Protección de Datos Personales

(COVID-19)

 

El derecho fundamental de protección de datos personales se encuentra regulado en los artículos 6°., base A y 16, segundo párrafo de la Constitución Política de los Estados Unidos Mexicanos, así como en el numeral 8° de la Constitución Política del Estado Libre y Soberano de Michoacán de Ocampo.

Es de observancia y obligatoriedad para los Sujetos Obligados del Estado de Michoacán los siguientes ordenamientos en materia de datos personales:

• Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados
• Ley de Transparencia, Acceso a la Información Pública y Protección de Datos Personales del Estado de Michoacán de Ocampo
• Ley de Protección de Datos Personales en Posesión de Sujetos Obligados del Estado de Michoacán de Ocampo
• Lineamientos Generales de Protección de Datos Personales para el Sector Público
• Lineamientos de la Ley de Protección de Datos Personales en Posesión de Sujetos Obligados del Estado de Michoacán
• Y, demás normativa aplicable.

 

¿Qué es un dato personal?

Cualquier información concerniente a una persona física identificada o identificable. Se considera que una persona es identificable cuando su identidad pueda determinarse directa o indirectamente a través de cualquier información.

¿Qué es un dato personal sensible?

Aquellos que se refieran a la esfera más íntima de su titular, o cuya utilización indebida pueda dar origen a discriminación o conlleve un riesgo grave para éste. De manera enunciativa más no limitativa, se consideran sensibles los datos personales que puedan revelar aspectos como origen racial o étnico, estado de salud presente o futuro, información genética, creencias religiosas, filosóficas y morales, opiniones políticas y preferencia sexual.

• COVID-19 o CORONAVIRUS: Como se observa el estado de salud presente o futuro es un dato personal sensible, cuya exhibición inadecuada puede causar a los ciudadanos discriminación o agresiones físicas o verbales.

 

¿Qué son los Derechos ARCO?

Esos derechos de acceso, rectificación, cancelación y oposición al tratamiento de los datos personales.

¿Qué es un aviso de privacidad?

Documento a disposición del titular de forma física, electrónica o en cualquier formato generado por el responsable, a partir del momento en el cual se recaben sus datos personales, con el objeto de informarle los propósitos del tratamiento de los mismos.

• Los Sujetos Obligados tienen la obligación de hacer del conocimiento de los ciudadanos el aviso de privacidad previo al tratamiento a que serán sometidos sus datos personales.
• El consentimiento será tácito cuando habiéndose puesto a disposición del titular el aviso de privacidad, éste no manifieste su voluntad en el sentido contrario.
• Cuando los datos personales hayan dejado de ser necesarios para el cumplimiento de las finalidades previstas en el aviso de privacidad y que motivaron su tratamiento conforme a las disposiciones que resulten aplicables, deberán ser suprimidos, previo bloqueo en su caso, y una vez que concluya el plazo de conservación de los mismos.
• Los plazos de conservación de los datos personales no deberán exceder aquéllos que sean necesarios para el cumplimiento de las finalidades que justificaron su tratamiento, y deberán atender a las disposiciones aplicables en la materia de que se trate y considerar los aspectos administrativos, contables, fiscales, jurídicos e históricos de los datos personales.
• El responsable deberá informar al titular, a través del aviso de privacidad, la existencia y características principales del tratamiento al que serán sometidos sus datos personales, a fin de que pueda tomar decisiones informadas al respecto.
• Por regla general, el aviso de privacidad deberá ser difundido por los medios electrónicos y físicos con que cuente el responsable.
• Para que el aviso de privacidad cumpla de manera eficiente con su función de informar, deberá estar redactado y estructurado de manera clara y sencilla.
• Cuando resulte imposible dar a conocer al titular el aviso de privacidad, de manera directa o ello exija esfuerzos desproporcionados, el responsable podrá instrumentar medidas compensatorias de comunicación masiva de acuerdo con los criterios establecidos para ellos.

 

¿Quién defiende tu derecho de protección de datos personales?

El IMAIP, es el Órgano Garante del Estado de Michoacán, encargado de vigilar el debido cumplimiento de la normativa en la materia, teniendo como principal objetivo hacer valer tus derechos y salvaguardar la protección de tus datos personales.

¿Qué puedes hacer en caso de que tus datos personales sean vulnerados o utilizados para fines distintos a los que autorizaste?

