Acuerdo mediante el cual se aprueban las disposiciones administrativas de carácter general para la elaboración, presentación y valoración de evaluaciones de impacto en la protección de datos personales.
| Fecha de disposición | 23 Enero 2018 |
| Fecha de publicación | 23 Enero 2018 |
| Sección | PRIMERA. Organismos Autonomos |
Al margen un logotipo, que dice: Sistema Nacional de Transparencia, Acceso a la Información Pública y Protección de Datos Personales. CONAIP/SNT/ACUERDO/ORD01-15/12/2017-06
ACUERDO MEDIANTE EL CUAL SE APRUEBAN LAS DISPOSICIONES ADMINISTRATIVAS DE CARÁCTER GENERAL PARA LA ELABORACIÓN, PRESENTACIÓN Y VALORACIÓN DE EVALUACIONES DE IMPACTO EN LA PROTECCIÓN DE DATOS PERSONALES.
Que el Consejo Nacional del Sistema Nacional de Transparencia, Acceso a la Información Pública y Protección de Datos Personales, con fundamento en lo dispuesto por los artículos 10, 12 y 14, fracciones XIX y XX, 74, 76 y quinto transitorio de la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados, 31, fracción I de la Ley General de Transparencia y Acceso a la Información Pública, 10, fracciones II y VII del Reglamento del Consejo Nacional del Sistema Nacional de Transparencia, Acceso a la Información Pública y Protección de Datos Personales; y el Acuerdo mediante el cual se aprueba la metodología de procesamiento para la estrategia de implementación de la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados, tiene dentro de sus atribuciones las de expedir criterios adicionales para determinar los supuestos en los que se está ante un tratamiento intensivo o relevante de datos personales y disposiciones para la valoración del contenido presentado por los sujetos obligados en la Evaluación de impacto en la protección de datos personales, así como la de emitir acuerdos para dar cumplimiento a las funciones del Sistema Nacional de Transparencia, establecidas en el artículo 31 de la Ley General de Transparencia y Acceso a la Información Pública y demás disposiciones aplicables.
Que en el punto número 8 del Orden del Día, de la Sesión Ordinaria de 2017, del Consejo Nacional del Sistema Nacional de Transparencia, Acceso a la Información Pública y Protección de Datos Personales, celebrada el 15 de diciembre de dos mil diecisiete, fue presentado, sometido a discusión y aprobado por unanimidad el Dictamen que emite la Comisión de Protección de Datos Personales del Sistema Nacional, sobre el Proyecto de Disposiciones administrativas de carácter general para la elaboración, presentación y valoración de evaluaciones de impacto en la protección de datos personales, en razón de lo anterior, se emite el siguiente:
ACUERDO
PRIMERO.- Se aprueban las Disposiciones administrativas de carácter general para la elaboración, presentación y valoración de evaluaciones de impacto en la protección de datos personales conforme al Anexo 1 del Acuerdo CONAIP/SNT/ACUERDO/ORD01-15/12/2017-06
SEGUNDO.- El presente acuerdo entrará en vigor al día siguiente de su publicación en el Diario Oficial de la Federación.
TERCERO.- Se instruye al Secretario Ejecutivo a publicar el presente Acuerdo y su Anexo en el Diario Oficial de la Federación, así como en la página del Sistema Nacional de Transparencia, mismos que estarán disponibles para su consulta en el vínculo electrónico siguiente:
http://snt.org.mx/images/Doctos/CONAIP/SNT/ACUERDO/ORD01-15/12/2017-06.pdf
De manera adicional, envíese a las direcciones de correo electrónico institucional de los integrantes del Sistema Nacional, a través de la dirección de correo del Secretario Ejecutivo (federico.guzman@inai.org.mx).
Así lo acordó el Pleno del Consejo Nacional del Sistema Nacional de Transparencia, Acceso a la Información Pública y Protección de Datos Personales, en su Sesión Ordinaria de dos mil diecisiete, celebrada el 15 de diciembre del presente año, en la Ciudad de México, lo que se certifica y se hace constar, con fundamento en el artículo 12 fracción XII y 13 fracciones VII y VIII del Reglamento del Consejo Nacional del Sistema Nacional de Transparencia, Acceso a la Información Pública y Protección de Datos Personales.- El Presidente del Consejo Nacional del Sistema Nacional de Transparencia, Acceso a la Información Pública y Protección de Datos Personales, Francisco Javier Acuña Llamas.- Rúbrica.- El Secretario Ejecutivo del Consejo Nacional del Sistema Nacional de Transparencia, Acceso a la Información Pública y Protección de Datos Personales, Federico Guzmán Tamayo.- Rúbrica.
