• Esquemas de
    mejores prácticas
  • Registro de esquemas de
    mejores prácticas
  • Preguntas
    frecuentes
  • Mejores prácticas
  • Registro de Mejores
    Prácticas (REMP)
  • Reglas para Adaptar
    Normativa (RAN)
  • Sistemas de Gestión
    de Seguridad de Datos
    Personales (SGSDP)

Mejores prácticas en materia de protección de datos personales

Las Mejores Prácticas en materia de protección de datos personales se enfocan en identificar acciones, reglas, criterios y procedimientos que resultan eficaces para elevar el nivel de protección de datos personales a través de acciones preventivas en la materia.

El objetivo de las Mejores Prácticas en materia de protección de datos personales permitirá a los responsables o encargados demostrar el cumplimiento en materia de protección de datos personales mediante Esquemas de Mejores Prácticas en protección de datos personales a los que refieren los artículos 72 y 73 de la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados (Ley General), y 119 de los Lineamientos Generales de Protección de Datos Personales para el Sector Público (Lineamientos).

 

 

Los responsables o encargados podrán adoptar o desarrollar Esquemas de Mejores Prácticas de manera individual o en acuerdo con otros responsables, encargados u organizaciones que decidan la validación o reconocimiento por parte del Instituto o en su caso Organismos Garantes para su posterior inscripción en el Registro de Esquemas de Mejores Prácticas (REMP) , previamente deberá cumplir con la normativa correspondiente a los Parámetros de Mejores Prácticas en materia de protección de datos personales del sector público (Parámetros) y las Reglas de Operación del Registro de Esquemas de Mejores Prácticas (Reglas).

 

 

Modalidades de los Esquemas de Mejores Prácticas

El responsable o encargado podrá desarrollar o adoptar esquemas de mejores prácticas bajo las siguientes modalidades:

 

Reglas para adaptar la normativa de datos personales en sectores específicos, validados por el Instituto.

 

 

 

Sistemas de gestión validados por el Instituto.

 

Alcance normativo

Alcance total. Cuando abarquen todos los principios, deberes y obligaciones previstos en la Ley  General y demás normativa que de ella derive, incluyendo, en su caso, las reglas para adaptar la normativa, entre ellos, los principios de licitud, finalidad, lealtad, consentimiento, calidad, proporcionalidad, información y responsabilidad; los deberes de seguridad y confidencialidad, así como las obligaciones vinculadas a los derechos de los titulares, la relación entre responsable y encargado, las transferencias, las evaluaciones de impacto en la protección de datos personales y el establecimiento de un sistema de gestión de seguridad de datos personales, entre otros.

Alcance parcial. Cuando abarquen todos los principios, deberes y obligaciones previstos en la Ley General y demás normativa que de ellas derive, incluyendo, en su caso, las reglas para adaptar la normativa, entre ellos, los principios de licitud, finalidad, lealtad, consentimiento, calidad, proporcionalidad, información y responsabilidad; los deberes de seguridad y confidencialidad, así como las obligaciones vinculadas a los derechos de los titulares, la relación entre responsable y encargado, las transferencias, las evaluaciones de impacto en la protección de datos personales y el establecimiento de un sistema de gestión de seguridad de datos personales, entre otros.

 

 

Aviso de privacidad del Registro de Esquemas de Mejores Prácticas del Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales.

Registro REMP

 

De conformidad con la normativa mexicana en la materia, únicamente aquellos Esquemas de Mejores Prácticas que, a juicio del INAI, reúnan los requisitos previstos en la Ley General de Protección Datos Personales en Posesión de Sujetos Obligados (Ley General), los Parámetros de mejores prácticas en materia de protección de datos personales (Parámetros) y Reglas de Operación del Registro de Esquemas de Mejores Prácticas (Reglas), gozarán del reconocimiento del INAI y serán inscritos en el Registro de Esquemas de Mejores Prácticas en Materia de Protección de Datos Personales (REMP) que será administrado por el Instituto.