• Presentar, por sí o través de un representante plenamente acreditado, una solicitud de derechos ARCO en el portal electrónico del Sujeto Obligado en cuestión o directamente en la Plataforma Nacional de Transparencia (PNT) https://www.plataformadetransparencia.org.mx/web/guest/inicio
• En caso de estar ante situación de vulneración, podrás enviar tu denuncia ante el IMAIP, mediante escrito libre al correo electrónico imaip@imaip.org.mx

 

RECOMENDACIONES DEL PLENO DEL IMAIP PARA EL ADECUADO TRATAMIENTO DE DATOS PERSONALES A CARGO DEL SECTOR SANITARIO EN EL ESTADO DE MICHOACÁN

Mediante acuerdo UNANIMIDAD/PLENO/ACUERDO/02/17-03-20, aprobado en la Primera Sesión Extraordinaria del Pleno del IMAIP, celebrada el diecisiete de marzo del año en curso, se emitieron entre otros temas, las siguientes recomendaciones respecto el cuidado de los datos personales al sector salud.

“Respecto al tratamiento de datos personales relativos a la salud, se emiten las siguientes recomendaciones:

1. Deben ser necesarios y proporcionales, atendiendo a las medidas que dicten las autoridades competentes;
2. Las instituciones de salud deben recabar los datos personales mínimos necesarios para prevenir o contener la propagación del COVID-19, mismos que no podrán utilizarse para fines distintos;
3. La identidad de las personas afectadas no debe divulgarse;
4. Deben elaborarse y ponerse a disposición los avisos de privacidad donde se establezcan las finalidades para los cuales serán recabados y tratados sus datos personales y los casos en los en que se podrán transferir.
5. Deberán establecerse todas las medidas de seguridad necesarias e indispensables para el adecuado tratamiento de los datos sensibles.”.

 

• De forma urgente y eficiente desde el inicio de la pandemia en el Estado de Michoacán el IMAIP, emitió recomendaciones para el las autoridades sanitarias, ello con la finalidad de que todos los datos personales en su posesión (Expedientes Clínicos) fueran tratados de forma correcta por su personal.
• Se solicitó elaborar y poner a disposición los avisos de privacidad correspondientes de conformidad a lo establecido en las normativas aplicables, ello con la finalidad que los ciudadanos conozcas cuáles datos personales le serán recabados y cuál sería el tratamiento a sus datos personales, entre otros.
• Se pidió no divulgar la identidad de los pacientes o personas afectadas, es decir, no difundir ningún dato personal que los pudiera hacer identificables.
• Se solicitó el tratamiento de los datos personales bajo las medidas de seguridad físicas, técnicas y administrativas, mismas con la que se pueda garantizar a los ciudadanos la adecuada protección de sus datos.

 

EXHORTOS REALIZADOS DEL PLENO DEL IMAIP PARA PARA LA PROTECCIÓN DE LOS DATOS PERSONALES DE LOS MICHOACANOS EN CASOS CONFIRMADOS, SOSPECHOSOS, RECURPERADOS O FALLECIDOS POR COVID-19

 

Por su parte, en Tercera Sesión Extraordinaria del Pleno del IMAIP, celebrada el veinticinco de abril del año que transcurre, por acuerdo UNANIMIDAD/PLENO/ACUERDO/03/25-04-2020, se exhortó a todos los Sujetos Obligados de todo el Estado a los siguientes efectos:

“En caso de conocer algún caso sospechoso, confirmado, recuperado y de fallecimientos por el COVID-19, guarden la confidencialidad de tal información; tratando los datos personales en su posesión bajo las medidas de seguridad administrativas, físicas y técnicas garantizando a la ciudadanía un adecuado tratamiento de los mismos, así como poner a disposición de la ciudadanía los avisos de privacidad correspondientes por cada uno de los tratamientos a realizar, tomando en cuenta las condiciones culturales de cada región, observando siempre los principios de licitud, finalidad, lealtad, consentimiento, calidad, proporcionalidad, información y responsabilidad en tratamiento de datos personales”.

