EVALUACIONES DE IMPACTO EN LA PROTECCIÓN DE DATOS PERSONALES
Una evaluación de impacto en la protección de datos personales (EIPDP o evaluaciones de impacto), de conformidad con el artículo 3, fracción XVI de la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados (Ley General), y 6 de las Disposiciones Administrativas de Carácter General para la Elaboración, Presentación y Valoración de Evaluaciones de Impacto en la Protección de Datos Personales (Disposiciones administrativas), es un documento de análisis mediante el cual los responsables del tratamiento de datos personales del sector público, valoran los impactos reales respecto de un tratamiento intensivo o relevante de datos personales, a efecto de identificar y mitigar posibles riesgos relacionados con los principios, deberes, derechos y demás obligaciones en materia que impone la Ley General y fomentar una cultura de protección de datos personales al interior de la organización del responsable.
- Cuando se pretenda poner en operación o modificar políticas públicas, sistemas o plataformas informáticas, aplicaciones electrónicas o cualquier otra tecnología y,
- Que a su juicio y considerando, tanto lo dispuesto en la Ley General como, en su caso, las Disposiciones administrativas, impliquen un tratamiento intensivo o relevante de datos personales.
Cualquier autoridad, entidad, órgano y organismo de los Poderes Ejecutivo, Legislativo y Judicial, órganos autónomos, partidos políticos, fideicomisos y fondos públicos en el ámbito federal, estatal y municipal que pretenda poner en operación o modificar políticas públicas, sistemas o plataformas informáticas, aplicaciones electrónicas o cualquier otra tecnología y que esto implique un tratamiento intensivo o relevante de datos personales.
Las Disposiciones administrativas realizan una división para la determinación de qué constituye un tratamiento intensivo o relevante de datos personales:
De conformidad con los artículos 75 de la Ley General, 120 de los Lineamientos generales de protección de datos personales para el sector público (Lineamientos generales), y 8 de las Disposiciones Administrativas, para identificar cuándo se está en presencia de un tratamiento intensivo o relevante de datos personales de carácter general, se deberán cumplir cada una de las siguientes condiciones:
- Que existan riesgos inherentes a los datos personales a tratar, entendidos como el valor potencial cuantitativo o cualitativo que pudieran tener éstos para una tercera persona no autorizada para su posesión o uso en función de la sensibilidad de los datos personales; las categorías de titulares; el volumen total de los datos personales tratados; la cantidad de datos personales que se tratan por cada titular; la intensidad o frecuencia del tratamiento, o bien, la realización de cruces de datos personales con múltiples sistemas o plataformas informáticas.
- Que se traten datos personales sensibles, entendidos como aquellos que se refieran a la esfera más íntima de su titular o cuya utilización indebida pueda dar origen a discriminación o conlleve un riesgo grave para éste. De manera enunciativa mas no limitativa, se consideran sensibles los datos personales que puedan revelar aspectos como origen racial o étnico, estado de salud presente o futuro, información genética, creencias religiosas, filosóficas y morales, opiniones políticas y preferencia sexual.
- Que se efectúen o pretendan efectuar transferencias de datos personales, entendidas como cualquier comunicación de datos personales, dentro o fuera del territorio mexicano, realizada a persona distinta del titular, responsable o encargado, considerando con especial énfasis, de manera enunciativa mas no limitativa, las finalidades que motivan éstas y su periodicidad prevista; las categorías de titulares; la categoría y sensibilidad de los datos personales transferidos; el carácter nacional y/o internacional de los destinatarios o terceros receptores y la tecnología utilizada para la realización de éstas.
De conformidad con los artículos 76 de la Ley General y 9 de las Disposiciones Administrativas, para identificar cuándo se está en presencia de un tratamiento intensivo o relevante de datos personales de carácter particular, se deberán cumplir con alguna de las siguientes condiciones:
- Cambiar la o las finalidades originales, siendo más intrusivas para los titulares;
- Evaluar, monitorear, predecir, describir, clasificar o categorizar la conducta o aspectos análogos de los titulares, a través de la elaboración de perfiles determinados para cualquier finalidad, destinados a producir efectos jurídicos que los vinculen o afecten de manera significativa, especialmente, cuando a partir de dicho tratamiento se establezcan o pudieran establecerse diferencias de trato o un trato discriminatorio económico, social, político, racial, sexual o de cualquier otro tipo que pudiera afectar la dignidad o integridad personal de los titulares.
- Tratar datos personales de grupos vulnerables atendiendo, de manera enunciativa mas no limitativa, a su edad; género; origen étnico o racial; estado de salud; preferencia sexual; nivel de instrucción y condición socioeconómica.
