Mejores prácticas en materia de protección de datos personales
Las Mejores Prácticas en materia de protección de datos personales se enfocan en identificar acciones, reglas, criterios y procedimientos que resultan eficaces para elevar el nivel de protección de datos personales a través de acciones preventivas en la materia.
El objetivo de las Mejores Prácticas en materia de protección de datos personales permitirá a los responsables o encargados demostrar el cumplimiento en materia de protección de datos personales mediante Esquemas de Mejores Prácticas en protección de datos personales a los que refieren los artículos 72 y 73 de la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados (Ley General), y 119 de los Lineamientos Generales de Protección de Datos Personales para el Sector Público (Lineamientos).
Los Esquemas de Mejores Prácticas definen aquellas acciones, reglas, criterios y procedimientos que tienen como finalidad:
- Elevar el nivel de protección de los datos personales en el sector público.
- Armonizar el tratamiento de datos personales en un sector específico.
- Facilitar el ejercicio de los derechos de acceso, rectificación, cancelación, oposición y portabilidad de datos personales a los titulares.
- Facilitar las transferencias de datos personales
- Complementar las disposiciones previstas en la normatividad que resulte aplicable en materia de protección de datos personales en el sector público
- Demostrar ante el Instituto y otros interesados, el cumplimiento de la normatividad aplicable en materia de protección de datos personales en el sector público.
Los responsables o encargados podrán adoptar o desarrollar Esquemas de Mejores Prácticas de manera individual o en acuerdo con otros responsables, encargados u organizaciones que decidan la validación o reconocimiento por parte del Instituto o en su caso Organismos Garantes para su posterior inscripción en el Registro de Esquemas de Mejores Prácticas (REMP) , previamente deberá cumplir con la normativa correspondiente a los Parámetros de Mejores Prácticas en materia de protección de datos personales del sector público (Parámetros) y las Reglas de Operación del Registro de Esquemas de Mejores Prácticas (Reglas).
Principios que rigen las Mejores Prácticas
Las mejores prácticas se regirán por los siguientes principios:
Imparcialidad. Las validaciones y reconocimientos de los esquemas de mejores prácticas, así como s u certificación deberán realizarse de forma tal que se salvaguarde la objetividad e imparcialidad.
Responsabilidad. El responsable y encargado deberán establecer mecanismos que permitan acreditar el cumplimiento de las obligaciones previstas en la Ley General y demás normativa aplicable, así como rendir cuentas sobre el tratamiento de los datos personales en su posesión, al titular, al responsable o encargado, y al Instituto.
Obligatoriedad. Una vez que se adhiera a un determinado esquema de mejores prácticas, deberá cumplir e implementar las acciones, reglas, criterios y procedimientos establecidos en el mismo.
Transparencia. Las prácticas señaladas en los esquemas adoptados deberán ser transparentes, salvo aquella información que se especifique como confidencial o reservada en términos de la normatividad aplicable.
Voluntariedad. La decisión sobre el desarrollo o la adopción de un esquema de mejores prácticas es de carácter voluntario.
Modalidades de los Esquemas de Mejores Prácticas
El responsable o encargado podrá desarrollar o adoptar esquemas de mejores prácticas bajo las siguientes modalidades:
Reglas para adaptar la normativa de datos personales en sectores específicos, validados por el Instituto.
Sistemas de gestión validados por el Instituto.
Esquemas de mejores prácticas, sistemas de gestión, y productos o servicios tecnológicos de tratamiento de datos personales, certificados por un organismo de certificación en materia de mejores prácticas en la protección de datos personales del sector público, los cuales serán reconocidos por el Instituto.
Las modalidades antes mencionadas se desarrollarán a detalle en los siguientes capítulos de esta guía.
Alcance normativo
Alcance total. Cuando abarquen todos los principios, deberes y obligaciones previstos en la Ley General y demás normativa que de ella derive, incluyendo, en su caso, las reglas para adaptar la normativa, entre ellos, los principios de licitud, finalidad, lealtad, consentimiento, calidad, proporcionalidad, información y responsabilidad; los deberes de seguridad y confidencialidad, así como las obligaciones vinculadas a los derechos de los titulares, la relación entre responsable y encargado, las transferencias, las evaluaciones de impacto en la protección de datos personales y el establecimiento de un sistema de gestión de seguridad de datos personales, entre otros.
Alcance parcial. Cuando abarquen todos los principios, deberes y obligaciones previstos en la Ley General y demás normativa que de ellas derive, incluyendo, en su caso, las reglas para adaptar la normativa, entre ellos, los principios de licitud, finalidad, lealtad, consentimiento, calidad, proporcionalidad, información y responsabilidad; los deberes de seguridad y confidencialidad, así como las obligaciones vinculadas a los derechos de los titulares, la relación entre responsable y encargado, las transferencias, las evaluaciones de impacto en la protección de datos personales y el establecimiento de un sistema de gestión de seguridad de datos personales, entre otros.
Alcance material
A su vez, los esquemas de mejores prácticas podrán tener cualquiera de los siguientes alcances materiales:
- Total: Cuando abarquen todos los procesos de datos personales que realice el responsable o encargado adherido.
- Parcial: Cuando abarquen sólo algunos procesos específicos que realice el responsable o encargado adherido.
Los trámites relacionados con la validación de esquemas de autorregulación que se realicen ante el INAI serán gratuitos y se presentarán por escrito en sus oficinas ubicadas en Avenida Insurgentes Sur, Número 3211, Colonia Insurgentes Cuicuilco, en la Alcaldía Coyoacán, Código Postal 04530, de lunes a jueves de 9:00 a 18:00 horas y viernes de 9:00 a 15:00 horas, o a través de otros medios que el INAI habilite para esos efectos. Para más información contacte al Centro de Atención a la Sociedad del INAI.