• Guardar la confidencialidad en los datos personales, es decir, que cualquier información que haga identificable a una persona o los datos personales conocidos o tratados por cualquier Sujeto Obligado de la entidad, no se difundan o divulguen por ningún medio, cuidando de forma primordial los datos personales que conforman un expediente clínico mismos que deben ser tratados con absoluta confidencialidad y sólo pueden tener acceso a éstos el personal que lo requiera según sus funciones para la prestación del servicio médico.

 

TRATAMIENTO Y DIFUSIÓN EN PLATAFORMAS DIGITALES, ASÍ COMO EN MEDIOS DE COMUNICACIÓN RESPECTO LA PROTECCIÓN DE LOS DATOS PERSONALES EN NOTAS PERIODISTICAS Y MEDIOS DE COMUNICACIÓN DE PERSONAS CON COVID-19

 

El tratamiento adecuado y la difusión constante de crear conciencia y recomendar a los medios de comunicación el cuidado de los datos personales de personas contagiadas, posiblemente contagiadas, recuperadas o persona fallecida de CORONAVIRUS en las notas periodísticas por cualquier vía de comunicación ha sido una de las principales labores realizadas por el IMAIP, a lo largo de la contingencia sanitaria.

 

Dentro de las recomendaciones hechas a los medios de comunicación destacan las siguientes:

 

TRATAMIENTO DE LOS DATOS DE PERSONAS CON COVID-19

• Los responsables en el tratamiento de los personales, incluyendo los de salud deben cumplir el principio de proporcionalidad, lo que implica la obligación de que su uso resulte necesario, adecuado y relevante en relación con las finalidades para las cuales se hayan obtenido.

 

CONFIDENCIALIDAD

• Los responsables deben garantizar el deber de confidencialidad respecto de los datos personales y datos personales sensibles de cualquier titular a los que tengan acceso, relacionado con casos de COVID-19, para evitar daño o discriminación de las personas afectadas.

 

NO DIVULGACIÓN DE DATOS PERSONALES

• No se puede divulgar la identidad de los titulares, sospechosos o afectados por el COVID-19, así mismo evitar la obtención de datos personales que resulten innecesarios, no pertinentes o excesivos.

APEGO A LAS LEYES DE LA MATERIA

• El tratamiento de los datos personales obtenidos con el fin de brindar información a la sociedad en ejercicio del derecho a la libertad de expresión debe ajustarse a las leyes de la materia (Ley Federal de Protección de Datos en Posesión de Particulares y Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados) sin que puedan utilizarse para propósitos que puedan dar origen a discriminación o conlleve un riesgo grave para sus titulares.

 

DIFUSIÓN Y RECOMENDACIONES EN REDES SOCIALES Y MEDIOS DE COMUNICACIÓN RESPECTO AL CUIDADO DE LOS DATOS PERSONALES DURANTE EL CONFINAMIENTO O CUARENTENA EN REUNIONES VIRTUALES (TRABAJO A DISTANCIA)

Durante la contingencia el uso de plataformas digitales se volvió más usual, bajo el confinamiento de los ciudadanos en casas es indispensable hacerles de conocimiento en forma de recomendaciones ciertos cuidados que deben de tener en el uso con las diversas plataformas digitales prestadoras de servicios para desarrollar reuniones virtuales (entendidas como agrupar o asociar un grupo de individuos de manera espontánea u organizada).

Por lo anterior el IMAIP, ha emitido una serie de recomendaciones para las personas que están interconectadas, ello con el objeto de que tomen las medidas necesarias para la autoprotección de sus datos personales.

Entre las recomendaciones difundidas se encuentran:

• Leer con atención las políticas de privacidad, es decir, poner énfasis en qué datos podrían recabarse, su finalidad y la forma en que pudieran ser trasferidos con terceros.
• Descargar el software o aplicaciones para realizar sesiones solo en los sitios oficiales.
• Verifica y prepara de forma previa la información que mostraras en la reunión virtual.
• Utilizar los servicios de nube y las redes de confianza de la organización donde laboras.
• Cumplir con las políticas de procedimientos sobre el acceso a la red, servicios de nube, usuarios, contraseñas, intercambio y respaldo de información.
• Usar un canal seguro siempre que se utilice una red pública para conectarse, por ejemplo, una VPN (red privada virtual).
• EN caso de requerir acceso a la red de organización, para operar sistemas de información, administrar recursos tecnológicos de forma remota o consultar información de la intranet, se sugiere utilizar una VPN.
• Realizar una revisión física para verificar que los elementos de red funcionen correctamente (modem, cableado, corriente eléctrica e intensidad de la señal).
• Evita las recopilaciones no autorizadas de información de perfiles de redes sociales del usuario, en el caso de que para el inicio de sesión se utilicen este tipo de cuentas.

