puesta en operación o modificación de políticas públicas, sistemas o plataformas informáticas, aplicaciones electrónicas o cualquier otra tecnología que implique el tratamiento intensivo o relevante de datos personales o se trate de situaciones de emergencia o urgencia, no será necesario realizar la Evaluación de impacto en la protección de datos personales.

De conformidad con el artículo 75 de la LGPDPPSO, se considerará que se está en presencia de un tratamiento intensivo o relevante de datos personales cuando:


Pulse sobre las imágenes para ver más información.

Existan riesgos inherentes a los datos personales a tratar.

Se traten datos personales sensibles y,

Se efectúen o pretendan efectuar transferencias de datos personales.


Cabe señalar que el 23 de enero de 2018, se publicó en el Diario Oficial de la Federación, entre otros acuerdos emitidos por el Consejo Nacional de Sistema Nacional de Transparencia Acceso a la Información Pública y Protección de Datos Personales, el Acuerdo mediante el cual se aprueban las disposiciones administrativas de carácter general para la elaboración, presentación y valoración de evaluaciones de impacto en la protección de datos personales.
Dichas disposiciones administrativas establecen el marco general para la elaboración, presentación y valoración de evaluaciones de impacto en la protección de datos personales. Asimismo, contienen criterios adicionales para determinar que se está en presencia de un tratamiento intensivo o relevante de datos personales, en función de:

El número de titulares.

El público objetivo.

El desarrollo de la tecnología utilizada.

La relevancia del tratamiento de datos personales en atención al impacto social o, económico del mismo, o bien, del interés público que se persigue.

Los sujetos obligados de la LGPDPPSO deberán presentar las evaluaciones de impacto a la protección de datos que realicen treinta días anteriores a la fecha en que se pretenda poner en operación o modificar políticas públicas, sistemas o plataformas informáticas, aplicaciones electrónicas o cualquier otra tecnología que implique un tratamiento relevante o intensivo de datos personales, ante el Instituto o los organismos garantes.
El Instituto y los organismos garantes, según corresponda, emitirán, de ser el caso, recomendaciones no vinculantes sobre la evaluación de impacto en la protección de datos personales presentado por el responsable obligado de la LGPDPPSO, dentro de los treinta días siguientes contados a partir del día siguiente a su presentación.
Los responsables regulados por la LFPDPPP que, en su caso, decidan voluntariamente realizar una evaluación de impacto en la protección de datos personales no requerirán presentarla ante el Instituto.
En el caso de implementaciones de sistemas biométricos dentro de una organización, se recomienda a todos los responsables realizar una evaluación de impacto en la protección de datos, para determinar riesgos relacionados con el tratamiento de los datos biométricos y analizar las posibilidades de efectuar medidas para mitigar dichos riesgos. Asimismo, es importante señalar que, para realizar la evaluación de impacto en la protección de datos personales, será necesario considerar el propósito del sistema y su contexto.
Por último, este análisis puede también desarrollarse mientras el sistema opere –y no sólo previo a su implementación-, con el objeto de realizar los cambios y modificaciones cuando éstos resulten necesarios.

Obligaciones relacionadas con la evaluación del impacto de la protección de datos personales

Los sujetos obligados de la LGPDPPSO deberán realizar una evaluación de impacto a la protección cuando se pretenda poner en operación o modificar políticas públicas, sistemas o plataformas informáticas, aplicaciones electrónicas o cualquier otra tecnología que impliquen el tratamiento intensivo o relevante de datos personales de conformidad con las Disposiciones administrativas de carácter general para la elaboración, presentación y valoración de evaluaciones de impacto en la protección de datos personales.

Los sujetos obligados por la LGPDPPSO deberán presentar la evaluación de impacto en la protección de datos personales ante el Instituto o los organismos garantes, según corresponda, 30 días anteriores a la fecha en que se pretenda poner en operación o modificar políticas públicas, sistemas o plataformas informáticas, aplicaciones electrónicas o cualquier otra tecnología.

No es necesario hacer la evaluación de impacto en la protección de datos personales, cuando a juicio del sujeto obligado se puedan comprometer los efectos que se pretenden lograr con la posible puesta en operación o modificación de políticas públicas, sistemas o plataformas informáticas, aplicaciones electrónicas o cualquier otra tecnología que implique el tratamiento intensivo o relevante de datos personales o se trate de situaciones de emergencia o urgencia.