Registro REMP
De conformidad con la normativa mexicana en la materia, únicamente aquellos Esquemas de Mejores Prácticas que, a juicio del INAI, reúnan los requisitos previstos en la Ley General de Protección Datos Personales en Posesión de Sujetos Obligados (Ley General), los Parámetros de mejores prácticas en materia de protección de datos personales (Parámetros) y Reglas de Operación del Registro de Esquemas de Mejores Prácticas (Reglas), gozarán del reconocimiento del INAI y serán inscritos en el Registro de Esquemas de Mejores Prácticas en Materia de Protección de Datos Personales (REMP) que será administrado por el Instituto.
El objeto de las Reglas de Operación del Registro de Esquemas de Mejores Prácticas es definir y describir los aspectos operativos y los procedimientos necesarios para el funcionamiento del Registro de Esquemas de Mejores Prácticas en materia de protección de datos personales del sector público, previsto en el artículo 73 de la Ley General, y el Capítulo VII de los Parámetros de Mejores Prácticas en Materia de Protección de Datos Personales del Sector Público, en adelante, los Parámetros.
El REMP permitirá a los interesados conocer a los responsables y encargados que han adoptado Esquemas de Mejores Prácticas. A través del REMP se publicará información relacionada con los Esquemas que el Instituto y los Órganos Garantes consideren de interés general y que no se encuentre clasificada en términos de la Ley General de Transparencia y Acceso a la Información Pública, la Ley Federal de Transparencia y Acceso a la Información Pública o las legislaciones estatales en la materia.
El REMP lo administra el Instituto y se encuentra disponible en http://rea.inai.org.mx; está conformado por tres secciones:
Certificación
Los responsables o encargados certificados podrán solicitar a los organismos de certificación reconocidos por el Instituto que se encuentren plenamente identificados en el REMP, la Certificación de sus Esquemas de Mejores Prácticas o Sistemas de Gestión, así como los productos y servicios tecnológicos de tratamiento de datos personales.
- Entidades de acreditación. El instituto reconocerá las autorizaciones otorgadas por la Secretaría a las entidades de acreditación a través de su inscripción en el REMP.
- Organismos de certificación. El Instituto reconocerá las acreditaciones otorgadas a organismos de certificación a través de si inscripción en el REMP.
- Las certificaciones reconocidas por el Instituto. El Instituto y los Órganos Garantes, reconocerán las certificaciones otorgadas por los organismos de certificación reconocidos por el Instituto, los cuales se pueden consultar en el REMP.
Reglas para adaptar normativa
Las Reglas para adaptar la normativa permitirá reconocer a los responsables o encargados en lo individual o en acuerdo con otros responsables adopten o propongan Reglas para adoptar la normativa y que el Instituto u Órganos Garantes validen.
Sistemas de Gestión validados
El Instituto y los Órganos Garantes, reconocerán los Sistemas de Gestión previo cumplimiento de la normatividad correspondiente a los Parámetros y Reglas.
La notificación de esquemas de mejores prácticas que se realicen ante el INAI serán gratuitos y se presentarán por escrito en sus oficinas ubicadas en Avenida Insurgentes Sur, Número 3211, Colonia Insurgentes Cuicuilco, en la Alcaldía Coyoacán, Código Postal 04530, de lunes a jueves de 9:00 a 18:00 horas y viernes de 9:00 a 15:00 horas, o a través de otros medios que el INAI habilite para esos efectos. Para más información contacte al Centro de Atención a la Sociedad del INAI.
Reglas para adaptar normativa
Las Reglas para adaptar normativa tienen por objetivo establecer reglas, criterios, procedimientos o acciones específicas para mejorar la eficiencia de la implementación de los principios, deberes y obligaciones en materia de Protección de Datos Personales previstos en la Ley General y Leyes estatales en la materia.
Las Reglas para adaptar normativa podrán tener un alcance total cuando abarquen todos los procesos de datos personales que realice el responsable o encargado, y/o alcance parcial cuando abarquen sólo algunos procesos específicos.
El Instituto podrá proponer a los responsables el desarrollo o adopción de Reglas para adaptar la normativa, cuando considere que ayudará a mejorar la eficiencia de la aplicación de la norma y podrán desarrollarse a través de códigos de buenas prácticas, modelos en materia de datos personales, programas u otros. A continuación, se muestra de manera general el proceso de adopción o desarrollo:
Procedimiento para solicitar la validación del instituto y su inscripción en el REMP.
Las Reglas para adaptar la normativa que desarrollen o adopten los responsables en términos de los artículos 72 y 73 de la Ley General y del artículo 10 fracción I de los Parámetros, que soliciten la validación del Instituto, así como su inscripción, modificación y baja, deberán ser notificados al Instituto.
Trámite de validación de las Reglas para adaptar la normativa y su inscripción en el REMP.
Requisitos y procedimientos del trámite de validación de las Reglas para adaptar la normativa y su inscripción en el REMP:
1. Servidor público con facultades para realizar el trámite. En caso de que las Reglas para adaptar normativa se hayan desarrollado por dos o más responsables o encargados, la notificación deberá realizarla el responsable coordinador designado previamente por ellos mismos.
2. Notificar al Instituto de la existencia de Reglas para adaptar la normativa que soliciten la validación. La notificación deberá contener lo siguiente:
La notificación deberá contener la siguiente información
- La denominación de las Reglas para adaptar la normativa.