 

¿QUÉ TIPO DE INFORMACIÓN PERSONAL PUEDE QUEDAR EXPUESTA?

• DATOS PERSONALES
• INFORMACIÓN CONFIDENCIAL
• CONTRASEÑAS
• HÁBITOS O RUTINAS

 

Otras recomendaciones:

• Evitar asociar tu cuenta de correo electrónico o perfil de redes sociales para iniciar sesión en una plataforma virtual.
• Evitar grabar reuniones a menos que sea necesario, en su caso debes notificarlo de forma previa a los asistentes.
• Utiliza medios alternativos para compartir información que consideres confidencial o datos personales, por ejemplo, a través de correo electrónico corporativo o institucionales.
• Desactivar micrófono cuando no interactúes en la reunión.
• Cuando organices las reuniones verifica que solo estén los asistentes o las personas que fueron convocadas.

 

DIFUSIÓN DE LOS CIBERDELITOS QUE SE PUEDEN COMETER POR LA INDEBIDA PROTECCIÓN DE LOS DATOS PERSONALES DURANTE LAS COMPRAS O PAGOS DE SERVICIOS EN LÍNEA

Toda vez que la contingencia nos obliga a las y los ciudadanos a utilizar de forma más frecuente las tecnologías de información y comunicación disponibles, también nos exige mayor cuidado en las medidas de seguridad y protección de la información que proporcionamos y compartimos en internet.

Los ciberdelitos han incrementado alrededor del mundo a lo largo del confinamiento vivido mundialmente, México no es la excepción del crecimiento de delitos digitales, dado, que la utilización de medios digitales para realizar compras o pagos en línea ha crecido notablemente.

Los ciberdelitos más cometidos en la actualidad son:

1.- SUPLANTACIÓN DE IDENTIDAD (ROBO DE IDENTIDAD)

Este delito consiste en hacerse pasar por otra persona de forma inapropiada, asumiendo su identidad ante otros en el sector público o privado, en general se realiza para acceder a ciertos recursos o para la obtención de créditos y otros beneficios en nombre de esa persona.

¿Cuáles son las principales formas de suplantar de identidad?

• Acceder ilegalmente a la cuenta. En esta forma el delincuente debe conseguir la clave de acceso correspondiente a la víctima, por medio de un phishing, o algún tipo de malware utilizado para la obtención de los datos personales e información personal.
• Crear un perfil nuevo y falso, con la información total o parcial de la víctima suplantada. Es mucho más sencillo que el primero, el delincuente solo tiene que escoger la víctima, recopilar su información y crear el perfil falso, por lo regular esta información es recabada de las diversas plataformas digitales que no tienen una adecuada configuración de privacidad, es decir, de perfiles públicos.

 

2.- ESTAFAS O FRAUDES ECONÓMICOS (BANCARIOS)

La utilización necesaria de la digitalización de los servicios bancarios y financieros están causando ser presa fácil de los delincuentes cibernéticos, que aprovechan del robo de identidad, de claves, de los números de seguridad y de los números de identificación personal, para realizar compra de productos y servicios o solicitud de crédito a nombre diverso al titular del crédito bancario.

 

¿Cómo podemos detectar una página web segura?

• Lo más básico ingresar a la página web y navegar en ella para consultar sus datos de contacto en el apartado de quienes somos o nosotros somos (revisar que la información sea verídica).
• Analizar el diseño de la página que no sea en plantilla estándar (normalmente las páginas web de cualquier tienda en línea o prestadora de algún servicio tienen diseños bien estructurados).
• Legalidad de la página:
• Avisos de privacidad o aviso legal: Si las páginas donde navegas cuentan con sus avisos de privacidad en los que se describe cuáles datos serán recabados, la finalidad y el tratamiento a los mismos puede ser un punto a considerar para la veracidad de la misma.
• Condiciones de compra: Al momento de ingresar a una página web mediante buscador encontraras en el link tienen certificado de seguridad SSL (esto quiere decir que la el sitio web comenzara con https, visualizaras un candado al inicio, y la liga se encontrara de color verde lo que significa la información estará cifrada y, por tanto, hasta modo está protegida.

