Los datos proporcionados mediante la presente Encuesta, servirán para que el INAI en su calidad de Organismo Garante del Derecho a la Protección de Datos Personales, conozca el desempeño de los responsables respecto de la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados (Ley General o LGPDPPSO), así como las barreras que han enfrentado en la implementación de dicha Ley.

Los resultados de la Encuesta permitirán definir la línea base para la Evaluación del Desempeño a que se refiere al artículo 89, fracción XXV de la Ley General y formarán parte del informe que dispone el artículo 41 Bis, fracción XVII del Estatuto Orgánico del Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales.

La Encuesta deberá ser atendida por el Titular de la Unidad de Transparencia del sujeto obligado que corresponda (Informante), considerando la información proporcionada por las unidades administrativas que llevan a cabo el tratamiento de datos personales.

Para la atención de la presente Encuesta, los informantes deberán proporcionar, con veracidad y oportunidad, la información solicitada.

Es importante que, aun cuando no se requiera como parte de la atención a la Encuesta, el sujeto obligado cuente con la evidencia de las respuestas aquí proporcionadas.

El Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI), como organismo constitucional autónomo y especializado, responsable de garantizar el cumplimiento del derecho fundamental a la protección de datos personales en posesión de los sujetos obligados, se rige por lo dispuesto en el artículo 6°, Base A, fracción VIII de la Constitución Política de los Estados Unidos Mexicanos; y en observancia de lo que dispone el artículo 16, párrafo segundo del mismo ordenamiento, respecto del cual se prevé que toda persona tiene derecho a la protección de sus datos personales, al acceso, rectificación y cancelación de los mismos; así como a manifestar su oposición, en los términos que fije la ley; la cual establecerá los supuestos de excepción a los principios que rijan el tratamiento de datos, ya sea por razones de seguridad nacional, disposiciones de orden público, seguridad y salud públicas o para proteger los derechos de terceros.

En este sentido, por mandato constitucional se dispone que este organismo garante se rige entre otras, por la ley en materia de protección de datos personales en posesión de sujetos obligados, en los términos que establezca la ley general emitida por el Congreso de la Unión para establecer las bases, principios generales y procedimientos del ejercicio de este derecho.

En razón de lo anterior, el 26 de enero de 2017, se publicó en el Diario Oficial de la Federación la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados (LGPDPPSO o Ley General), la cual tiene por objeto establecer las bases, principios y procedimientos para garantizar el derecho de toda persona a la protección de sus datos personales, en posesión de sujetos obligados. Asimismo, en su artículo 89 establece para el INAI, entre otras, la atribución de diseñar y aplicar indicadores y criterios para evaluar el desempeño de los responsables respecto al cumplimiento de la Ley y demás disposiciones que resulten aplicables en la materia.

En esa tesitura y atendiendo a que la implementación de las obligaciones previstas en la LGPDPPSO representa grandes retos para los sujetos obligados; lo que implica la modificación e inclusive, incorporación, de nuevos procesos y actividades como parte del proceso de su madurez, que va desde la identificación, asimilación e internalización, hasta el cumplimiento pleno de la Ley General.

En razón de lo anterior, con la finalidad de conjuntar elementos para cumplir con el mandado de diseñar indicadores y criterios; para estar en posibilidad de llevar a cabo los procesos de evaluación del desempeño referidos, se considera indispensable implementar la aplicación de la presente Encuesta Diagnóstica (no vinculatoria), misma que permitirá contar con un mapeo del estado de las cosas en cuanto a la implementación de la Ley de la materia.

En esta primera etapa, se buscará, mediante la aplicación de la Encuesta Diagnóstica conocer el avance de cada sujeto en materia de protección de datos personales; el nivel de conocimiento, implementación y cumplimiento de la LGPDPPSO en su interior; así como las dificultades u obstáculos a los que se han enfrentado en el camino, entre otros aspectos.

1. La Encuesta tendrá que ser llenada por el Titular de la Unidad de Transparencia del sujeto obligado que corresponda, considerando la información proporcionada por cada una de las unidades administrativas que llevan a cabo el tratamiento de datos personales, en un plazo no mayor a quince días hábiles a partir de la fecha de recepción de la Encuesta.

2. Para la atención a cada una de las preguntas cerradas, será necesario marcar la opción u opciones que considere que se adaptan mejor a las características del tratamiento de datos personales que otorga el sujeto obligado y/o a las actividades que desarrolla.

3. Para las preguntas abiertas, se sugiere que las respuestas proporcionadas sean breves y puntuales, en aras de obtener información clara sobre el sujeto obligado que corresponda.

