miércoles, 11 de junio de 2014

Parámetros de Autorregulación en materia de Protección de Datos Personales.

DOF: 29/05/2014

Parámetros de Autorregulación en materia de Protección de Datos Personales.

Al margen un sello con el Escudo Nacional, que dice: Estados Unidos Mexicanos.- Secretaría de Economía.

Con fundamento en los artículos 34 fracciones XXIII y XXXI de la Ley Orgánica de la Administración Pública Federal; 43 fracción V y 44 de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares; 82, 83, 84, 85 y 86 del Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares; 5 fracción XVI del Reglamento Interior de la Secretaría de Economía, y
CONSIDERANDO
Que la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (en adelante Ley de Datos) regula el tratamiento legítimo, controlado e informado de los datos personales que obren en posesión de particulares, garantizando la privacidad y el derecho a la autodeterminación informativa de las personas y a su vez, establece que la misma constituirá el marco normativo que las dependencias deberán observar para la emisión de la regulación que corresponda, en el ámbito de sus atribuciones y con la coadyuvancia del Instituto Federal de Acceso a la Información y Protección de Datos.
Que a su vez, la Ley de Datos establece que las personas físicas y morales pueden convenir entre ellas o con organizaciones civiles o gubernamentales, nacionales o extranjeras, esquemas de autorregulación vinculante en materia de protección de datos personales mediante el cumplimiento con lo dispuesto por la propia Ley de Datos, su Reglamento y demás disposiciones aplicables, y complementando lo previsto por éstos.
Que con la finalidad de crear las bases necesarias para que los particulares contaran con elementos para la elaboración, conformación y aplicación de los esquemas de autorregulación vinculante en materia de protección de datos personales, el 17 de enero de 2013 se publicaron en el Diario Oficial de la Federación los Parámetros para el correcto desarrollo de los esquemas de autorregulación vinculante a que se refiere el artículo 44 de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares.
Que la autorregulación vinculante es una actividad a través de la cual el responsable, como aquella persona que decide sobre el tratamiento de datos personales, o el encargado, quien individual o conjuntamente con otras trate datos personales por cuenta del responsable, se comprometen de manera voluntaria a la protección de éstos.
Que los esquemas de autorregulación vinculante deberán considerar los parámetros que emita la Secretaría, en coadyuvancia con el Instituto, así como contener mecanismos para medir su eficacia en la protección de los datos personales, reglas o estándares específicos que permitan armonizar los tratamientos de datos efectuados por los adheridos y facilitar el ejercicio de los derechos de los titulares de los mismos, así como prever consecuencias y medidas correctivas eficaces en caso de incumplimiento a tales esquemas.
Que dichos esquemas de autorregulación vinculante deben estar constituidos por dos elementos básicos: por un lado, el tipo de esquema de autorregulación vinculante en el que se recogen los principios, normas y procedimientos que los miembros adheridos se comprometen a observar y cumplir y, por otro lado, los mecanismos de control necesarios para su aplicación.
Que los esquemas de autorregulación vinculante podrán reforzarse a través de la certificación voluntaria de los responsables y encargados a través de organismos de certificación independiente mediante revisiones detalladas y periódicas, lo cual brindará una mayor certeza en cuanto a que el esquema fue desarrollado e implementado de una manera adecuada, demostrando el compromiso adquirido en materia de protección de datos personales.
Que con el fin de ampliar el desarrollo de los esquemas de autorregulación vinculante y de alinearlo con las tendencias y buenas prácticas internacionales en materia de protección de datos personales, que prevén, entre otros elementos, un sistema de gestión de datos personales, así como con la visión de fortalecer el sistema nacional de acreditamiento y de certificación previsto por la Ley Federal sobre Metrología y Normalización, se emiten los siguientes:
PARÁMETROS DE AUTORREGULACIÓN EN MATERIA DE PROTECCIÓN DE DATOS PERSONALES
Capítulo I
Disposiciones comunes
Sección I
De los Parámetros
Objeto
1. Los presentes Parámetros tienen por objeto establecer reglas, criterios y procedimientos para el correcto desarrollo e implementación de los esquemas de autorregulación vinculante en materia de protección de datos personales, a los que se refieren los artículos 44 de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, y 79, 80, 81, 82, 83, 84, 85 y 86 de su Reglamento.