- La denominación de los responsables o el nombre completo, denominación o razón social de los encargados que han decidido adherirse o adoptar las Reglas para adaptar la normativa, al momento de la presentación de la solicitud de validación.
- Denominación del responsable coordinador, en caso de Reglas para adaptar la normativa desarrolladas en conjunto por dos o más responsables o encargados, así como la documentación prevista en el artículo 18 de las Reglas.
- Objetivo de las Reglas para adaptar la normativa.
- Sector al que aplican las Reglas para adaptar la normativa.
- La vigencia de las Reglas para adaptar la normativa, en su caso.
- Alcance de las Reglas para adaptar la normativa de acuerdo con el artículo 19 de los Parámetros.
- Ámbito personal de aplicación, es decir, el tipo o grupo de titulares cuyos datos personales están vinculados con el tratamiento al que aplican las Reglas para adaptar la normativa.
- Los requisitos y el procedimiento de adhesión a las Reglas para adaptar la normativa en caso aquellas desarrolladas en conjunto por dos o más responsables o encargados.
- Los medios por los cuales se comunicará a los interesados cualquier aspecto relacionado con las Reglas para adaptar la normativa en caso de aquellas desarrolladas en conjunto por dos o más responsables o encargados, incluidas las modificaciones o cancelaciones a las mismas.
- Documento que contenga el desarrollo de las Reglas para adaptar la normativa que se someten a validación.
- Datos de contacto o un medio habilitado con fines de difusión de las Reglas para adaptar la normativa.
- El correo electrónico y el domicilio, para oír y recibir notificaciones, de conformidad con el artículo 12 de las Reglas.
- La notificación deberá ir acompañada de un dispositivo de almacenamiento electrónico con la información referida anteriormente, salvo que dicha notificación sea realizada a través del sistema informático que, en su caso, habilite el Instituto.
3. Instituto resolverá la procedencia de la validación de Reglas para adaptar la normativa y su inscripción en el REMP, en un plazo de 90 días contados a partir de día siguiente a la recepción de la notificación.
4. Resolución por parte del Instituto, en caso de negativa el responsable o encargado podrá subsanar aspectos de las Reglas para adaptar la normativa en un plazo no menor a diez días; en caso de que lo requiera, el solicitante podrá solicitar una prórroga que no podrá exceder de treinta días naturales, lo cual deberá presentarse por escrito al Instituto por una sola vez, justificando lo anterior.
5. El Instituto notificará al responsable o encargado la procedencia de la validación dentro de los diez días posteriores a la emisión de esta.
6. Cuando el Instituto valide las Reglas para adaptar la normativa con validación en el REMP, se procederá a su inscripción y publicación en el REMP dentro de los diez días posteriores a la emisión de esta.
Modificación de las Reglas para adaptar la normativa y su inscripción en el REMP.
Las modificaciones a cualquier contenido de las Reglas para adaptar la normativa previstos en el Capítulo IV de los Parámetros y por el artículo 20 de las Reglas, deberán ser notificados al Instituto por las personas previstas para hacer notificaciones en el artículo 17 de las Reglas.
Requisitos y procedimientos del trámite de modificación de las Reglas para adaptar la normativa y su inscripción en el REMP:
1. Identificar el tipo de modificación:
- Modificaciones que no requieren evaluación por parte del Instituto. Cuando las modificaciones notificadas al Instituto no afecten de manera sustantiva el contenido de las Reglas, no requerirán de evaluación por parte del Instituto y se realizará la actualización en un plazo de 10 días en el REMP.
- Modificaciones que sí requieren evaluación por parte del Instituto. La resolución sobre procedencia de la modificación de las Reglas para adaptar la normativa con validación resolverá en el plazo de 90 días para emitir una resolución. En caso de negativa el solicitante podrá subsanar lo solicitado por el instituto para su acreditación.
2. Servidor público con facultades para realizar la notificación ante el Instituto.
3. Notificar al Instituto de las Reglas para adaptar la normativa que soliciten modificación. La notificación deberá contener lo siguiente:
Requisitos que deberá contener la notificación
- El nombre y número único de registro de las Reglas para adaptar la normativa que se modifica.
- Las modificaciones propuestas, los motivos de las modificaciones, así como la fecha en que pretenden hacerse efectivas o se hicieron efectivas.
- La documentación necesaria para acreditar la modificación, en su caso.
- La notificación deberá ir acompañada de un dispositivo de almacenamiento electrónico con la información referida en los numerales anteriores, salvo que dicha notificación sea realizada a través del sistema informático que, en su caso, habilite el Instituto.
Las modificaciones propuestas deberán cumplir, en todo momento, con los requisitos establecidos en la Ley, los Lineamientos Generales, los Parámetros, las Reglas y demás normativa aplicable.
Baja de las Reglas para adaptar la normativa y su inscripción en el REMP.
En caso de que las Reglas para adaptar la normativa dejen de tener aplicación, de conformidad con los artículos 21, 22 y 23 de los Parámetros, la persona designada para realizar notificaciones al Instituto deberá notificarle este hecho, en un plazo no mayor a diez días posteriores a que se actualice cualquiera de los supuestos en que pueda ser desechado de acuerdo con el artículo 22 de los Parámetros.
Las Reglas podrán ser objeto de baja cuando:
- Así lo decidan y lo soliciten quienes hayan presentado el trámite de su validación.
- Haya concluido su vigencia, en caso de que ésta sea prevista o en caso contrario, éstas serán de carácter permanente hasta en tanto no se actualice alguna condición prevista en su baja.
