1. LEY FEDERAL DE PROTECCIÓN
DE DATOS PERSONALES EN
POSESIÓN DE LOS
PARTICULARES

2. Antecedentes
Era Digital
• Generamos, transmitimos, recibimos, utilizamos y
almacenamos información como nunca antes en nuestra
historia... y esta tendencia, lejos de aminorar, crece
ininterrumpidamente.
• Ejemplos como Facebook o Twitter son arquetípicos.
• Incremento potencial de usuarios de portales electrónicos.

3. Antecedentes
Lo público y lo privado
La diferencia entre lo público y lo privado tiende a diluirse.
Nuestros datos personales son tratados como una
mercancía más, olvidando que un dato de carácter
personal es propiedad de un individuo.

4. Antecedentes
Declaración Universal de
Derechos Humanos
"Nadie será objeto de injerencias arbitrarias en su vida
privada, su familia, su correspondencia, ni de ataques a su
honra o su reputación. Toda persona tiene derecho a
la protección de la ley contra tales injerencias o ataques".
(Art. 12. Declaración Universal de los Derechos Humanos)

5. Antecedentes
Hackeos y Fishing
• Nadie es inmune, ya que incluso los gobiernos o
grandes corporativos con avanzados sistemas de
seguridad tampoco están exentos de sufrir fuga de
información, y ponen en evidencia que a mayor número
de datos mayor es el riesgo y por tanto la necesidad de
estar preparados para enfrentarlo.
• Cada cuatro segundos se roba la identidad de una
persona en Internet, así lo señaló la comisionada del
Instituto Federal de Acceso a la Información y Protección
de Datos (IFAI)

6. Antecedentes
Experiencia Internacional
Más de los 751 países que ya cuentan con legislaciones en
materia de protección de datos personales.
Entre los países que ya cuentan con legislación al respecto
se encuentran: Islandia, Liechtenstein, Noruega, Suiza,
Austria, Dinamarca, Francia, Alemania, Luxemburgo,
Noruega, Suecia, Estados Unidos, Bélgica, Países Bajos,
España, Venezuela, Perú, Argentina, Guatemala, Colombia,
Nicaragua, Ecuador, Chile, Reino Unido,Panamá, Costa
Rica, Uruguay, Italia, Canadá, entre otros.

7. Antecedentes
Reformas a la Constitución
Política de los Estados
Unidos Mexicanos
Artículo 16: se eleva a grado de Garantía Individual los
Datos Personales (DOF. 1 de junio de 2009).
Artículo 16.- […] Toda persona tiene derecho a la protección
de sus datos personales, al acceso, rectificación y cancelación
de los mismos, así como a manifestar su oposición, en los
términos que fije la ley, la cual establecerá los supuestos de
excepción a los principios que rijan el tratamiento de datos,
por razones de seguridad nacional, disposiciones de orden
público, seguridad y salud públicas o para proteger los
derechos de terceros.

8. Antecedentes
Reformas a la Constitución
Política de los Estados
Unidos Mexicanos
Artículo 73: : se establece que el Congreso de la Unión
deberá expedir la ley en la materia en un plazo no mayor a 12
meses (DOF. el 30 de abril de 2009).

9. Antecedentes
El derecho a la privacidad
El derecho a la privacidad se refiere a la capacidad de la persona
para controlar el uso de sus datos; de decir hasta qué momento
otra persona los puede ocupar; a pedir información acerca de su
uso cuando se desee, etc.
Se trata, primero, del derecho a la intimidad, y en segundo lugar a
la protección de datos personales, que representan nuestra
identidad ante el mundo.

10. Objetivos de la Ley
Regular el tratamiento de los datos, de manera controlada e
informada, para garantizar la privacidad y el derecho a la
autodeterminación de las personas.
Faculta a los Titulares para decidir cómo, cuándo, dónde y por
quién son ocupados sus datos personales.

11. Protección de Datos
La protección de datos personales en México se garantiza a
través de dos piezas legislativas:
Al sector público federal le es aplicable la Ley Federal de
Transparencia y Acceso a la Información Pública
Gubernamental(LFTAIPG).
Al sector privado le es aplicable la Ley Federal de Protección de
Datos Personales en posesión de los Particulares (LFPDPPP).
Ambos documentos dotan al Instituto Federal de Acceso a la
Información y Protección de Datos (IFAI) de atribuciones para
garantizar el ejercicio de este derecho.