4. Para las preguntas en las que sea necesario responder alguna cifra, ésta deberá indicarse con números evitando el uso de letras.

5. La información que se proporcione deberá considerar como punto de partida la fecha de entrada en vigor de la Ley General (27 de enero de 2017) con corte al 30 de septiembre de 2018.

6. No dejar celdas en blanco, salvo en los casos en que la instrucción así lo solicite.

7. Es necesario que considere que una vez que ingrese a la página web en la que dará respuesta a la Encuesta, no existe la posibilidad de guardar su información, por lo que deberá atender a la totalidad de las preguntas en una misma sesión. En este sentido se señala que, únicamente se considerara la información vertida por cada sujeto obligado en la primera Encuesta recibida.

I. Áreas: Instancias de los sujetos obligados previstas en los respectivos reglamentos interiores, estatutos orgánicos o instrumentos equivalentes, que cuentan o puedan contar, dar tratamiento, y ser responsables o encargadas de los datos personales;

II. Aviso de privacidad: Documento a disposición del titular de forma física, electrónica o en cualquier formato generado por el responsable, a partir del momento en el cual se recaben sus datos personales, con el objeto de informarle los propósitos del tratamiento de los mismos;

III. Bases de datos: Conjunto ordenado de datos personales referentes a una persona física identificada o identificable, condicionados a criterios determinados, con independencia de la forma o modalidad de su creación, tipo de soporte, procesamiento, almacenamiento y organización;

IV. Bloqueo: La identificación y conservación de datos personales una vez cumplida la finalidad para la cual fueron recabados, con el único propósito de determinar posibles responsabilidades en relación con su tratamiento, hasta el plazo de prescripción legal o contractual de éstas. Durante dicho periodo, los datos personales no podrán ser objeto de tratamiento y transcurrido éste, se procederá a su cancelación en la base de datos que corresponda;

V. Comité de Transparencia: Instancia a la que hace referencia el artículo 43 de la Ley General de Transparencia y Acceso a la Información Pública;

VI. Consentimiento: Manifestación de la voluntad libre, específica e informada del titular de los datos mediante la cual se efectúa el tratamiento de los mismos;

VII. Datos personales: Cualquier información concerniente a una persona física identificada o identificable. Se considera que una persona es identificable cuando su identidad pueda determinarse directa o indirectamente a través de cualquier información;

VIII. Datos personales sensibles: Aquellos que se refieran a la esfera más íntima de su titular, o cuya utilización indebida pueda dar origen a discriminación o conlleve un riesgo grave para éste. De manera enunciativa más no limitativa, se consideran sensibles los datos personales que puedan revelar aspectos como origen racial o étnico, estado de salud presente o futuro, información genética, creencias religiosas, filosóficas y morales, opiniones políticas y preferencia sexual;

IX. Derechos ARCO: Los derechos de acceso, rectificación, cancelación y oposición al tratamiento de datos personales;

X. Días: Días hábiles;

XI. Disociación: El procedimiento mediante el cual los datos personales no pueden asociarse al titular ni permitir, por su estructura, contenido o grado de desagregación, la identificación del mismo;

XII. Documento de seguridad: Instrumento que describe y da cuenta de manera general sobre las medidas de seguridad técnicas, físicas y administrativas adoptadas por el responsable para garantizar la confidencialidad, integridad y disponibilidad de los datos personales que posee;

XIII. Encargado: La persona física o jurídica, pública o privada, ajena a la organización del responsable, que sola o conjuntamente con otras trate datos personales a nombre y por cuenta del responsable;

XIV. Fuentes de acceso público: Aquellas bases de datos, sistemas o archivos que por disposición de ley puedan ser consultadas públicamente cuando no exista impedimento por una norma limitativa y sin más exigencia que, en su caso, el pago de una contraprestación, tarifa o contribución. No se considerará fuente de acceso público cuando la información contenida en la misma sea obtenida o tenga una procedencia ilícita, conforme a las disposiciones establecidas por la presente Ley y demás normativa aplicable;

XV. Instituto: Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales, el cual es el organismo garante de la Federación en materia de protección de datos personales en posesión de los sujetos obligados;

XVI. Medidas compensatorias: Mecanismos alternos para dar a conocer a los titulares el aviso de privacidad, a través de su difusión por medios masivos de comunicación u otros de amplio alcance;

XVII. Medidas de seguridad: Conjunto de acciones, actividades, controles o mecanismos administrativos, técnicos y físicos que permitan proteger los datos personales;

XVIII. Medidas de seguridad administrativas: Políticas y procedimientos para la gestión, soporte y revisión de la seguridad de la información a nivel organizacional, la identificación, clasificación y borrado seguro de la información, así como la sensibilización y capacitación del personal, en materia de protección de datos personales;