- Cuando se determine que dejaron de cumplir el objetivo de establecer reglas, criterios, procedimientos o acciones específicos para mejorar la eficiencia de la implementación de los principios, deberes y obligaciones de protección de datos personales previstos en la Ley general y las leyes estatales en la materia, atendiendo a las necesidades o características particulares de un sector.
Requisitos y procedimientos del trámite de baja de las Reglas para adaptar la normativa y su inscripción en el REMP:
1. Servidor público con facultades para realizar el trámite ante el Instituto.
2. Notificación de la terminación de Reglas para adaptar la normativa con validación. La notificación deberá incluir:
Requisitos del trámite de baja de Reglas para adaptar la normativa con validación
- El nombre y número único de registro de las Reglas para adaptar la normativa con validación del cual se solicita la baja.
- Los motivos por los que las Reglas para adaptar la normativa dejan de tener aplicación.
Cuando el Instituto observe algún incumplimiento en los términos en que fue emitida la validación de Reglas para adaptar la normativa, se iniciará el procedimiento de baja de las Reglas para adaptar la normativa del REMP. El responsable o encargado podrá subsanar y aportar la documentación que estime procedente ante el Instituto en un plazo de 15 días contados a partir de la notificación, por su parte el Instituto contará con un plazo de máximo 2 meses contados a partir de su presentación; este plazo podrá ampliarse por un periodo igual cuando existan razones justificadas y sea notificado al responsable o encargado.
Como consecuencia de la baja de Reglas para adaptar la normativa con validación, el responsable, encargado o responsable coordinador se abstendrán de hacer referencia o publicar dichas Reglas para adaptar la normativa como validadas por el Instituto.
Durante el desarrollo del procedimiento de baja, el Instituto publicará en el REMP , que la validación en cuestión se encuentra sujeta a dicho procedimiento. Una vez que el Instituto haya emitido la resolución correspondiente, ésta se publicará en el REMP con sus respectivos cambios.
Las Reglas para adaptar la normativa no eximen a los responsables ni encargados de su obligación de cumplir con lo dispuesto por la Ley General y demás normatividad aplicable.
Los trámites relacionados con la validación, modificación o baja de las Reglas para adaptar la normativa e inscripción en el REMP, que se realicen ante el INAI serán gratuitos y se presentarán por escrito en sus oficinas ubicadas en Avenida Insurgentes Sur, Número 3211, Colonia Insurgentes Cuicuilco, en la Alcaldía Coyoacán, Código Postal 04530, de lunes a jueves de 9:00 a 18:00 horas y viernes de 9:00 a 15:00 horas, o a través de otros medios que el INAI habilite para esos efectos.
Para más información contacte al Centro de Atención a la Sociedad del INAI.
Sistemas de gestión validados
En el sector público la implementación de un Sistema de Gestión es obligatorio, según lo establecido en el artículo 34 de la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados (Ley General) y 65 de los Lineamientos Generales de Protección de Datos Personales para el Sector Público (Lineamientos).
De forma particular cuando nos referimos a un Sistema de Gestión de Seguridad de Datos Personales (SGSDP) tiene por objetivo proveer un marco de trabajo para el tratamiento de datos personales que permita mantener vigente y mejorar la protección de datos personales para el cumplimiento de la legislación y fomentar las buenas prácticas.
Es responsabilidad de los Sujetos Obligados contar con un Sistema de Gestión que contenga todas aquellas actividades que permiten establecer, implementar, operar, monitorear, revisar, mantener y mejorar el tratamiento y seguridad de los datos personales, de conformidad con lo previsto en el artículo 34 de la Ley General.
Responsable(s) o encargados, Sistema de Gestión, Documento de Seguridad
Las acciones relacionadas con las medidas de seguridad para el tratamiento de los datos personales deberán estar documentadas y contenidas en un sistema de gestión.
Fase 1. Planear el SGSDP.
Paso 1. Establecer el Alcance y los Objetivos.
Paso 2. Elaborar una Política de Gestión de Datos Personales.
Paso 3. Establecer Funciones y Obligaciones.
Paso 4. Elaborar un Inventario de Datos Personales.
Paso 5. Realizar un Análisis de Riesgos de Datos Personales.
Paso 6. Identificación de las Medidas de Seguridad y Análisis de Brecha.
Fase 2. Implementar el SGSDP
Paso 7. Implementación de las Medidas de Seguridad Aplicables a los Datos Personales.
Fase 3. Monitorear y Revisar el SGSDP
Paso 8. Revisiones y Auditoría
Fase 4. Mejorar el SGSDP
Paso 9. Mejora continua y capacitación
Validación de los Sistemas de Gestión ante el Instituto.
Para la validación de los sistemas de gestión y su inscripción en el REMP será necesario cumplir con los requisitos previstos en el artículo 25 de los Parámetros, y el artículo 43 de las Reglas. Los responsables o encargados podrán realizar el trámite de validación de los Sistemas de Gestión ante el Instituto de acuerdo con los siguientes pasos:
1. El responsable o encargado deberá someter su Sistema de Gestión y su implementación a una Auditoría voluntaria según lo previsto en el artículo 151 de la Ley General, para solicitar al Instituto su validación e inscripción en el REMP.
2. Presentar ante el Instituto una solicitud para la validación de su Sistema de Gestión, una vez que haya concluido la Auditoría voluntaria y cuente con el informe final que conste el resultado y el alcance de la Auditoría.
3. Servidor público con facultades para realizar la notificación ante el Instituto.
4. Requisitos del trámite de validación de los Sistemas de Gestión y su inscripción en el REMP. La solicitud deberá incluir o siguiente:
Requisitos que deberá contener la solicitud de validación
- La denominación del sistema de gestión.