 

El REMP permitirá a los interesados conocer a los responsables y encargados que han adoptado Esquemas de Mejores Prácticas. A través del REMP se publicará información relacionada con los Esquemas que el Instituto y los Órganos Garantes consideren de interés general y que no se encuentre clasificada en términos de la Ley General de Transparencia y Acceso a la Información Pública, la Ley Federal de Transparencia y Acceso a la Información Pública o las legislaciones estatales en la materia.

Reglas para Adaptar Normativa

Las Reglas para Adaptar Normativa (RAN), tienen por objetivo establecer reglas, criterios, procedimientos o acciones específicas para mejorar la eficiencia de la implementación de los principios, deberes y obligaciones en materia de Protección de Datos Personales previstos en la Ley General y Leyes estatales en la materia.

Las RAN podrán tener un alcance total cuando abarquen todos los procesos de datos personales que realice el responsable o encargado, y/o alcance parcial cuando abarquen sólo algunos procesos específicos.

El Instituto podrá proponer a los responsables el desarrollo o adopción de RAN, cuando considere que ayudará a mejorar la eficiencia de la aplicación de la norma y podrán desarrollarse a través de códigos de buenas prácticas, modelos en materia de datos personales, programas u otros. A continuación, se muestra de manera general el proceso de adopción o desarrollo:

 

 

Procedimiento para solicitar la validación del Instituto y su inscripción en el REMP

Las Reglas que desarrollen o adopten los responsables en los términos que establecen los artículos 72 y 73 de la Ley General y del artículo 10 fracción I de los Parámetros, que soliciten la validación del Instituto, así como su inscripción, modificación y baja, deberán ser notificados al Instituto.

 

Trámite de validación de las Reglas para adaptar la normativa y su inscripción en el REMP

Requisitos y procedimientos del trámite de validación de las Reglas para adaptar la normativa y su inscripción en el REMP:

 

1. Servidor público con facultades para realizar el trámite. En caso de que las Reglas para adaptar normativa se hayan desarrollado por dos o más responsables o encargados, la notificación deberá realizarla el responsable coordinador designado previamente por ellos mismos.

 

 

2. Notificar al Instituto de la existencia de Reglas para adaptar la normativa que soliciten la validación. La notificación deberá contener lo siguiente:

 

 

3. Instituto resolverá la procedencia de la validación de Reglas para adaptar la normativa y su inscripción en el REMP, en un plazo de 90 días contados a partir de día siguiente a la recepción de la notificación.

 

4. Resolución por parte del Instituto, en caso de negativa el responsable o encargado podrá subsanar aspectos de las Reglas para adaptar la normativa en un plazo no menor a diez días; en caso de que lo requiera, el solicitante podrá solicitar una prórroga que no podrá exceder de treinta días naturales, lo cual deberá presentarse por escrito    al Instituto por una sola vez, justificando lo anterior.

 

5. El Instituto notificará al responsable o encargado la procedencia de la validación dentro de los diez días posteriores a la emisión de esta.

 

6. Cuando el Instituto valide las Reglas para adaptar la normativa con validación en el REMP, se procederá a su inscripción y publicación en el REMP dentro de los diez días posteriores a la emisión de esta.

 

Procedimiento para la validación de las Reglas ante el Instituto

 

Modificación de las Reglas para adaptar la normativa y su inscripción en el REMP

Las modificaciones a cualquier contenido de las Reglas para adaptar la normativa previstos en el Capítulo IV de los Parámetros y por el artículo 20 de las Reglas, deberán ser notificados al Instituto por las personas previstas para hacer notificaciones en el artículo 17 de las Reglas.

Requisitos y procedimientos del trámite de modificación de las Reglas para adaptar la normativa y su inscripción en el REMP:

 

1. Identificar el tipo de modificación:

 

2.  Servidor público con facultades para realizar la notificación ante el  Instituto.

 

 

3. Notificar al Instituto de las Reglas para adaptar la normativa que soliciten modificación. La notificación deberá contener lo siguiente:

 

Las Reglas para adaptar la normativa no eximen a los responsables ni encargados de su obligación de cumplir con lo dispuesto por la Ley General y demás normatividad aplicable.