12. ¿Qué son los datos
personales?
Los datos personales son toda la información concerniente o
relativa a una persona física identificada o identificable, tales
como:
• Datos de identificación
• Nombre, edad, domicilio, sexo, RFC, CURP…
• Datos patrimoniales
• Cuentas bancarias, saldos, propiedades…
• Datos de salud
• Estados de salud físico y mental…
• Datos biométricos
• Huellas dactilares, iris, palma de la mano…
• Otros
• Ideología, afiliación política, religión, origen étnico,
preferencia sexual…

13. ¿Qué son los datos
personales?
Si a partir de uno o más datos NO es posible identificar a
quién le pertenecen, entonces no se consideran datos personales.
Estos datos son considerados
personales si y solo si:
a.Se encuentran asociados a una persona, por ejemplo: Pedro
Páramo del Bosque;
b.Que a partir de uno o más de esos datos sea posible
conocer que le pertenecen a Pedro Páramo del Bosque.

14. Excepciones
El Reglamento de LFPDPPP introduce tres excepciones sobre
información (datos personales) que no son sujetas a la
aplicación del mismo Reglamento:
I.
Los datos relativos a personas morales;
II. Los datos personales que refieran a personas físicas en su
calidad de comerciantes y profesionistas.
III. La de personas físicas que presten sus servicios para
alguna persona moral o persona física con actividades
empresariales y/o prestación de servicios.

15. Disociación
En caso necesario, y con la finalidad de romper el vínculo entre un
dato y una persona, la doctrina en la materia reconoce el proceso
de disociación, situación que puede independizar un dato
personal de su dueño.
Es importante que cualquier dato personal, aunque sea sensible
puede ser disociado para ser utilizados con fines estadísticos,
históricos o de análisis interno.

16. ¿Cuáles son los datos
sensibles?
“Aquellos datos personales que afecten a la esfera más íntima de
su titular, o cuya utilización indebida puede dar origen a
discriminación o conlleve un riesgo grave para éste.”(artículo 3,
fracción VI).
“En particular son considerados sensibles aquellos que revelan
aspectos como el origen racial o étnico, estado de salud presente
y futuro, información genética, creencias religiosas, filosóficas y
morales, afiliación sindical, opiniones políticas y preferencia
sexual.”

17. ¿Cuáles son los datos
sensibles?
La Ley no permite crear bases de datos sensibles sin que exista
una justificación con finalidades legítimas, concretas y acordes
con las actividades o fines explícitos que persigue el responsable
del tratamiento de los datos.

18. Ámbito de la Ley.
La Ley, por ser federal, es de observancia general en toda la
República y aplica a todas las personas físicas o morales de
carácter privado que lleven a cabo el tratamiento de datos
personales.
I.
Cuando sea efectuado en un establecimiento del
Responsable ubicado en territorio mexicano;
II. Sea efectuado por un Encargado con independencia de su
ubicación, a nombre de un responsable establecido en territorio
mexicano;
III. El Responsable no esté establecido en territorio mexicano pero
le resulte aplicable la legislación mexicana, derivado de la
celebración de un contrato o en términos del derecho internacional;
IV. El Responsable no esté establecido en territorio mexicano y
utilice medios situados en México, salvo que tales medios se
utilicen únicamente con fines de tránsito que no impliquen un
tratamiento.

19. Sujetos de la Ley.
• Titular: persona a quien le pertenecen los datos personales
que serán tratados por el Responsable.
• Responsable: persona física o moral que decide sobre el
tratamiento de los datos.
• Encargado: persona física o jurídica que sola o en conjunto
con otras trate datos por instrucciones del Responsable.
• Tercero: La ley considerará también como Responsable a un
Tercero (distinto del Responsable y del Encargado), al que se
le transfieran datos personales.

20. Principios de
Protección de Datos
Son ocho los principios que la Ley establece para ser cumplidos
por el Responsable:
1.
2.
3.
4.
5.
6.
7.
8.
Licitud
Consentimiento
Información
Calidad
Finalidad
Lealtad
Proporcionalidad
Responsabilidad

21. Principio de Licitud
Establece que todos los datos personales deben recabarse y
tratarse de forma legal, siempre considerando lo establecido en
la Ley.