- La denominación del responsable que presenta la solicitud de validación.
- El informe final de la auditoría voluntaria en el que conste el resultado y el alcance de la auditoria. Dicho informe deberá tener una fecha de emisión que no exceda los seis meses a la fecha de la presentación de la solicitud;
- Datos de contacto o un medio habilitado con fines de difusión del sistema de gestión.
- El correo electrónico y el domicilio, para oír y recibir notificaciones, de conformidad con el artículo 12 de las Reglas.
- La notificación deberá ir acompañada de un dispositivo de almacenamiento electrónico con la información referida anteriormente, salvo que dicha notificación sea realizada a través del sistema informático que, en su caso, habilite el Instituto.
5. El Instituto resolverá sobre la procedencia de la validación del sistema de gestión en un plazo de 10 días contados a partir del día siguiente de la recepción de la solicitud de validación.
6. Una vez emitida la resolución sobre la procedencia de validación, el Instituto notificará al responsable dentro de 10 días posteriores a la emisión de la misma.
7. En caso de que la resolución del Instituto valide el sistema de gestión, se asignará un número único de registro y se procederá a su inscripción y publicación en el REMP, dentro de 10 días posteriores a la emisión de la misma.
Modificación de los Sistemas de Gestión ante el Instituto.
Las modificaciones a cualquier contenido de los Sistemas de Gestión previstos en el Capítulo V de los Parámetros y por el artículo 46 de las Reglas. Los responsables o encargados podrán realizar el trámite de modificación de los Sistemas de Gestión ante el Instituto de acuerdo con los siguientes pasos:
1. Servidor Público con facultades para realizar la notificación ante el Instituto.
2. Requisitos del trámite de modificación de los Sistemas de Gestión y su inscripción en el REMP.
- Modificaciones con aspectos formales. Modificación de forma que no afecten el funcionamiento del sistema de gestión, deberá notificar al Instituto, con los siguientes requisitos:
La notificación deberá contener la siguiente información
- El nombre y número único de registro del sistema de gestión que se modifica.
- Las modificaciones propuestas, los motivos de las modificaciones, así como la fecha en que pretenden hacerse efectivas o se hicieron efectivas.
- La notificación deberá ir acompañada de un dispositivo de almacenamiento electrónico con la información referida anteriormente.
- Modificaciones con aspectos sustantivos. Las modificaciones con aspectos sustantivos de sistemas de gestión con validación, deberá someterse a una Auditoría voluntaria en el que conste el resultado y el alcance de la modificación.
La notificación deberá contener la siguiente información
- El nombre y número único de registro del sistema de gestión que se modifica.
- Las modificaciones propuestas, los motivos de las modificaciones, así como la fecha en que pretenden hacerse efectivas o se hicieron efectivas.
- La documentación necesaria para acreditar la modificación, consistente en el informe final de la auditoría voluntaria en el que conste el resultado y el alcance de dicha modificación. Dicho informe deberá tener una fecha de emisión que no exceda los tres meses a la fecha de la presentación de la solicitud.
- La notificación deberá ir acompañada de un dispositivo de almacenamiento electrónico con la información referida anteriormente.
Cuando el Sistema de Gestión de un responsable haya sido modificado en su funcionamiento, el responsable interesado deberá notificar al Instituto este hecho, así como informarle si someterá el Sistema de Gestión a una nueva Auditoría voluntaria para evaluar los efectos del cambio. El Instituto resolverá la solicitud de la modificación del Sistema de Gestión en un plazo de 10 días y otros 10 días posteriores a la emisión se procederá a su inscripción y publicación en el REMP .
Baja de los Sistemas de Gestión ante el Instituto.
En caso de que se actualicen cualquiera de los supuestos previstos en el artículo 29 de los Parámetros, causará baja la validación e inscripción en el REMP de un sistema de gestión con validación.
Los Sistemas de Gestión podrán ser objeto de baja del REMP cuando haya dejado de cumplir los objetivos con los que fue validado, además de las siguientes causas:
- Concluya la vigencia de la validación sin haberse renovado.
- El responsable que cuente con un Sistema de Gestión validado y lo solicite al Instituto.
- El Instituto detecte una no conformidad derivado de una nueva auditoría o un incumplimiento normativo derivado de algún procedimiento sustanciado por el Instituto, siempre que este incumplimiento conlleve una no conformidad del Sistema de Gestión validado.
- Se extinga el adherido a los tratamientos vinculados al Sistema de Gestión validado.
- El responsable del Sistema de Gestión con validación dado de baja del Registro se abstendrá de hacer referencia o publicitar dicho sistema de gestión como validado por el Instituto.
- Durante el desarrollo del procedimiento de baja, el Instituto publicará en el REMP que la validación en cuestión se encuentra sujeta a dicho procedimiento. Una vez que el Instituto haya emitido la resolución correspondiente, ésta se publicará en el Registro con sus respectivos efectos.
Los responsables o encargados podrán realizar el trámite de baja de los Sistemas de Gestión ante el Instituto de acuerdo con los siguientes pasos:
1. Servidor público con facultades de representación para realizar la notificación ante el Instituto.
2. Requisitos del trámite de baja de los Sistemas de Gestión y su inscripción en el REMP.
Requisitos para el trámite de baja de los sistemas de gestión con validación
- El nombre y número único de registro del sistema de gestión con validación del cual se solicita la baja.
- Los motivos por los que el sistema de gestión se da de baja del Registro.
Cuando el Instituto detecte una no conformidad
El Instituto iniciará con la notificación por parte del Instituto al responsable, de las causas que estima procedente dar de baja del REMP.