Ámbito de aplicación
2. Los presentes Parámetros son de observancia obligatoria en toda la República Mexicana para la validación y reconocimiento de los esquemas de autorregulación vinculante en materia de protección de datos personales en posesión de particulares, por parte del Instituto Federal de Acceso a la Información y Protección de Datos.
Supletoriedad
3. A falta de disposición expresa en los presentes Parámetros sobre los trámites o procedimientos frente al Instituto Federal de Acceso a la Información y Protección de Datos relacionados con esquemas de autorregulación vinculante, se aplicarán de manera supletoria las disposiciones de la Ley Federal de Procedimiento Administrativo.
A falta de disposición expresa en los presentes Parámetros con relación a los procedimientos de acreditación o certificación, se aplicarán de manera supletoria los procedimientos previstos por la Ley Federal sobre Metrología y Normalización en lo que aplique y la normativa que de ella se derive.
Definiciones
4. Adicionalmente a las definiciones previstas en los artículos 3 de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares y 2 de su Reglamento, para los efectos de los presentes Parámetros se entenderá por:
I. Adherido: Responsable o encargado que, de manera voluntaria, se obliga a observar un esquema de autorregulación vinculante;
II. Alta dirección: Toda persona con poder legal de toma de decisión en las políticas del responsable o encargado, por ejemplo, la junta directiva, los socios de un responsable o encargado persona moral, el dueño de una empresa unipersonal o quien encabeza la estructura del responsable o encargado;
III. Auditoría: Proceso sistemático, independiente y documentado para obtener evidencias y evaluarlas de manera objetiva para determinar el grado de cumplimiento de los criterios preestablecidos para dicha auditoría;
IV. Esquema de autorregulación vinculante o esquema: Conjunto de principios, normas y procedimientos, de adopción voluntaria y cumplimiento vinculante, que tiene como finalidad regular el comportamiento de los responsables y encargados respecto a los tratamientos de datos personales que lleven a cabo;
V. Mecanismos alternativos de solución de controversias: Procedimientos voluntarios, basados en la satisfacción de las partes y la buena fe, tales como la negociación, la mediación y la conciliación que, como alternativa paralela al sistema de administración de justicia, permiten a los adheridos resolver las controversias que se susciten con los titulares a través del nombramiento e intervención de un tercero imparcial;
VI. No conformidad: Incumplimiento de un requisito previsto en el esquema de autorregulación vinculante;
VII. Parámetros: Parámetros de Autorregulación en materia de Protección de Datos Personales;
VIII. Política: Política de gestión de datos personales;
IX. Registro: Registro de Esquemas de Autorregulación Vinculante;
X. Procedimiento: Grupo de acciones documentadas que establecen la manera oficial o aceptada para llevar a cabo determinada actividad;
XI. Reglas de Operación: Reglas de Operación del Registro, instrumento que emite el Instituto y cuyo objeto es definir y describir los aspectos operativos y los procedimientos necesarios para el funcionamiento del Registro;
XII. Revisión: Actividad estructurada, objetiva y documentada, llevada a cabo con la finalidad de constatar el cumplimiento continuo de los contenidos establecidos en los esquemas de autorregulación vinculante, incluida la certificación;
XIII. Riesgo: Combinación de la probabilidad de un evento y su consecuencia desfavorable;
XIV. Sistema de gestión de datos personales o SGDP: Sistema de gestión general para establecer, implementar, operar, monitorear, revisar, mantener y mejorar el tratamiento y seguridad de los datos personales en función del riesgo de los activos y de los principios, deberes y obligaciones previstos en la Ley, demás normativa aplicable y buenas prácticas en materia de protección de datos personales, y
XV. Sistema de Gestión: Conjunto de elementos y actividades interrelacionadas para establecer metas y los medios de acción para alcanzarlas.
Definiciones para el sistema de certificación en materia de datos personales
5. Para efectos del Capítulo III de los presentes Parámetros, se entenderá por:
I. Acreditación: Acto por el cual una entidad de acreditación aprobada en términos de la Ley Federal sobre Metrología y Normalización, reconoce la competencia técnica y confiabilidad de organismos de certificación para la evaluación de la conformidad de la Ley, el Reglamento, los presentes Parámetros y demás normativa aplicable;
II. Certificación: Procedimiento llevado a cabo por un organismo de certificación por el cual se asegura que un esquema y su implementación se ajustan a la Ley, el Reglamento, los presentes Parámetros y demás normativa en materia de protección de datos personales en posesión de particulares;
III. Certificado: Documento expedido por un organismo de certificación acreditado, mediante el cual se hace constar la certificación en materia de protección de datos personales otorgada a un responsable o encargado en específico. En él se encuentran descritos los alcances de dicha certificación;
IV. Entidad de acreditación: Persona moral autorizada por la Secretaría de Economía, de conformidad con la Ley Federal sobre Metrología y Normalización, para acreditar organismos de certificación en materia de protección de datos personales;
V. Ley sobre Metrología: Ley Federal sobre Metrología y Normalización, y
V. Organismo de certificación: persona que tiene por objeto realizar funciones de certificación en materia de protección de datos personales.