22. Principio de
Consentimiento
El Responsable está obligado a solicitar el consentimiento
(autorización) de los titulares antes de dar tratamiento a sus
datos a través del Aviso de Privacidad. Dicho consentimiento
puede ser:
• Expreso: verbal, por escrito, a través de medios electrónicos,
ópticos o cualquier otra tecnología, o por medios inequívocos
(comprobables).
• Tácito: cuando al poner a disposición del Titular el Aviso de
Privacidad, éste no hace manifestación alguna de negativa.

23. Principio de
Consentimiento
El consentimiento del Titular debe tener ciertas características sin
importar que sea tácito o expreso, como son:
· Libre, sin que medie el error, la mala fe, violencia o dolo que
puedan afectar la manifestación del Titular.
· Específico, referido a una o varias finalidades o propósitos
determinados que justifiquen el tratamiento.
· Informado, que el titular tenga conocimiento del Aviso de
Privacidad.
. Inequívoco, que exista una acción u omisión que implique la
existencia del consentimiento.

24. Principio de
Consentimiento
Existen casos en los que el consentimiento no es necesario,
como:
a)
b)
c)
d)
e)
f)
g)
h)
i)
Cuando lo prevea una ley.
Los datos provengan de fuentes de acceso público.
Haya existido un procedimiento previo de disociación, es decir,
El propósito sea cumplir con alguna obligación entre el Titular y
el Responsable.
Situación de emergencia.
En caso de tratamiento médico o servicios sanitarios en que el
Titular no esté en condiciones de dar su consentimiento.
Se dicte resolución por autoridad competente.

25. Principio de
Consentimiento
Se requiere el consentimiento expreso cuando:
a)
b)
c)
d)
e)
Lo exija una ley.
Se recaben y traten datos financieros o patrimoniales.
Se recaben y traten datos sensibles.
Lo solicite el responsable para acreditarse.
Sea un acuerdo entre el Responsable y el Titular.
El Titular podrá revocar en cualquier momento su
consentimiento, para lo cual el Responsable deberá establecer
mecanismos sencillos y gratuitos, siempre y cuando no lo impida
una disposición legal.

26. CONSENTIMIENTO
Regla General
Excepción
Transferencia de
Datos
Transferencia de
Datos a Personas
Autorizadas
No se requiere
Datos
Personales
Generales
Consentimiento
Tácito o Expreso
por cualquier medio
No se
requiere
Consentimiento
Tácito o Expreso
por cualquier
medio
Datos
Sensibles
Consentimiento
Expreso y por
Escrito
No se
requiere
Consentimiento
Expreso y por
Escrito
No se requiere
Datos
Patrimoniales o
Financieros
Consentimiento
Expreso por
cualquier medio
No se
requiere
Consentimiento
Expreso por
cualquier medio
No se requiere

27. Transferencia de
Datos
Es importante recordar que dicha transferencia se pueden hacer,
siempre y cuando el titular lo autorice.
Sin embargo, la Ley establece que la transmisión de datos se
puede llevar a cabo sin que medie consentimiento cuando:
1. Esté prevista en una ley o en un tratado del cual México sea
parte.
2. Sea necesaria para la prevención o diagnóstico médico.
3. Se realice entre empresas pertenecientes a un grupo
empresarial que compartan determinados procesos o políticas
internas.
4. Sea necesaria para el cumplimiento de un contrato que sea
del interés del Titular y sea celebrado entre el Responsable y un
Tercero.
5. Por el interés público de procuración o administración de
justicia.
6. Cuando lo solicite un juez dentro de un proceso judicial.

28. Principio de
Información
El Responsable, por medio del Aviso de Privacidad, debe
comunicar a los Titulares qué datos personales recaba y la
finalidad o propósito de su tratamiento.

29. Principio de Calidad
El Responsable debe buscar que los datos personales
que trate sean exactos, completos, pertinentes, correctos y
actualizados, a fin de disminuir posibles solicitudes de
Rectificación por parte de los Titulares.

30. Principio de Finalidad
El Responsable deberá tratar los datos exclusivamente para la
finalidad establecida en el Aviso de Privacidad. Si el
Responsable pretendiera tratar los datos para fines incompatibles
a los establecidos en el Aviso de Privacidad, se requerirá recabar
nuevamente consentimiento del Titular.