El responsable contará con un plazo de quince días contados a partir del día siguiente de la notificación para manifestar lo que a su derecho convenga y aportar la documentación que estime procedente ante el Instituto.
Recibidas las manifestaciones y documentación presentadas, el Instituto, en un plazo máximo de dos meses contados a partir de que aquéllas sean presentadas, las valorará y resolverá al respecto. Este plazo podrá ampliarse por un periodo igual, cuando existan razones que lo motiven y sea notificado al responsable.
El Instituto emitirá una resolución dentro de los diez días siguientes al que haya recibido alegatos.
El responsable del sistema de gestión con validación dado de baja del REMP se abstendrá de hacer referencia o publicitar dicho Sistema de Gestión como validado por el Instituto.
Los trámites relacionados con la validación, modificación o baja de los Sistemas de Gestión que realicen ante el INAI serán gratuitos y se presentarán por escrito en sus oficinas ubicadas en Avenida Insurgentes Sur, Número 3211, Colonia Insurgentes Cuicuilco, en la Alcaldía Coyoacán, Código Postal 04530, de lunes a jueves de 9:00 a 18:00 horas y viernes de 9:00 a 15:00 horas, o a través de otros medios que el INAI habilite para esos efectos.
Para más información contacte al Centro de Atención a la Sociedad del INAI.
Sistema de certificación
Los responsables o encargados certificados podrán solicitar a los organismos de certificación reconocidos por el Instituto que se encuentren plenamente identificados en el REMP, la Certificación de sus Esquemas de Mejores Prácticas o Sistemas de Gestión, así como los productos y servicios tecnológicos de tratamiento de datos personales.
Reconocimiento
El Instituto y los Órganos Garantes, reconocerán las certificaciones otorgadas por los organismos de certificación reconocidos por el Instituto, los cuales se pueden consultar en el REMP.
Organismos de Certificación
Los organismos de certificación deberán notificar al Instituto y a los Órganos Garantes, las renovaciones, modificaciones, suspensiones, restauraciones o cancelaciones de las certificaciones que otorgue al responsable o encargado. Así mismo deberá proporcionar un certificado al responsable o encargado que previamente haya cumplido con los requisitos de acuerdo con la normatividad aplicable, además de contener:
- El nombre y el logotipo del organismo de certificación.
- El nombre y número de certificación del responsable o encargado certificado.
- La información de las oficinas y, en su caso, servicios que se encuentren amparados por el certificado.
- La fecha efectiva de otorgamiento del certificado y su vigencia.
- La descripción de los alcances normativo y material de la certificación.
- La declaración de conformidad con la Ley General o las legislaciones estatales en la materia, los Parámetros, así como los que emitan los órganos garantes para tal efecto y demás normatividad aplicable.
Vigencia y renovación
Las certificaciones otorgadas en materia de mejores prácticas en la protección de datos personales del sector público tendrán una vigencia de dos años. El interesado podrá solicitar la renovación correspondiente ante el organismo de certificación, el cual seguirá los procedimientos establecidos.
Notificación al Instituto de certificados otorgados
El organismo de certificación acreditado, dentro de los cinco días siguientes en que haya otorgado un certificado, notificará al Instituto dicha certificación, a través de los medios previstos por el artículo 9 de las Reglas, y de conformidad con lo señalado en el artículo 68.
La notificación correspondiente deberá ir acompañada de un dispositivo de almacenamiento electrónico con la información referida en el artículo 68 de las Reglas, salvo que dicha notificación sea realizada a través del sistema informático que, en su caso, habilite el Instituto.
Reconocimiento de las certificaciones otorgadas e inscripción en el REMP
El Instituto reconocerá la certificación otorgada e inscribirá el certificado de dicho responsable o encargado en el REMP, siempre que cumpla con lo previsto en el contenido de las notificaciones, y publicará la información relacionada con la misma, dentro de un plazo de diez días contados a partir del día siguiente en que haya sido realizada la notificación del certificado correspondiente, con el objeto de que los interesados conozcan a los responsables y encargados que han adoptado Esquemas de Mejores Prácticas, a través del REMP de manera pública considerando lo previsto en el artículo 58 de los Parámetros y artículo 92 de las Reglas.
Requisitos que deberá contener la notificación
- Domicilio del organismo de certificación para oír y recibir notificaciones.
- El nombre, número de certificación y logotipo de los responsables o encargados certificados.
- La información sobre las oficinas que se encuentran amparadas por el certificado en particular.
- El vínculo al sitio de Internet del responsable o encargado certificado, en su caso.
- La fecha efectiva de otorgamiento del certificado.
- Descripción del alcance de la certificación.
- El certificado.
- El correo electrónico y el domicilio, para oír y recibir notificaciones, de conformidad con el artículo 12 de las Reglas.
Modificaciones de las certificaciones
Para el caso de modificación, suspensión o cancelación a la certificación otorgada, el organismo de certificación acreditado en la materia deberá notificar al Instituto, a través de los medios previstos por el artículo 9 de las Reglas, cualquier modificación, suspensión o cancelación a las certificaciones otorgadas a responsables o encargados, en un plazo de cinco días posteriores a la fecha en la que el organismo de certificación resolvió o decidió sobre la misma.
Dicha notificación deberá incluir lo previsto en el artículo 68 de las presente Reglas y deberá ir acompañada de un dispositivo de almacenamiento electrónico con la información señalada, salvo que dicha notificación sea realizada a través del sistema informático que, en su caso, habilite el Instituto.