Sistemas de Gestión de Seguridad de Datos Personales (SGSDP)

El Sistema de Gestión de Seguridad de Datos Personales tiene como objetivo promover el tratamiento de los datos personales, lo cual permite mantener de manera vigente la protección de datos personales, esto con el fin de dar cumplimiento a la legislación aplicable en la materia, así como también fomentar e implementar buenas prácticas.

Parte de la responsabilidad de los Sujetos Obligados, es el contar un Sistema de Gestión, el cual contenga todas las actividades que les permitan establecer, implementar, operar, monitorear, revisar, mantener y mejorar el tratamiento y seguridad de los datos personales, de conformidad a lo establecido en el artículo 34 de la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados (Ley General) y 65 de los Lineamientos Generales de Protección de Datos Personales para el Sector Público (Lineamientos​). 

 

 

Fases del Sistema de Gestión (SG)

 

Validación de los Sistemas de Gestión ante el Instituto. 

Para la validación de los sistemas de gestión y su inscripción en el REMP será necesario cumplir con los requisitos previstos en el artículo 25 de los Parámetros, y el artículo 43 de las Reglas. Los responsables o encargados podrán realizar el trámite de validación de los Sistemas de Gestión ante el Instituto de acuerdo con los siguientes pasos:

 

1. El responsable o encargado deberá someter su Sistema de Gestión y su implementación a una Auditoría voluntaria según lo previsto en el artículo 151 de la Ley General, para solicitar al Instituto su validación e inscripción en el REMP.

 

2. Presentar ante el Instituto una solicitud para la validación de su Sistema de Gestión, una vez que haya concluido la Auditoría voluntaria y cuente con el informe final que conste el resultado y el alcance de la Auditoría.

 

3. Servidor público con facultades para realizar la  notificación ante el Instituto.

 

 

4. Requisitos del trámite de validación de los Sistemas de Gestión y su inscripción en el REMP:

 

5. El Instituto resolverá sobre la procedencia de la validación del sistema de gestión en un plazo de 10 días contados a partir del día siguiente de la recepción de la solicitud de validación.

 

6. Una vez emitida la resolución sobre la procedencia de validación, el Instituto notificará al responsable dentro de 10 días posteriores a la emisión de la misma.

 

7. En caso de que la resolución del Instituto valide el sistema de gestión, se asignará un número único de registro y se procederá a su inscripción y publicación en el REMP, dentro de 10 días posteriores a la emisión de la misma.

 

Modificación de los Sistemas de Gestión ante el Instituto.

Las modificaciones a cualquier contenido de los Sistemas de Gestión previstos en el Capítulo V de los Parámetros y por el artículo 46 de las Reglas. Los responsables o encargados podrán realizar el trámite de modificación de los Sistemas de Gestión ante el Instituto de acuerdo con los siguientes pasos:

 

1. Servidor Público con facultades para realizar la notificación ante el Instituto.

 

 

2. Requisitos del trámite de modificación de los Sistemas de Gestión y su inscripción en el REMP:

 

Cuando el Sistema de Gestión de un responsable haya sido modificado en su funcionamiento, el responsable interesado deberá notificar al Instituto este hecho, así como informarle si someterá el Sistema de Gestión a una nueva Auditoría voluntaria para evaluar los efectos del cambio. El Instituto resolverá la solicitud de la modificación del Sistema de Gestión en un plazo de 10 días y otros 10 días posteriores a la emisión se procederá a su inscripción y publicación en el REMP.

  • Reglas para adaptar
    normativa
  • Sistemas de gestión
    validados

Reglas para adaptar normativa

Registro Órgano Garante Reglas Responsable Responsable Coordinador Objetivo Reglas Sector Vigencia Descripción Ámbito Resumen Distintivo Sitios Estatus Constancia

Sistemas de gestión validados

Registro Órgano Garante Responsable Distintivo Versión Ejecutiva Descripción Modificaciones Sitio Sector Estatus Vigencia Certificado

  • Preguntas Frecuentes
  • Repositorio de infografías
  • Contacto

¿Qué son las Mejores Prácticas en materia de Protección de Datos Personales?  