31. Principio de Lealtad
El Responsable debe evitar en todo momento recolectar datos de
particulares por medios engañosos o fraudulentos. Los datos
deben tratarse conforme a la presunción de “expectativa
razonable de privacidad”.
En caso de vulnerar un dato personal, se estaría quebrantando
la confianza y tratamiento de datos que los particulares
depositaron en el responsable, lo que traería como consecuencia
otro tipo de responsabilidades, como la civil o, en ciertos casos, la
penal.

32. Principio de
Proporcionalidad
El Responsable deberá procurar en todo momento que el
contenido de las bases de datos sean conducentes o
concernientes exclusivamente para el tratamiento que se les dará,
Este principio también será clave en la estrategia general de
protección, ya que mientras menos datos personales se
traten, más sencillo será su gestión y resguardo

33. Principio de
Responsabilidad
El Responsable tendrá la obligación de establecer y mantener
medidas de seguridad Administrativas, Técnicas y Físicas
que protejan los datos personales contra daños, pérdida,
alteración, destrucción o el uso, acceso o tratamiento no
autorizado, las cuales deberán ser al menos iguales a las
aplicadas a su propia información.
En caso de que la seguridad se vulnere y pueda afectar en forma
significativa los derechos patrimoniales o morales del titular, el
Responsable tendrá la obligación de informar en forma inmediata
al Titular para que tome las medidas correspondientes.

34. Principio de
Responsabilidad
El Responsable, o cualquier Tercero que intervenga en el
tratamiento de los datos, tiene la obligación de guardar
confidencialidad respecto de los mismos aún después de
concluida su relación con el responsable o los titulares.

35. Aviso de
Privacidad
El Aviso de Privacidad debe caracterizarse por ser sencillo, con
información necesaria, expresado en lenguaje claro y
comprensible, y con una estructura y diseño que facilite su
entendimiento.

36. Aviso de Privacidad
La información mínima que debe tener un Aviso de Privacidad es la siguiente:
a) Nombre y domicilio del Responsable que recaba los datos.
b) Relación detallada de los datos personales que se
c) La(s) finalidad(es) del tratamiento de datos.
d) Opciones que el responsable ofrece a los titulares para limitar
el uso o divulgación de los datos.
e) Medios para hacer valer los derechos ARCO (acceso, rectificación,
cancelación u oposición).
f) Mecanismos para revocar el consentimiento de tratamiento de
datos.
g) La aceptación o negación de que se transfieran los datos
personales a Terceros.
h) Formas y vías de comunicación respecto de cambios al aviso de privacidad.

37. Aviso de
Privacidad
Cuando el dato se recabe en forma personal (en presencia del
Titular), el Responsable debe facilitar el Aviso de Privacidad en
ese momento de forma clara y fehaciente, salvo que se hubiera
facilitado con anterioridad.
Si resulta imposible dar a conocer el Aviso de Privacidad al
Titular, o esto exija esfuerzos desproporcionados en función
del número de titulares o la antigüedad de los datos, el
Responsable podrá instrumentar medidas compensatorias como
la publicación en la página web del Responsable, diarios o
carteles.

38. Recomendaciones
• Contar con títulos cortos y claros, que de manera sencilla
informen al titular sobre el contenido del aviso;
• Utilizar un lenguaje claro y comprensible, a fin de que el
mensaje se dirija de manera adecuada al público objetivo;
• Brindar un contexto para facilitar la comprensión del contenido;
• Tener una estructura clara y textos breves;
• En el caso de que se requiera el consentimiento expreso
utilizando medios verbales, incluir un mecanismo que permita
al Titular elegir entre las opciones de otorgar o negar su
consentimiento;
• Evitar la inclusión de textos o formatos que induzca al Titular a
elegir una opción en específico.