Efectos del Registro de la notificación de la modificación, suspensión o cancelación a la certificación otorgada
Una vez realizada la notificación al Instituto de modificación a la certificación otorgada a un responsable o encargado, éste hará constar dicho cambio en el REMP, siempre que cumpla con lo previsto en el artículo 68 de las Reglas, y publicará dicha modificación dentro de los cinco días siguientes a la notificación correspondiente, considerando lo previsto en los artículos 58 los Parámetros y 92 de las Reglas.
Cuando alguna certificación que haya sido suspendida sea restaurada, este hecho se hará constar en el REMP y se publicará la información relacionada con dicha restauración, dentro de los cinco días siguientes a que el Instituto tenga conocimiento del hecho por parte del organismo de certificación, considerando lo previsto en los artículos 58 de los Parámetros y 92 de las Reglas.
Actores en el proceso de certificación
Para lograr la certificación por parte de los responsables o encargados, previamente los organismos de certificación deberán contar con la acreditación de la entidad de acreditación reconocida por el Instituto y estas a su vez deberán contar con autorización previa de la Secretaría en los términos previstos por la Ley de Infraestructura de la Calidad.
Entidades de acreditación
El instituto reconocerá las autorizaciones otorgadas por la Secretaría a las entidades de acreditación a través de su inscripción en el REMP.
La Secretaría deberá notificar al Instituto cuando modifique, suspenda, restaure o revoque la autorización de una entidad de acreditación, lo que deberá hacerse constar en el REMP.
Presentar anualmente ante el Instituto un reporte anual de sus actividades con relación a las acreditaciones en la materia.
Los Organismos de Certificación
El Instituto reconocerá las acreditaciones otorgadas a organismos de certificación a través de si inscripción en el REMP . Será necesario que las Entidades de Acreditación notifiquen al Instituto las acreditaciones que otorguen a organismos de certificación, de acuerdo a las Reglas.
Presentar anualmente ante el Instituto un reporte anual de sus actividades con relación a las certificaciones en la materia.
Notificar al Instituto o los órganos garantes, según corresponda atendiendo a la naturaleza federal o local del certificado, el otorgamiento, modificación, suspensión, restauración y cancelación de los certificados que otorgue en la materia.
Trámites relacionados con la inscripción de los Esquemas de Mejores Prácticas reconocidos o validados por los Organismos Garantes
Cuando en términos de lo establecido por el artículo 73 de la Ley General, los Organismos Garantes que hayan reconocido o validado Esquemas de Mejores Prácticas, que decidan solicitar al Instituto su inscripción en el REMP administrado por éste, deberán realizar la notificación dentro de los primeros tres meses del año, con la finalidad de que esta inscripción se realice en los siguientes tres meses contados a partir de la notificación realizada.
La solicitud para la inscripción en el REMP de los Esquemas de Mejores Prácticas validados o reconocidos por los Organismos Garantes deberá contener:
- La denominación del esquema;
- Nombre del responsable o encargado a quien aplica el esquema;
- El tipo de esquema;
- Sector al que aplica;
- Alcance normativo del esquema
- Ámbito personal de aplicación, es decir, el tipo o grupo de titulares cuyos datos personales están vinculados con el tratamiento al que aplica el esquema que se notifica;
- La fecha efectiva del reconocimiento o validación del esquema;
- La constancia o resolución emitida por el Organismo Garante, y
- Datos de contacto o un medio habilitado con fines de difusión del esquema.
De la inscripción en el REMP de los reconocimientos o validaciones otorgadas por los Organismos Garantes
Recibida la notificación a la que se refiere el artículo anterior, el Instituto resolverá la inscripción del Esquema de Mejores Prácticas validado o reconocido por el Organismo Garante, siempre que cumpla con lo previsto en el artículo 90 de las Reglas, y publicará la información relacionada con la misma, dentro de un plazo de diez días contados a partir del día siguiente en que haya sido realizada la notificación del certificado correspondiente, considerando lo previsto en el artículo 58 de los Parámetros y artículo 92 de las Reglas.
Los trámites relacionados con los Sistemas de Certificación en materia de protección de datos personales, que se realicen ante el INAI serán gratuitos y se presentarán por escrito en sus oficinas ubicadas en Avenida Insurgentes Sur, Número 3211, Colonia Insurgentes Cuicuilco, en la Alcaldía Coyoacán, Código Postal 04530, de lunes a jueves de 9:00 a 18:00 horas y viernes de 9:00 a 15:00 horas, o a través de otros medios que el INAI habilite para esos efectos.
Para más información contacte al Centro de Atención a la Sociedad del INAI.
Certificación
Entidades de acreditación
| Registro | Entidad | Oficinas | Distintivo | Sitio | Estatus |
|---|---|---|---|---|---|
Organismos de certificación
| Registro | Entidad | Organismo | Número | Distintivo | Fecha | Descripción | Oficinas | Sitio | Estatus | Constancia |
|---|---|---|---|---|---|---|---|---|---|---|
Las certificaciones reconocidas por el Instituto
| Registro | Organismo | Órgano Garante | Responsable | Número | Carácter | Distintivo | Oficinas | Sector | Sitio | Fecha | Descripción | Ámbito | Vigencia | Certificado |
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
Reglas para adaptar normativa
| Registro | Órgano Garante | Reglas | Responsable | Responsable Coordinador | Objetivo Reglas | Sector | Vigencia | Descripción | Ámbito | Resumen | Distintivo | Sitios | Estatus | Constancia |
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
Sistemas de gestión validados
| Registro | Órgano Garante | Responsable | Distintivo | Versión Ejecutiva | Descripción | Modificaciones | Sitio | Sector | Estatus | Vigencia | Certificado |
|---|---|---|---|---|---|---|---|---|---|---|---|
¿A qué se refieren las Mejores Prácticas?