Alcances de la autorregulación vinculante
6. Los esquemas de autorregulación vinculante podrán incluir principios, normas y procedimientos para adecuar y armonizar las disposiciones previstas en la Ley, su Reglamento y demás normativa aplicable, a la realidad de sectores específicos, y abordar problemáticas o situaciones particulares que no fueron previstas por la norma general, a fin de hacer eficiente la protección de datos personales en las actividades que se autorregulen.
Asimismo, la autorregulación vinculante permitirá elevar los estándares de protección de datos personales, a través de la adopción de las mejores prácticas en la materia, tanto nacionales como internacionales.
Carácter vinculante de la autorregulación
7. La adhesión a los esquemas de autorregulación vinculante por parte de un responsable o encargado es de carácter voluntario. No obstante, el cumplimiento de dichos esquemas será obligatorio para quienes se adhieran a los mismos, por lo que éstos deberán prever sanciones por su incumplimiento.
Principios de la autorregulación vinculante
8. La autorregulación vinculante en materia de protección de datos personales se regirá por los siguientes principios:
I. Voluntariedad: La adhesión o adopción de los esquemas de autorregulación vinculante será de manera libre sin que medie vicio alguno en el consentimiento;
II. Obligatoriedad: El esquema de autorregulación vinculante constriñe a quien se adhiere al mismo o lo adopta;
III. Transparencia: Las prácticas en materia de protección de datos personales serán transparentes, salvo aquella información que se especifique como confidencial o reservada, siempre que exista el derecho a clasificarla de conformidad con las disposiciones aplicables;
IV. Responsabilidad: El responsable tiene la obligación de velar por el cumplimiento de los principios de protección de datos personales previstos por la Ley, con relación a los datos personales que posee o que haya comunicado a un tercero o encargado, ya sea que éste se encuentre o no en territorio nacional, para lo cual deberá adoptar las medidas necesarias, y
V. Imparcialidad: Los esquemas de autorregulación vinculante deben organizarse e implementarse de forma que se salvaguarden la objetividad e imparcialidad de sus actividades.
Clases de esquemas de autorregulación vinculante
9. La autorregulación vinculante en materia de protección de datos personales puede ser de tres clases:
I. Las reglas emitidas con objeto de adaptar la normativa aplicable en materia de protección de datos personales a la realidad y actividades de un sector en particular, a fin de hacer eficiente la aplicación del derecho a su protección;
II. Los esquemas de autorregulación vinculante evaluados y validados por el Instituto cuando satisfagan todos los requisitos previstos para ello, denominados esquemas con validación, que tendrán por objeto elevar los estándares de protección de datos personales y adoptar las mejores prácticas en la materia, y
III. Los esquemas de autorregulación vinculante certificados por un organismo de certificación en materia de protección de datos personales, que serán reconocidos por el Instituto a través de su inscripción en el Registro, denominados esquemas con certificación reconocida, que también tendrán por objeto elevar los estándares de protección de datos personales y adoptar las mejores prácticas en la materia.
Obligación de la notificación
10. En términos del último párrafo del artículo 44 de la Ley, los esquemas de autorregulación vinculante deberán ser notificados al Instituto y a las autoridades sectoriales correspondientes, tales como aquellas dependencias o entidades de la Administración Pública Federal vinculadas con el sector dentro del cual se realiza el tratamiento de datos personales afectados por el esquema de autorregulación en cuestión.
Para la notificación de los esquemas de autorregulación vinculante al Instituto, se estará a lo dispuesto en los presentes Parámetros y en las Reglas de Operación del Registro que emita el Instituto.
Con relación a la notificación de los esquemas de autorregulación vinculante a las autoridades sectoriales competentes, se deberán considerar las materias, ramas o sectores que estén relacionados con el tratamiento de datos personales que regule el esquema en cuestión.