39. Aviso de privacidad de P&G
•
Alcance
Este aviso de privacidad se aplica a toda la información e
incluye la información personal recopilada sobre usted
por P&G (The Procter & Gamble Company y sus
empresas afiliadas y subsidiarias)

40. Aviso de privacidad de P&G
• Información que recopilamos
Recopilamos información sobre usted a partir de varias
fuentes, que incluyen:
•
•
Información que recopilamos de usted de forma directa.
•
Información que recopilamos sobre usted a partir de otras
fuentes, como fuentes comercialmente disponibles.
•
Toda la información que recopilamos sobre usted puede
combinarse para ayudarnos a adaptar nuestras
comunicaciones a usted y desarrollar productos y
servicios de talla mundial.
Información que recopilamos de usted cuando visita
nuestro sitio, utiliza nuestros servicios o ve nuestros
anuncios en línea.

41. Aviso de privacidad de P&G
•
Cómo usamos o compartimos la información
Utilizamos la información que recopilamos para brindarle los productos y
servicios que solicita, para informarle acerca de otros productos y
servicios ofrecidos por P&G y para administrar nuestros sitios y servicios.
En general, no compartimos su información personal con terceros
anunciantes, a menos que le hayamos solicitado y obtenido su
consentimiento explicito.
Podemos compartir su información:
•
Con terceros que nos proporcionan servicios, incluyendo aquellos que
trabajan en nombre de P&G y nuestros socios comerciales, para
enviarle comunicaciones conjuntas que esperamos sean de su interés.
•
•
Si una marca de P&G es vendida a otra empresa.
•
Cuando lo requiera la ley o las autoridades públicas.
Para proteger y defender el derecho y la propiedad de P&G
(incluyendo hacer cumplir nuestros términos y condiciones).

42. Aviso de privacidad de P&G
•
Sus elecciones
Le damos a elegir la manera en la que nos comunicamos con usted.
Puede dejar de recibir correos electrónicos o comunicaciones postales
promocionales de una marca o programa de P&G en particular
mediante este aviso de privacidad. Por favor haga clic aquí para
seleccionar su país y conocer cómo completar su solicitud.
Tomamos acciones para mantener la exactitud de su información
personal. Puede ver, corregir o actualizar la información de contacto
que proporcione a P&G.
Haga clic aquí para seleccionar su país y conocer cómo acceder y
actualizar la información de contacto que proporcionó a P&G.

43. Aviso de privacidad de P&G
•
•
Cómo contactarnos
•
Haga clic aquí para ver las respuestas a las preguntas más
frecuentes.
Si tiene alguna pregunta y desea contactarnos, haga clic
aquí (para obtener direcciones de países específicos).
O escríbanos a:
P&G Global Privacy Team
PO Box 599
Cincinnati, OH 45202
USA

44. DERECHOS ARCO
Acceso:
Facultad del Titular, para conocer o interesarse por sus datos
personales en posesión del responsable de cualquier empresa.
Rectificación:
Facultad
del
Titular,
de
poder
solicitar
al
responsable la corrección de datos personales que estén incorrectos, imprecisos,
incompletos o desactualizados.
Cancelación:
Facultad del Titular, para que solicite al responsable,
la eliminación de algún dato que sea innecesario o que no es utilizado para la
finalidad con la que fue recabada.
Oposición:
Facultad del Titular, para que solicite al responsable, la
no utilización o tratamiento de sus datos personales.

45. DERECHOS ARCO
El ejercicio de cualquiera de los derechos ARCO no excluye la
posibilidad de ejercer alguno de los otros, ni puede constituir un
requisito previo para su ejercicio.
La ejecución de los Derechos ARCO debe ser sencilla y gratuita,
cubriendo solamente lo gastos de envío, reproducción y en su
caso, certificación de documentos.

46. PLAZOS PARA
EJERCER DERECHOS
ARCO

47. SANCIONES
Si derivado del procedimiento de Protección de Derechos o de
la verificación que realice el IFAI, se identificara un presunto
incumplimiento de alguno de los Principios o disposiciones de la
Ley, se iniciará el Procedimiento de Imposición de Sanciones.

48. SANCIONES
El apercibimiento para que el responsable cumpla los actos
solicitados en caso de omisión en el cumplimiento de la solicitud
del Titular para ejercer cualquier derecho ARCO.
El apercibimiento es, por decirlo en pocas palabras, una llamada
de atención del IFAI, a presentarse obligatoriamente, para
considerar las posibles consecuencias que pueden derivar del
proceso.