Las Mejores Prácticas se orientan en identificar acciones, reglas, criterios y procedimientos que resulten eficaces para elevar el nivel de protección de datos personales a través de acciones preventivas.

 

¿Porque son relevantes?

Ayudan a dar cumplimiento a los principios, deberes y obligaciones en el sector público.

 

¿Qué beneficios tienen las Mejores Prácticas?

  • Elevan el nivel de protección de datos personales.
  • Armonizan el tratamiento de un sector en específico.
  • Facilitan el ejecicio de los derechos ARCO.
  • Facilitan las transferencias de datos personales.
  • Demuestran el cumplimiento de la normativa.

 

¿Qué es el Registro de Esquemas de Mejores Prácticas (REMP)?

Es el micrositio en donde se inscriben sujetos obligados.

 

¿Quiénes pueden inscribirse al REMP?

Sujetos obligados del orden federal.

 

¿Cómo puedes ser parte del REMP?

Desarrolla o adopta un Esquema de Mejores Prácticas, solicita su validación ante el Instituto y de ser afirmativa la respuesta, se inscribirá en el REMP y podrá ostentar el sello de confianza. REA-INAI.

 

¿Eres sujeto obligado y te interesas demostrar el cumplimiento en materia de Protección de Datos Personales?

El INAI pone a tu disposición el Sistema de Esquemas de Mejores Prácticas en el sector público, al contar con un esquema validado por el Instituto podrás:

  • Formar parte del Registro de Esquemas de Mejores Prácticas (REMP).
  • Demostrar el cumplimiento de las obligaciones en materia de protección de datos personales ante la autoridad.
  • Contar con una buena imagen institucional lo que genera confianza ante el titular de los datos personales.
  • Ostentar el distintivo REMP-INAI.
  • Fomentar una cultura de la protección de datos personales al interior de las Dependencias.

 

¿Conoces las modalidades que existen para desarrollar Esquemas de Mejores Prácticas en el Sector Público?

Como responsables del tratamiento de datos personales, podrán desarrollar o adoptar Esquemas de Mejores Prácticas, para ostentar el sello de confianza REA-INAI:

  • Reglas para adaptar normativa de datos personales en sectores específicos, validadas por el INAI, es decir, la creación de criterios y procedimientos enfocados al sector al que pertenecen.
  • Sistemas de Gestión validados por el INAI. Contar con sistema de gestión es obligatorio, solo falta que soliciten una auditoría voluntaria al INAI, y posterior a ello la validación del sistema de gestión.

 

​​​¿Cuáles son los requisitos para solicitar la validación e inscripción de un Sistema de Gestión en el Registro?

Es necesario cumplir con lo establecido en el artículo 25 de los Parámetros y el artículo 43 de las Reglas. Los responsables o encargados podrán realizar el trámite de validación de un SG ante el Instituto, de acuerdo con lo siguiente:

  • Someter el SG a una Auditoría Voluntaria (AV).
  • Presentar ante el Instituto la solicitud para la validación del SG, una vez que se determine favorable el Informe Final que conste el resultado y el alcance de la Auditoría.
  • Se presente el servidor público con facultades para realizar la notificación ante el Instituto y la cual deberá contener:
      • La denominación del SG.
      • La denominación del responsable que presenta la solicitud de validación.
      • El Informe Final de la AV, en el que conste el resultado y alcance de la Auditoría, deberá contener la fecha de la emisión que no exceda los seis meses a la fecha de la presentación de la solicitud.
      • Datos de contacto o un medio habilitado con fines de difusión del SG.
      • Correo electrónico además del domicilio para oír y recibir notificaciones.
      • La notificación deberá de estar acompañada de un dispositivo electrónico con la información referida anteriormente.
  • El Instituto resolverá sobre la procedencia de la validación del SG en un plazo de 10 días contados a partir del día siguiente de la recepción de la solicitud de validación.
  • Una vez emitida la resolución sobre la procedencia de validación, el Instituto notificará al responsable dentro de 10 días posteriores a la emisión de la misma.
  • Sí la resolución del Instituto es afirmativa y valida el SG, se asignará un número único de registro y se procederá a la inscripción y publicación en el REMP dentro de 10 días posteriores a la emisión de la misma.