El objeto de la notificación a autoridades sectoriales es hacer de su conocimiento la existencia, modificación o baja de un esquema de autorregulación vinculante, con la finalidad de que dicha autoridad actúe en ejercicio de sus atribuciones. Dicha notificación podrá realizarse en las oficinas de la autoridad sectorial correspondiente o a través de cualquier medio que sea establecido para ello.
La notificación a las autoridades sectoriales competentes se deberá hacer del conocimiento del Instituto.
De los incentivos de la autorregulación vinculante
11. De conformidad con el artículo 81 del Reglamento, la adopción y cumplimiento de un esquema de autorregulación vinculante inscrito en el Registro, será considerado por dicha autoridad para determinar la atenuación de la sanción que corresponda, en caso de verificarse algún incumplimiento a lo dispuesto por la Ley y el Reglamento.
De manera adicional, la adecuada implementación de un esquema de autorregulación vinculante será útil para los siguientes fines:
I. Mejorar la reputación del responsable o encargado frente a los titulares y la autoridad;
II. Contar con un sistema que permita documentar el cumplimiento de la normativa en materia de protección de datos personales;
III. Demostrar ante la autoridad y los titulares el compromiso y responsabilidad con la protección de los datos personales;
IV. Facilitar las transferencias de los datos personales, y
V. Establecer mecanismos alternativos de solución de controversias.
El Instituto podrá determinar incentivos adicionales para la adopción de esquemas de autorregulación vinculante.
Opinión o recomendación de autoridades sectoriales
12. En caso de requerirla, el Instituto podrá solicitar la opinión o información de alguna autoridad sectorial para:
I. Analizar y, en su caso, proponer reglas o mejores prácticas para adaptar la normativa en materia de protección de datos personales a un sector o actividad específico;
II. Evaluar la procedencia de la validación, modificación o baja de un esquema de autorregulación vinculante, y
III. Coadyuvar con la Secretaría en la vigilancia del sistema de certificación en materia de protección de datos personales.
Sección II
De los requisitos y contenidos mínimos de los esquemas con validación y los esquemas con
certificación reconocida
Alcance de los esquemas con validación y los esquemas con certificación reconocida
13. Los esquemas con validación y los esquemas con certificación reconocida podrán tener cualquiera de los siguientes alcances:
I. Total: cuando se establezcan con relación a todos (i) los principios, (ii) deberes y (iii) obligaciones previstas por la Ley, el Reglamento, los presentes Parámetros y demás normativa aplicable en la materia, o
II. Parcial: cuando se establezcan con relación a principios, deberes u obligaciones específicos previstos en la Ley, su Reglamento, los presentes Parámetros y demás normativa aplicable en la materia.
A su vez, los esquemas totales o parciales podrán regular todos o sólo algunos de los tratamientos de datos personales que realice un responsable o encargado, o realicen un grupo de responsables o encargados.
El Instituto, a través de la inscripción en el Registro y la validación que emita, deberá identificar plenamente el alcance específico del esquema, con objeto de que sea posible reconocer de manera clara si éste es total o parcial, y en este último caso qué principio, deber u obligación en particular abarca, así como el o los tratamientos regulados por el mismo.
Los esquemas también podrán complementarse con estándares y mejores prácticas que de manera adicional se decidan adoptar.
Contenidos mínimos
14. Para que un esquema sea validado por el Instituto o cuente con una certificación reconocida por el Instituto deberá, al menos:
I. Señalar su denominación;
II. Señalar el nombre completo, denominación o razón social de los responsables o encargados adheridos al esquema;
III. Especificar el sector o la actividad a la que aplica;
IV. Describir el alcance del esquema en cuestión, de acuerdo con el numeral anterior;
V. Describir el ámbito personal de aplicación, es decir, el tipo o grupo de titulares cuyos datos personales están vinculados con el tratamiento al que aplica el esquema de autorregulación;
VI. Desarrollar e implementar un SGDP;
VII. Documentarse y desarrollarse en idioma español, y
VIII. Proporcionar datos de contacto o un medio habilitado para que los interesados conozcan más acerca del esquema.
Objetivo del SGDP para la protección de los datos personales
15. El SGDP al que refiere la fracción VI del numeral anterior tendrá como objetivo proveer a los responsables y encargados autorregulados de los elementos y actividades de dirección, operación y control de sus procesos, que les permitan proteger de manera sistemática y continua los datos personales que estén en su posesión.