49. OTRAS SANCIONES
• Multa de 100 ($5,746 pesos) a 160,000 ($9,193,600
pesos) días de salario mínimo.
• Multa de 200 ($11,492 pesos) a 320,000 ($18,387,200
pesos) días de salario mínimo.

50. DELITOS
En el caso de que una persona autorizada trate
indebidamente datos personales con ánimo de lucro y
provoque una vulneración en la seguridad de la base de
datos, se considerará delito y se penalizará con prisión
de 3 meses a 3 años.
Si se tratan datos personales con el fin de obtener un lucro
indebido y se traten los datos personales mediante engaño,
aprovechándose del error en que se encuentre el Titular, se
impondrá una sanción de 6 meses a 5 años de prisión.

51. SITUACIONES DE
EXCEPCIÓN
• Si los datos personales fueron obtenidos antes del 6 de julio
de 2011, es necesario dar a conocer a los titulares el Aviso de
Privacidad (Sitio web, envío masivo de e-mail o medidas
compensatorias).
• No se requiere del consentimiento expreso, aún tratándose de
datos sensibles.
• Si las finalidades del tratamiento son modificadas con
posterioridad, se deberá comunicar a los Titulares nuevamente
el Aviso de Privacidad.

52. DEPARTAMENTO DE
DATOS PERSONALES
Todo Responsable deberá designar a una persona o
departamento de datos personales cuyas funciones sustantivas
serán las siguientes:
Atender las solicitudes de los titulares para el ejercicio de
sus Derechos ARCO
Diseñar y ejecutar una política de protección de datos personales
al interior de la organización.
Desarrollar mecanismos e instrumentos prácticos para evaluar
periódicamente la eficacia y eficiencia de esta política.

53. Ciclo de Vida de los
Datos
Personales.
Existen seis procesos que integran el Ciclo de Vida de
Datos Personales:
Obtención, Uso, Almacenamiento, Transferencia, Bloqueo y
Supresión.

54. OBTENCIÓN
La primera etapa en el tratamiento de los datos personales es su
obtención, recolección o acopio.
Es el momento en el cual el Titular de los datos los proporciona
para ser tratados conforme a las finalidades establecidas en el
Aviso de Privacidad de una organización o persona física.

55. OBTENCIÓN
¿Cómo se obtienen?
• En presencia física del Titular (Ejemplos: Forma Verbal,
escrita, captura, transcripción, scanneo, fotografia,
videograbación).
• Por medios directos (Ej. website, chat, twitter, facebook,
youtube, blog, cuestionarios impresos o electrónicos,
teléfono, kioskos, sms, e-mail, correo postal, fax, etc.)
• Por medios indirectos (Fuentes de acceso público* tales
como: sitios web, periódicos, revistas, directorios, gacetas,
anuncios publicitarios, libros, museos, bibliotecas, bases de
datos, archivos documentales y digitales, etc.)

56. OBTENCIÓN
Inventario de momentos de recolección.
La persona o personas designadas para implementar la estrategia
de protección de datos al interior de la organización deben realizar
un inventario detallado y exhaustivo de:
1. Medios y canales por los cuales se recaban datos personales.
2. Personal de la organización (interno) que recopila datos
personales.
3. Encargados (externos) que recopilan datos personales.
4. Número y tipo de datos que se recaban (No sensibles,
sensibles y patrimoniales).
5. Grado de conformidad con el principio de Proporcionalidad.
6. Nivel de seguridad con el cual se recopilan los datos.

57. USO
Y
ALMACENAMIENTO
Estos procesos son, sin duda, los de tratamiento más
intensivo de los datos personales, debido a que pueden
intervenir múltiples personas o áreas al interior de la
organización, así como Encargados externos a los cuales
se les confían los datos para
realizar actividades por cuenta del Responsable.

58. USO
Y
ALMACENAMIENTO
El tratamiento que puede implicar el traslado de los datos
del Responsable a un Encargado externo se denomina
“transmisión” y no requiere de consentimiento del Titular.

59. USO Y
ALMACENAMIENTO
Medidas generales:
A. Procurar que todo el personal que trata datos
personales conozca y comprenda sus
responsabilidades en la materia y se adhiera
expresamente a la política de protección de datos de la
organización.
B. Distribuir el material básico de información entre los
empleados y áreas para transmitir la importancia que tiene la
privacidad y protección de datos en la organización.
C. Resguardar bajo llave archivos y documentos físicos
que contengan datos personales.