XIX. Medidas de seguridad físicas: Conjunto de acciones y mecanismos para proteger el entorno físico de los datos personales y de los recursos involucrados en su tratamiento. De manera enunciativa más no limitativa, se deben considerar las siguientes actividades:

a) Prevenir el acceso no autorizado al perímetro de la organización, sus instalaciones físicas, áreas críticas, recursos e información;

b) Prevenir el daño o interferencia a las instalaciones físicas, áreas críticas de la organización, recursos e información;

c) Proteger los recursos móviles, portátiles y cualquier soporte físico o electrónico que pueda salir de la organización, y

d) Proveer a los equipos que contienen o almacenan datos personales de un mantenimiento eficaz, que asegure su disponibilidad e integridad;

XX. Medidas de seguridad técnicas: Conjunto de acciones y mecanismos que se valen de la tecnología relacionada con hardware y software para proteger el entorno digital de los datos personales y los recursos involucrados en su tratamiento. De manera enunciativa más no limitativa, se deben considerar las siguientes actividades:

a) Prevenir que el acceso a las bases de datos o a la información, así como a los recursos, sea por usuarios identificados y autorizados;

b) Generar un esquema de privilegios para que el usuario lleve a cabo las actividades que requiere con motivo de sus funciones;

c) Revisar la configuración de seguridad en la adquisición, operación, desarrollo y mantenimiento del software y hardware, y

d) Gestionar las comunicaciones, operaciones y medios de almacenamiento de los recursos informáticos en el tratamiento de datos personales;

XXI. Organismos garantes: Aquellos con autonomía constitucional especializados en materia de acceso a la información y protección de datos personales, en términos de los artículos 6o. y 116, fracción VIII de la Constitución Política de los Estados Unidos Mexicanos;

XXII. Plataforma Nacional: La Plataforma Nacional de Transparencia a que hace referencia el artículo 49 de la Ley General de Transparencia y Acceso a la Información Pública;

XXIII. Programa Nacional de Protección de Datos Personales: Programa Nacional de Protección de Datos Personales;

XXIV. Remisión: Toda comunicación de datos personales realizada exclusivamente entre el responsable y encargado, dentro o fuera del territorio mexicano;

XXV. Responsable: Los sujetos obligados a que se refiere el artículo 1 de la presente Ley que deciden sobre el tratamiento de datos personales;

XXVI. Signos inequívocos: Manifestación expresa de la voluntad por parte del titular de los datos personales que no admite duda al respecto.

XXVII. Supresión: La baja archivística de los datos personales conforme a la normativa archivística aplicable, que resulte en la eliminación, borrado o destrucción de los datos personales bajo las medidas de seguridad previamente establecidas por el responsable;

XXVIII. Titular: La persona física a quien corresponden los datos personales;

XXIX. Transferencia: Toda comunicación de datos personales dentro o fuera del territorio mexicano, realizada a persona distinta del titular, del responsable o del encargado;

XXX. Tratamiento: Cualquier operación o conjunto de operaciones efectuadas mediante procedimientos manuales o automatizados aplicados a los datos personales, relacionadas con la obtención, uso, registro, organización, conservación, elaboración, utilización, comunicación, difusión, almacenamiento, posesión, acceso, manejo, aprovechamiento, divulgación, transferencia o disposición de datos personales, y

XXXI. Unidad de Transparencia: Instancia a la que hace referencia el artículo 45 de la Ley General de Transparencia y Acceso a la Información Pública.

A efecto de llevar a cabo la revisión, validación, procesamiento y evaluación de las respuestas vertidas en la presente Encuesta, una vez completada, deberá ser enviada, mediante la página web en la que fue atendida, verificando su identidad a través del recuadro “No soy un robot” y oprimiendo la opción “Enviar”, mismas que aparecen al final de la Encuesta.

Una vez enviada la Encuesta, recibirá la confirmación correspondiente al correo electrónico que haya indicado en sus respuestas.

En caso de dudas o comentarios, podrá hacerlas llegar al correo electrónico evalua-datos@inai.org.mx, así como al teléfono 5004 2400, extensiones 3444, 2789 y 3445; donde personal de la Dirección General de Evaluación, Investigación y Verificación del Sector Público de este Instituto con gusto las atenderá.