Fases del SGDP
16. El SGDP deberá desarrollar las siguientes cuatro fases: planificar, hacer, verificar y actuar, de acuerdo con lo descrito en la tabla siguiente:
PROCESO
Elemento del SG
Fase del ciclo
PHVA
Actividades
Metas
Planificar
Identificar políticas, objetivos, riesgos, planes, procesos y procedimientosnecesarios para obtener el resultado esperado por el responsable oencargado (meta).
Medios de
acción
Hacer
Implementar y operar las políticas, objetivos, planes, procesos yprocedimientos establecidos en la fase anterior.
Verificar
Evaluar y medir los resultados de lo implementado, a fin de verificar eladecuado funcionamiento del SGDP y el logro de la mejora esperada.
Actuar
Adoptar medidas correctivas y preventivas en función de los resultados yde la revisión realizada, o de otra información relevante, para lograr lamejora continua.
Los aspectos relacionados con la planeación y desarrollo del SGDP se describen en los numerales 17 a 23 de los presentes Parámetros.
Definir los alcances y objetivos del SGDP
17. El responsable o encargado deberá definir el alcance del SGDP y establecer objetivos en materia de protección de datos personales.
El SGDP podrá abarcar todos los principios, deberes y obligaciones previstas por la Ley, el Reglamento y demás normativa aplicable, o sólo algunos de ellos dependiendo del alcance del esquema de autorregulación vinculante del cual forme parte.
Elaborar una política de gestión de datos personales
18. El responsable o encargado deberá elaborar una política de gestión de datos personales, en la que se describa, al menos:
I. Los tratamientos a los que aplica;
II. Las acciones a realizar para el cumplimiento de los principios, deberes y obligaciones establecidos en la Ley, su Reglamento y demás normativa que resulte aplicable. En el caso de esquemas parciales, se deberá incluir lo que corresponda al principio, deber u obligación aplicable;
III. Las acciones a realizar para el desarrollo, implementación, mantenimiento y mejora continua del SGDP, y
IV. Las buenas prácticas que se decidan adoptar, en su caso.
Esta política deberá ser comunicada a todos los miembros que participen con el responsable o el encargado.
Lograr el apoyo de la alta dirección
19. El responsable o encargado deberá asegurar que la alta dirección apoye la política de gestión de datos personales, a fin de garantizar el compromiso del responsable o encargado con el SGDP.
Designar al responsable del SGDP
20. El responsable o encargado deberá designar a un miembro de la alta dirección para planear, implementar y desarrollar el SGDP. Entre las responsabilidades de esta persona estarán, al menos:
I. Coordinar la elaboración del SGDP y de la política de gestión de datos personales;
II. Realizar las gestiones necesarias para la aprobación del SGDP y de la política por parte de la alta dirección, y
III. Realizar las acciones necesarias para asegurar la implementación y cumplimiento del SGDP y de la política.
Asignar funciones y responsabilidades
21. El responsable o encargado deberá designar el personal que considere necesario para estar a cargo del cumplimiento cotidiano del SGDP y de la política de gestión de datos personales. Este personal tendrá, al menos, las siguientes funciones y responsabilidades:
I. Participar en la elaboración del SGDP y la política, para su aprobación por parte de la alta dirección;
II. Vigilar la implementación del SGDP y la política de manera cotidiana en el responsable o encargado;
III. Realizar revisiones administrativas y auditorías del SGDP y de la política para que reflejen las actualizaciones normativas, de práctica y tecnológicas;
IV. Estar a cargo de la definición e implementación del programa de fomento de la protección de datos personales al interior del responsable o encargado, incluyendo la capacitación y sensibilización sobre el SGDP y la política;
V. Coordinarse con el personal encargado del cumplimiento normativo, la gestión del riesgo y de los aspectos de seguridad al interior del responsable o encargado;
VI. Brindar asesoría técnica en materia de protección de datos personales y en la realización de proyectos relacionados dentro del responsable o encargado;
VII. Realizar y administrar las notificaciones requeridas al Instituto y a otras autoridades, de conformidad con lo previsto en la Ley, su Reglamento y demás normativa aplicable, incluyendo las relacionadas con la existencia, modificaciones y baja de los esquemas;
VIII. Realizar y administrar las comunicaciones requeridas a los interesados en relación con el SGDP, la política y los esquemas, incluidas las modificaciones relevantes a los mismos;
IX. Atender los requerimientos realizados por el Instituto y las autoridades sectoriales competentes, y
X. Considerar en el desarrollo del SGDP, la regulación y buenas prácticas sectoriales que existan en la materia.
El personal al que refiere este parámetro podrá incluir empleados permanentes y temporales, proveedores externos, consultores y asesores del responsable o encargado.