60. USO Y
ALMACENAMIENTO
Medidas generales:
D. No utilizar equipos de terceros para tratar datos
personales (Ej. Cafés internet).
E. Evitar compartir datos personales, sobre todo
sensibles, por canales que no sean los autorizados por la
organización.
F. Abstenerse de extraer y/o trasladar archivos con datos
personales en medios magnéticos e impresos fuera de la
organización.

61. USO Y
ALMACENAMIENTO
Correo Electrónico
• No utilizar el correo electrónico para transferir documentos
que contengan datos personales.
• Solicitar al personal de informática que toda transmisión y
consulta de correo electrónico se efectúe por puertos
seguros.
•
Evitar utilizar cuentas de correo electrónico ajenos a la
organización para propósitos laborales (hotmail, yahoo,
gmail)

62. USO Y
ALMACENAMIENTO
Para los equipos informáticos de uso regular:
•
En la medida de lo posible, separa los datos personales del
resto de la información que manejas, a fin de poder gestionarla
y protegerla con facilidad.
•
Establece siempre contraseñas seguras de 8 o más caracteres
alfanuméricos y procura cambiarlos cada 6 meses.
•
Utiliza protector de pantalla para bloquear el equipo cuando no
se encuentre en uso en un lapso máximo de 5 a 10 minutos que
requiera contraseña para su desbloqueo.
•
Utiliza software especializado para identificar los niveles de
seguridad y riesgo que tienen los sitios web que se consultan
desde la organización para evitar phishing, malware y boots.

63. USO Y
ALMACENAMIENTO
Para los equipos informáticos de uso regular:
Encriptar y respalda de forma periódica la información
almacenada en los equipos de cómputo de la organización,
especialmente los equipos portátiles y dispositivos móviles.
Evitar conectarse por WiFi en redes públicas abiertas con
equipos portátiles y móviles de la organización.
Instalar y actualizar regularmente los programas antivirus de
todos los equipos de la organización.
Evitar almacenar, trasladar y compartir registros e información que
contengan datos personales mediante dispositivos externos
(Memorias, USB, Discos duros externos, CD, DVD) Si no tienen
encriptada dicha información.

64. TRANSFERENCIA
El proceso de transferencia tiene lugar cuando los datos
personales en poder del Responsable son comunicados a una
persona o entidad distinta del Titular o Encargado.
Toda transferencia debe ser acorde con los términos
establecidos en el Aviso de Privacidad.
Documentar que el receptor de los datos personales (Tercero)
acepta tratar los datos personales conforme lo convenido en el
Aviso de Privacidad

65. BLOQUEO
Este proceso tiene como propósito impedir el uso y
aprovechamiento de los datos personales por cualquier
persona. A partir de su bloqueo los datos personales no
deberán utilizarse, salvo que medie una solicitud de Acceso
por parte del Titular o por disposición
legal.
Si el Titular solicita el Derecho de Cancelación (supresión)
de sus datos o parte de ellos, el Responsable podrá
determinar un periodo de bloqueo de hasta 120 meses con
el único propósito de establecer posibles responsabilidades en
relación con su tratamiento hasta el plazo de prescripción
legal o contractual de éstas y deberá comunicarlo al Titular.

66. CANCELACIÓN
El proceso de Cancelación consiste en la destrucción física
de los datos personales, así como la eliminación de los
archivos digitales y registros de datos personales que se
encuentren en bases de datos.
Los datos personales podrán someterse a un proceso previo
de disociación con el propósito de mantener la información
con fines estadísticos o de registro histórico.

67. CANCELACIÓN
El proceso de Cancelación consiste en la destrucción física
de los datos personales, así como la eliminación de los
archivos digitales y registros de datos personales que se
encuentren en bases de datos.
Los datos personales podrán someterse a un proceso previo
de disociación con el propósito de mantener la información
con fines estadísticos o de registro histórico.

68. PROVEDORES DE SERVICIOS
•
Servicios Integrales Querétaro
– Generación de avisos de privacidad
– Implementación de sistemas de respaldo
– Diseño Web
– Campañas electrónicas
– Etc.
www.serviciosintegralesqro.com
www.generatuavisodeprivacidad.com