 

RECOMENDACIONES PARA MANTENER SEGURA LA PRIVACIDAD Y DATOS PERSONALES EN UN ENTORNO DIGITAL

1. Navegar de forma segura: La mayoría de los navegadores te permiten ingresar a las páginas de en modo seguro o modo incógnito, permitiendo que no se guarde tu historial de navegación o cookies.
2. Configurar tu privacidad en redes sociales: Compartir información personal mínima de forma privada, solo aceptar solicitudes de personas que conozcas físicamente, y desde luego no aceptar a desconocidos.
3. Protege el acceso a tus dispositivos y cuentas: Utilizar las medidas de seguridad y controles de acceso de tu celular, establecer una contraseña confiable, usa datos biométricos y aplicaciones de verificación.
4. Descarga software y aplicaciones de los sitios oficiales.
5. Protégete del malware: Descargar antivirus para ordenadores y dispositivos móviles.
6. Mantén actualizado tus software y aplicaciones: Esto ayuda a reforzar la seguridad de tus aparatos electrónicos utilizados.
7. Cifrado de información:
   • Clasifica adecuadamente la información para identificar cuál requiere ser cifrada.
   • Selecciona la herramienta de cifrado que mejor se adapte a las necesidades de protección.
   • No olvides la clave de cifrado.
   • En caso de que sea necesario compartir la clave de cifrado, selecciona un medio seguro para ello.

8. Cuida tu entorno físico: No descuidar nuestros dispositivos y controlar quien tiene acceso a ellos.

Acuerdos del Pleno del IMAIP tomados por contingencia COVID-19

Acuerdo	Sesión
UNANIMIDAD/PLENO/ACUERDO/02/17-03-20	PRIMERA SESIÓN EXTRAORDINARIA DEL PLENO DEL IMAIP, CELEBRADA EL 17 DE MARZO DE 2020 RECOMENDACIONES DEL PLENO DEL IMAIP PARA EL ADECUADO TRATAMIENTO DE DATOS PERSONALES A CARGO DEL SECTOR SANITARIO EN EL ESTADO DE MICHOACÁN
UNANIMIDAD/PLENO/ACUERDO/03/17-04-2020	SEGUNDA SESIÓN EXTRAORDINARIA DEL PLENO DEL IMAIP, CELEBRADA EL 17 DE ABRIL DE 2020 SE APRUEBA PRÓRROGA DE SUSPENSIÓN DE TÉRMINOS HASTA EL 6 DE MAYO DEL 2020
UNANIMIDAD/PLENO/ACUERDO/02/25-04-2020	TERCERA SESIÓN EXTRAORDINARIA DEL PLENO DEL IMAIP, CELEBRADA EL 25 DE ABRIL DE 2020 SE APRUEBA QUE EL SECRETARIO GENERAL DEL INSTITUTO DESARROLLE UNA INVESTIGACIÓN RESPECTO A LOS HECHOS QUE SE DESPRENDEN DE UNA PUBLICACIÓN EN LA PÁGINA WEB DE UN MEDIO DE COMUNICACIÓN SOCIAL TITULADA “A INVESTIGACIÓN FUNCIONARIO PÚBLICO DE JIQUILPAN POR DIFUNDIR DATOS PERSONALES DE FALLECIDOS POR COVID-19”
UNANIMIDAD/PLENO/ACUERDO/02/04-05-2020	QUINTA SESIÓN EXTRAORDINARIA DEL PLENO DEL IMAIP, CELEBRADA EL 04 DE MAYO 2020 SE APRUEBA LA SEGUNDA PRÓRROGA DEL ACUERDO UNANIMIDAD/PLENO/ACUERDO/02/17-03-20 HASTA EL VEINTINUEVE DE MAYO DEL AÑO EN CURSO.

Infografías

En este apartado encontraras imágenes gráficas diseñadas con la finalidad de que los ciudadanos y los sujetos obligados de la entidad puedan visualizar las diversas acciones, recomendaciones y exhortos realizados por el IMAIP de forma más sencilla respecto el cuidado de los datos personales.

Encontraras dos tipos de infografías:

1. Recomendaciones Sanitarias
2. Protección de datos personales