Asignar recursos
22. El responsable o encargado deberá determinar y asignar los recursos materiales, financieros y humanos necesarios para establecer, implementar, operar, mantener y mejorar el SGDP.
Fomentar una cultura de protección de datos personales en el responsable o encargado.
23. Para asegurar que la debida gestión de datos personales sea parte de los valores centrales del responsable o encargado, éste deberá:
I. Proporcionar a sus miembros capacitación continua y programas de sensibilización con relación a la protección de los datos personales y el SGDP;
II. Establecer un proceso para la evaluación de la efectividad de la capacitación y los programas de sensibilización;
III. Comunicar a todo el personal la importancia de:
a)    Alcanzar los objetivos del SGPD;
b)    Cumplir con la política de gestión de datos personales, y
c)    Actualizar la política de gestión de datos personales y el SGDP;
IV. Asegurar que todos sus miembros estén sensibilizados de su contribución para alcanzar los objetivos del SGPD y las consecuencias de las no conformidades, y
V. Prever mecanismos de reporte de asuntos relevantes a los niveles superiores.
Elaborar un inventario de datos personales
24. El responsable o encargado deberá elaborar, y mantener actualizado, un inventario de los datos personales que trate, o de sus categorías, y de las finalidades de su tratamiento. Asimismo, se deberá documentar el flujo de los datos personales dentro del responsable o encargado, incluyendo la obtención, uso, divulgación, transferencias, almacenamiento, bloqueo y cancelación, e identificando las áreas del responsable o encargado que utilizan los datos personales en las distintas fases del tratamiento.
Realizar análisis de riesgos
25. El responsable o encargado deberá implementar un procedimiento para identificar riesgos y evaluar el grado de riesgo asociado a cada tratamiento de datos personales que realiza por sí mismo o a través de un encargado, de conformidad con lo que establece el Capítulo III del Reglamento y las Recomendaciones en materia de Seguridad de Datos Personales emitidas por el Instituto.
El responsable o encargado deberá gestionar los riesgos identificados para mitigar la posibilidad de cualquier vulneración a los datos personales.
Capacitar al personal encargado
26. El responsable o encargado deberá asegurar que el personal designado para estar a cargo del cumplimiento cotidiano del SGDP y la política tenga competencia en el conocimiento de la Ley, su Reglamento y demás normativa y buenas prácticas aplicables, así como que dicho personal se mantenga informado y actualizado sobre cuestiones relacionadas con el tratamiento de datos personales.
Asimismo, el responsable o encargado deberá asegurarse de que este personal entienda sus funciones yresponsabilidades para que los datos personales sean tratados de conformidad con los procedimientos preestablecidos.
Para lo anterior, este personal deberá recibir la capacitación que resulte necesaria para la debida realización de sus funciones.
Desarrollar e implementar procedimientos específicos en materia de datos personales
27. El responsable o encargado deberá desarrollar e implementar procedimientos específicos para:
I. El tratamiento de datos personales bajo los principios de licitud, consentimiento, información, calidad, finalidad, lealtad, proporcionalidad y responsabilidad, previstos en la Ley, su Reglamento y demás normativa aplicable;
II. El tratamiento de datos personales bajo los deberes de seguridad y confidencialidad, previstos por la Ley, su Reglamento y de demás normativa aplicable;
III. El cumplimiento de las obligaciones en materia de protección de datos personales previstas por la Ley, su Reglamento y demás normativa aplicable;
IV. La atención de los derechos de acceso, rectificación, cancelación y oposición, así como la revocación del consentimiento, de conformidad con lo previsto por la Ley, su Reglamento y demás normativa y buenas prácticas aplicables;
V. La atención a quejas relacionadas con el tratamiento de datos personales;
VI. La transferencia de datos personales de conformidad con lo previsto por la Ley, su Reglamento y demás normativa y buenas prácticas aplicables;
VII. La regulación de la relación con los encargados, de conformidad con lo previsto por la Ley, su Reglamentos y demás normativa y buenas prácticas aplicables;
VIII. El adecuado tratamiento de datos personales de categorías especiales de titulares, tales como menores de edad, personas adultas mayores, personas con discapacidad, migrantes,
...

[Mensaje recortado]  

 Ver texto completo:

 http://www.dof.gob.mx/nota_detalle.php?codigo=5346597&fecha=29/05/2014
Publicado por en

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)