​​​

¿Qué son las Reglas para Adaptar Normativa (RAN)?

Es un documento que contiene criterios y procedimientos enfocados a un sector específico con la finalidad de mejorar el tratamiento de los datos personales.

 

¿Quién propone el desarrollo de las RAN?

Los responsables del sector interesado, o bien, el Instituto.

 

¿Quiénes se pueden adherir o adoptar las RAN?

Cualquier Sujeto Obligado en el sector específico al que se dirigen las Reglas para Adaptar Normativa.

 

¿Cuáles son los requisitos y procedimientos para el trámite de validación de las Reglas para Adaptar Normativa (RAN) y su Inscripción en el Registro?

  • Servidor público con facultades para realizar el trámite.
  • Notificar al Instituto la existencia de las RAN que soliciten la validación y dicha notificación deberá contener lo siguiente:
      • La denominación de las Reglas para adaptar la normativa;
      • La denominación de los responsables o el nombre completo, denominación o razón social de los encargados que han decidido adherirse o adoptar las Reglas para adaptar la normativa, al momento de la presentación de la solicitud de validación;
      • Denominación del responsable coordinador, en caso de Reglas para adaptar la normativa desarrolladas en conjunto por dos o más responsables o encargados, así como la documentación prevista en el artículo 18 de las Reglas de Operación;
      • Objetivo de las Reglas para adaptar la normativa;
      • Sector al que aplican las Reglas para adaptar la normativa;
      • La vigencia de las Reglas para adaptar la normativa en su caso;
      • Alcance de las Reglas para adaptar la normativa de acuerdo con el artículo 19 de los Parámetros;
      • Ámbito personal de aplicación, es decir, el tipo o grupo de titulares cuyos datos personales están vinculados con el tratamiento al que aplican las Reglas para adaptar la normativa;
      • Los requisitos y el procedimiento de adhesión a las Reglas para adaptar la normativa en caso aquellas desarrolladas en conjunto por dos o más responsables o encargados;
      • Los medios por los cuales se comunicará a los interesados cualquier aspecto relacionado con las Reglas para adaptar la normativa en caso de aquellas desarrolladas en conjunto por dos o más responsables o encargados, incluidas las modificaciones o cancelaciones a las mismas;
      • Documento que contenga el desarrollo de las Reglas para adaptar la normativa que se someten a validación;
      • Datos de contacto o un medio habilitado con fines de difusión de las Reglas para adaptar la normativa;
      • El correo electrónico y el domicilio, para oír y recibir notificaciones, de conformidad con el artículo 12 de las Reglas de Operación, y
      • La notificación deberá ir acompañada de un dispositivo de almacenamiento electrónico con la información referida anteriormente, salvo que dicha notificación sea realizada a través del sistema informático que, en su caso, habilite el Instituto.
  • El Instituto resolverá la procedencia de las Reglas y su inscripción en el REMP, en un plazo de 90 días contados a partir del día siguiente a la recepción de la notificación.
  • La resolución por parte del Instituto, en caso de negativa el responsable o encargado podrá subsanar aspectos de las RAN, en un plano no menor a 10 días,  en caso de que lo requiera, el solicitante podrá solicitar una prórroga que no podrá exceder de 30 días naturales, lo cual deberá presentarse por escrito al Instituto por una sola vez, justificando lo anterior.
  • El Instituto notificará al responsable o encargado la procedencia de la validación dentro de los 10 días posteriores a la emisión de esta.
  • Cuando el Instituto valide las RAN se procederá su inscripción y publicación en el REMP dentro de los 10 días posteriores a esta.