Para el caso de los responsables del sector privado, la evaluación no es obligatoria sino, un instrumento de autorregulación conveniente para evitar impactos no deseados en la protección de datos personales por la implementación de nuevas tecnologías o medidas para el tratamiento.

Recomendaciones específicas para la Evaluación de impacto en la protección de datos personales cuando se trate de datos biométricos.

Cuando haya tratamiento de datos personales biométricos, se recomienda que la evaluación de impacto en la protección de datos personales incluya un análisis de los siguientes elementos:

Además de lo anteriormente señalado, existen otros factores que deben ser tomados en cuenta cuando se implementa un sistema biométrico, incluyendo: su localización, riesgos en la seguridad, si se hará una verificación o una identificación, número esperado de usuarios finales, circunstancias de los usuarios y datos existentes, entre otros.
Cada modalidad de biométrico tiene sus fortalezas y debilidades que deben ser evaluadas en relación con la aplicación antes de su implementación. La efectividad de un determinado sistema biométrico dependerá del tipo de tecnología que se utilice y la forma en que ésta sea usada.
Entre los puntos a considerarse para la selección de una tecnología biométrica en particular, y para la correspondiente evaluación de impacto a la protección de datos personales, pueden incluirse los siguientes:

Instrucciones: Lee con atención y selecciona el inciso correcto dando clic sobre la respuesta.

1. Es toda comunicación de datos personales realizada a persona distinta del responsable que posee los datos personales, del encargado o del titular de los datos personales:

  1. Evaluación de impacto
  2. Transferencia
  3. Tratamiento

Su respuesta es correcta.

Su respuesta no es correcta.

2. Una de las características de la transferencia de datos personales que puede ser:

  1. Nacionales e internacionales
  2. Abiertas y cerradas
  3. Consentidas y legales

Su respuesta es correcta.

Su respuesta no es correcta.

3. Es una de las obligaciones generales que derivan del régimen de transferencias:

  1. Establecer una relación con encargados que cuentan con experiencia y buen nombre
  2. Comunicar a los terceros receptores el aviso de privacidad y las finalidades a las que el titular sujetó su tratamiento
  3. Citar los datos biométricos que se transfieran

Su respuesta es correcta.

Su respuesta no es correcta.

4. Es la persona que sola o conjuntamente con otras, trata datos personales a nombre y por cuenta del responsable:

  1. Asesor del tratamiento
  2. Gerente del tratamiento
  3. Encargado del tratamiento

Su respuesta es correcta.

Su respuesta no es correcta.

5. ¿Qué es una remisión?

  1. La comunicación datos personales entre el responsable y el encargado.
  2. Difusión de datos personales entre dos instituciones privadas
  3. Publicación de datos personales sin consentimiento

Su respuesta es correcta.

Su respuesta no es correcta.

6. Son los derechos que permiten a los individuos tener control sobre su información personal:

  1. OCCER
  2. BRAE
  3. ARCO

Su respuesta es correcta.

Su respuesta no es correcta.

7. Es un análisis documentado mediante el cual los responsables pretenden identificar posibles riesgos en el tratamiento de datos personales

  1. FODA
  2. Evaluación de impacto en los datos personales
  3. Formación de estrategias para el tratamiento de datos personales

Su respuesta es correcta.

Su respuesta no es correcta.

Reiniciar ejercicio

Debido al vertiginoso avance en las tecnologías el uso de datos biométricos se ha hecho más común en los últimos años, lo anterior ha hecho necesaria la implementación de nuevas políticas públicas que permitan el resguardo de dichos datos; por lo anterior es necesario recordar que cada persona es dueña de su propia información y por ello tiene derechos que le permiten protegerla. A lo largo de la historia nacional se han venido realizando esfuerzos para establecer las bases procedimentales y normativas a fin de contar con un adecuado tratamiento de los datos personales. Lo que hemos visto previamente nos permite reconocer las acciones llevadas a cabo por el INAI para garantizar el correcto uso de los biométricos considerados datos personales y bajo ciertas circunstancias datos personales sensibles.

Glosario

Consulte el Glosario de términos para ampliar su comprensión de los conceptos empleados a lo largo del curso.