AVISO DE PRIVACIDAD INTEGRAL


ATENCIÓN DE LA ENCUESTA DIAGNÓSTICA DIRIGIDA A LOS RESPONSABLES DEL TRATAMIENTO DE DATOS PERSONALES DE CONFORMIDAD CON LA LEY GENERAL DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE SUJETOS OBLIGADOS

La Dirección General de Evaluación, Investigación y Verificación del Sector Público (DGEIVSP) del Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI), con domicilio en Av. Insurgentes Sur 3211, Colonia Insurgentes Cuicuilco, Coyoacán, C.P. 04530, Ciudad de México; es la responsable del tratamiento de los datos personales que proporcione para la atención de la “Encuesta Diagnóstica dirigida a los responsables del tratamiento de datos personales de conformidad con la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados”, los cuales serán protegidos conforme a lo dispuesto por la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados, y demás normatividad que resulte aplicable.

¿Qué datos personales se recaban y para qué finalidad?

Sus datos personales serán utilizados con la finalidad de integrar información de carácter estadístico que formará parte del informe anual de resultados de la evaluación y la medición del desempeño en el cumplimiento de las obligaciones previstas en la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados; lo anterior, con respecto a la estructura organizacional y recursos del Responsable, específicamente por lo que se refiere a los Titulares de las Unidades de Transparencia de cada sujeto obligado.

Para llevar a cabo dicha finalidad, utilizaremos los siguientes datos personales:

  • Sexo.
  • Edad.

Asimismo, se recaban sus datos personales con la finalidad de saber qué servidor público está dando atención a la “Encuesta Diagnóstica dirigida a los responsables del tratamiento de datos personales de conformidad con la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados”, mismos que no requieren de su consentimiento, en términos de lo dispuesto por el artículo 22, fracción VIII, de la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados.

Para llevar a cabo dicha finalidad, utilizamos los siguientes datos personales :

  • Nombre completo.
  • Último grado de estudios, distinguiendo por grado (secundaria, preparatoria, licenciatura, maestría o doctorado) y estatus del mismo (cursando, inconcluso, concluido o titulado).

Fundamento para el tratamiento de datos personales.

La DGEIVSP lleva a cabo el tratamiento de datos personales antes señalado con fundamento en los artículos 89, fracción XXV de la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados y 41 Bis, fracción XVII del Estatuto Orgánico del Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales.

Transferencia de datos personales.

Se informa que no se realizarán transferencias de datos personales, salvo aquéllas que no requieran consentimiento de los titulares, en términos de lo previsto en el artículo 70 de la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados:

  1. Cuando la transferencia esté prevista en esta Ley u otras leyes, convenios o Tratados Internacionales suscritos y ratificados por México;
  2. Cuando la transferencia se realice entre responsables, siempre y cuando los datos personales se utilicen para el ejercicio de facultades propias, compatibles o análogas con la finalidad que motivó el tratamiento de los datos personales;
  3. Cuando la transferencia sea legalmente exigida para la investigación y persecución de los delitos, así como la procuración o administración de justicia;
  4. Cuando la transferencia sea precisa para el reconocimiento, ejercicio o defensa de un derecho ante autoridad competente, siempre y cuando medie el requerimiento de esta última;
  5. Cuando la transferencia sea necesaria para la prevención o el diagnóstico médico, la prestación de asistencia sanitaria, tratamiento médico o la gestión de servicios sanitarios, siempre y cuando dichos fines sean acreditados;
  6. Cuando la transferencia sea precisa para el mantenimiento o cumplimiento de una relación jurídica entre el responsable y el titular;
  7. Cuando la transferencia sea necesaria por virtud de un contrato celebrado o por celebrar en interés del titular, por el responsable y un tercero;
  8. Cuando se trate de los casos en los que el responsable no esté obligado a recabar el consentimiento del titular para el tratamiento y transmisión de sus datos personales, conforme a lo dispuesto en el artículo 22 de la presente Ley, o
  9. Cuando la transferencia sea necesaria por razones de seguridad nacional.

¿Dónde se pueden ejercer los derechos de acceso, rectificación, cancelación u oposición de datos personales (derechos ARCO)?

Usted podrá ejercer sus derechos de acceso, rectificación, cancelación y oposición (ARCO) de datos personales directamente en la Unidad de Transparencia del INAI, en el domicilio ubicado en Avenida Insurgentes Sur, número 3211, Colonia Insurgentes Cuicuilco, Coyoacán, C.P. 04530, Ciudad de México, o bien, en el correo electrónico unidad.transparencia@inai.org.mx. Si desea conocer el procedimiento para el ejercicio de estos derechos puede acudir a la Unidad de Transparencia, enviar un correo electrónico a la dirección señalada o comunicarse al Tel-inai 01800835-43-2.

Cambios al aviso de privacidad

En caso de que exista un cambio de este aviso de privacidad, lo haremos de su conocimiento a través de su publicación en la página web https://micrositios.inai.org.mx.