- Crear bases de datos concernientes a un número elevado de titulares, aun cuando dichas bases no estén sujetas a criterios determinados en cuanto a su creación o estructura, de tal manera que se produzca la acumulación no intencional de una gran cantidad de datos personales respecto de los mismos.
- Incluir o agregar nuevas categorías de datos personales a las bases de datos ya existentes y en posesión del responsable, de tal forma que, en caso de presentarse una vulneración, pudiera derivarse una afectación a la esfera personal de los titulares, sus derechos o libertades.
- Realizar un tratamiento frecuente y continúo de grandes volúmenes de datos personales, o bien, llevar a cabo cruces de información con múltiples sistemas o plataformas informática
- Utilizar tecnologías con sistemas de vigilancia; aeronaves o aparatos no tripulados; minería de datos; biometría; Internet de las cosas; geolocalización; técnicas analíticas; radiofrecuencia o cualquier otra que pueda desarrollarse en el futuro y que implique un tratamiento de datos personales a gran escala.
- Permitir el acceso de terceros a una gran cantidad de datos personales que anteriormente no tenían acceso, ya sea, entregándolos, recibiéndolos y/o poniéndolos a su disposición en cualquier forma.
- Realizar transferencias internacionales de datos personales a países que no cuenten en su derecho interno con garantías suficientes y equivalentes para asegurar la debida protección de los datos personales, conforme al sistema jurídico mexicano en la materia.
- Revertir la disociación de datos personales para la consecución de finalidades determinadas, especialmente si éstas son de carácter intrusivo o invasivo al titular.
- Tratar datos personales sensibles con la finalidad de efectuar un tratamiento sistemático y masivo de los mismos.
- Realizar una evaluación sistemática y exhaustiva de aspectos propios de las personas físicas que se base en un tratamiento automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para éstas o que les afecten significativamente de modo similar.
- Realizar un tratamiento a gran escala de datos personales sensibles o datos personales relativos a condenas e infracciones penales.
- La observación sistemática a gran escala de una zona de acceso público.
La evaluación de impacto deberá ser presentada ante el INAI, en el caso de tratarse de responsables del orden federal, o ante el Organismo Garante correspondiente, cuando se trate de responsables del orden estatal y/o municipal, treinta días anteriores a la fecha en que se pretenda poner en operación o modificar políticas públicas, sistemas o plataformas informáticas, aplicaciones electrónicas o cualquier otra tecnología.
Si eres un sujeto obligado de orden federal, podrás presentar tu evaluación de impacto ante el INAI en Inicia tu trámite
*Si eres un sujeto obligado del orden estatal y/o municipal podrás presentar una consulta ante el Organismo Garante correspondiente, a través de los medios que este organismo estipule para ello.
Si quieres saber si te es aplicable la elaboración y presentación de una evaluación de impacto ingresa en Tramita tu trámite y realiza nuestro Cuestionario Interactivo de Autoevaluación.
No olvides que…
En el marco de las Evaluaciones de impacto, los responsables podrán no sólo elaborar y presentar una Evaluación de impacto, sino que también podrán:
- Si tienen dudas, consultar al INAI sobre la obligación de elaborar y presentar una evaluación de impacto.
- Presentar un informe de exención para presentar una Evaluación de impacto.
- Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados.
- Lineamientos Generales de Protección de Datos Personales para el Sector Público.
- Disposiciones Administrativas de Carácter General para la Elaboración, Presentación y Valoración de Evaluaciones de Impacto en la Protección de Datos Personales.
¿Requieres mayor información sobre los requisitos que debes de cumplir para la elaboración de tu evaluación de impacto y su presentación?
Te invitamos a consulta la Guía para la presentación de Evaluaciones de impacto en la protección de datos personales .
¿Tienes dudas de cómo realizar la elaboración de tu evaluación de impacto?
Con el fin de facilitar a los responsables la realización de las evaluaciones de impacto y que éstas incluyan todos los requisitos que debe llevar este documento, el INAI pone a su disposición formatos modelo, los cuales podrá consultar y descargar desde la sección de “Formatos” de este Instituto, en el siguiente vínculo electrónico: Formatos – INAI
En caso de requerir información o asesoría sobre el trámite de evaluaciones de impacto, se encuentran disponibles los siguientes canales de comunicación:
- Vía telefónica. Tel-INAI en el número: 800 835 43 24.
- Vía postal. Consultas por correo postal en la dirección: Av. Insurgentes Sur, # 3211, Planta Baja, Colonia Insurgentes Cuicuilco, Alcaldía Coyoacán, C.P. 04530, Ciudad de México, México
- Asesoría presencial en la dirección señalada.
- Vía correo electrónico. Enviar un correo electrónico a la cuenta atencion@inai.org.mx
- Vía web. Visitar el sitio de Internet inai.org.mx, micrositio https://micrositios.inai.org.mx/eipdp/