Las mejores prácticas en materia de protección de datos personales son medidas que han sido implementadas y aceptadas como métodos estandarizados que permiten entre otros aspectos elevar el nivel de protección en el tratamiento de datos personales.
¿Qué es el REMP (Registro de Esquemas de Mejores Prácticas)?
De conformidad con la normativa mexicana en la materia, únicamente aquellos esquemas de mejores prácticas que, a juicio del INAI, reúnan los requisitos previstos en la Ley General de Protección Datos Personales en Posesión de Sujetos Obligados (LGPDPPSO), los Parámetros de mejores prácticas en materia de protección de datos personales (Parámetros) y Reglas de Operación del Registro de Esquemas de Mejores Prácticas (Reglas de Operación), gozarán del reconocimiento del INAI y serán inscritos en el Registro de Esquemas de Mejores Prácticas en Materia de Protección de Datos Personales (REMP) que será administrado por el Instituto.
¿Cuántos tipos de Modalidades de Registro de Mejores Prácticas existen?
El responsable o encargado podrá desarrollar o adoptar esquemas de mejores prácticas bajo las siguientes modalidades:
Reglas para adaptar la normativa de datos personales en sectores específicos, validados por el Instituto.
Sistema de gestión de validados por el Instituto.
Esquemas de mejores prácticas, sistemas de gestión, y productos o servicios tecnológicos de tratamiento de datos personales, certificados por un organismo de certificación en materia de mejores prácticas en la protección de datos personales del sector público, los cuales serán reconocidos por el Instituto.
¿A quiénes se recomienda este tipo de Registro de Esquemas de Mejores Prácticas?
A todas los Sujetos Obligados que realicen tratamiento de Datos Personales y tengan implementadas Mejores Prácticas para dar cumplimiento a la LGPDPPSO.
¿Cuáles son los requisitos para inscribir un Sistemas de Gestión en el Registro?
El nombre y número único de registro del sistema de gestión se modifica, y
Las modificaciones propuestas, los motivos de las modificaciones, así como la fecha en que pretenden hacerse efectivas o se hicieron efectivas.
La notificación deberá ir acompañada de un dispositivo de almacenamiento electrónico con la información referida anteriormente, salvo que dicha notificación sea realizada a través del sistema informático que, en su caso, habilite el Instituto.
En cuanto al trámite de la modificación de los sistemas de gestión el Instituto resolverá en un plazo de diez días y emitirá una resolución que pueda ser motivada para sobresea, desechar o proceder a la modificación. En caso de procedencia, se hará constar en el Registro dentro de diez días posteriores a su emisión.
¿Cómo someto mi sistema de Gestión a una Auditoria?
Los responsables que sometan un sistema de gestión y su implementación a una auditoria voluntaria según lo previsto en el artículo 151 de la Ley General, podrán solicitar la validación e inscripción en el Registro al Instituto en términos del artículo 73 de la Ley General y el artículo 10 fracción II de los Parámetros, siempre y cuando se cumplan los requisitos siguientes:
La denominación de las Reglas para adaptar la normativa;
La denominación de los responsables o el nombre completo, denominación o razón social de los encargados que han decidido adherirse o adoptar las Reglas para adaptar la normativa, al momento de la presentación de la solicitud de validación;
Denominación del responsable coordinador, en caso de Reglas para adaptar la normativa desarrolladas en conjunto por dos o más responsables o encargados, así como la documentación prevista en el artículo 18 de las Reglas de Operación;
Objetivo de las Reglas para adaptar la normativa;
Sector al que aplican las Reglas para adaptar la normativa;
La vigencia de las Reglas para adaptar la normativa en su caso;
Alcance de las Reglas para adaptar la normativa de acuerdo con el artículo 19 de los Parámetros;
Ámbito personal de aplicación, es decir, el tipo o grupo de titulares cuyos datos personales están vinculados con el tratamiento al que aplican las Reglas para adaptar la normativa;
Los requisitos y el procedimiento de adhesión a las Reglas para adaptar la normativa en caso aquellas desarrolladas en conjunto por dos o más responsables o encargados;
Los medios por los cuales se comunicará a los interesados cualquier aspecto relacionado con las Reglas para adaptar la normativa en caso de aquellas desarrolladas en conjunto por dos o más responsables o encargados, incluidas las modificaciones o cancelaciones a las mismas;
Documento que contenga el desarrollo de las Reglas para adaptar la normativa que se someten a validación;
Datos de contacto o un medio habilitado con fines de difusión de las Reglas para adaptar la normativa;
El correo electrónico y el domicilio, para oír y recibir notificaciones, de conformidad con el artículo 12 de las Reglas de Operación, y
La notificación deberá ir acompañada de un dispositivo de almacenamiento electrónico con la información referida anteriormente, salvo que dicha notificación sea realizada a través del sistema informático que, en su caso, habilite el Instituto.
Los trámites relacionados con la validación de esquemas de autorregulación que se realicen ante el INAI serán gratuitos y se presentarán por escrito en sus oficinas ubicadas en Avenida Insurgentes Sur, Número 3211, Colonia Insurgentes Cuicuilco, en la Alcaldía Coyoacán, Código Postal 04530, de lunes a jueves de 9:00 a 18:00 horas y viernes de 9:00 a 15:00 horas, o a través de otros medios que el INAI habilite para esos efectos. Para más información contacte al Centro de Atención a la Sociedad del INAI.