ANEXO 1 DEL ACUERDO CONAIP/SNT/ACUERDO/ORD01-15/12/2017-06
DISPOSICIONES ADMINISTRATIVAS DE CARÁCTER GENERAL PARA LA ELABORACIÓN, PRESENTACIÓN Y VALORACIÓN DE EVALUACIONES DE IMPACTO EN LA PROTECCIÓN DE DATOS PERSONALES
De las disposiciones generales
Objeto
Definiciones
Además de las definiciones previstas en el artículo 3 de la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados, para los efectos de las presentes Disposiciones administrativas se entenderá por:
-
Disposiciones administrativas: Disposiciones administrativas de carácter general para la elaboración, presentación y valoración de evaluaciones de impacto en la protección de datos personales, y
-
Ley General: Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados.
Ámbito de validez subjetivo
Son sujetos obligados a cumplir con las presentes Disposiciones administrativas cualquier autoridad, dependencia, entidad, órgano y organismo de los Poderes Ejecutivo, Legislativo y Judicial, organismos constitucionales autónomos, tribunales administrativos, fideicomisos y fondos públicos, del orden federal, estatal y municipal, así como partidos políticos que pretendan poner en operación o modificar políticas públicas, programas, sistemas o plataformas informáticas, aplicaciones electrónicas o cualquier otra tecnología que, a su juicio y de conformidad con lo dispuesto en la Ley General o las legislaciones estatales en la materia y las presentes Disposiciones administrativas, impliquen un tratamiento intensivo o relevante de datos personales.
Ámbito de validez objetivo
Las presentes Disposiciones administrativas serán aplicables a la elaboración, presentación y valoración de evaluaciones de impacto en la protección de datos personales, a que se refieren los artículos 3, fracción XVI, 74, primer párrafo, 75, 77, 78 y 79 de la Ley General, así como los relativos en las legislaciones estatales en la materia, así como 74, segundo párrafo y 76 del primer ordenamiento señalado en el presente artículo.
Ámbito de validez territorial
De la evaluación de impacto en la protección de datos personales
Evaluación de impacto a la protección de datos personales
La evaluación de impacto en la protección de datos personales es un documento mediante el cual el responsable valora los impactos reales respecto de un tratamiento intensivo o relevante de datos personales, a efecto de identificar y mitigar posibles riesgos relacionados con los principios, deberes, derechos y demás obligaciones en la materia, de acuerdo con lo dispuesto en el artículo 3, fracción XVI de la Ley General.
Objeto de la evaluación de impacto en la protección de datos personales
La evaluación de impacto en la protección de datos personales tiene por objeto:
-
Identificar y describir los altos riesgos potenciales y probables que entrañen los tratamientos intensivos o relevantes de datos personales;
-
Describir las acciones concretas para la gestión de los riesgos a que se refiere la fracción anterior del presente artículo;
-
Analizar y facilitar el cumplimiento de los principios, deberes, derechos y demás obligaciones previstas en la Ley General o las legislaciones estatales en la materia y demás disposiciones aplicables, respecto a tratamientos intensivos o relevantes de datos personales, y
-
Fomentar una cultura de protección de datos personales al interior de la organización del responsable.
Tratamientos intensivos o relevantes de datos personales de carácter general
Para efectos de las presentes Disposiciones administrativas y en términos de lo dispuesto en el artículo 75 de la Ley General, el responsable estará en presencia de un tratamiento intensivo o relevante de datos personales cuando concurra alguna las siguientes condiciones:
-
Existan riesgos inherentes a los datos personales a tratar, entendidos como el valor potencial cuantitativo o cualitativo que pudieran tener éstos para una tercera persona no autorizada para su posesión o uso en función de la sensibilidad de los datos personales; las categorías de titulares; el volumen total de los datos personales tratados; la cantidad de datos personales que se tratan por cada titular; la intensidad o frecuencia del tratamiento, o bien, la realización de cruces de datos personales con múltiples sistemas o plataformas informáticas;
-
Se traten datos personales sensibles a los que se refiere el artículo 3, fracción X de la Ley General o los que correspondan en las legislaciones estatales en la materia, entendidos como aquellos que se refieran a la esfera más íntima de su titular o cuya utilización indebida pueda dar origen a discriminación o conlleve un riesgo grave para éste. De manera enunciativa mas no limitativa, se consideran sensibles los datos personales que puedan revelar aspectos como origen racial o étnico, estado de salud presente o futuro, información genética, creencias religiosas, filosóficas y morales, opiniones políticas y preferencia sexual, y
-
Se efectúen o pretendan efectuar transferencias de datos personales a las que se refiere el artículo 3, fracción XXXII de la Ley General o los que correspondan en las legislaciones estatales en la...
Para continuar leyendo
Solicita tu prueba