Los temas sobre los que versan las asesorías son los siguientes:
En razón del acercamiento que los diferentes sujetos obligados de la Ciudad de México han tenido con el Instituto de Transparencia, Acceso a la Información Pública, Protección de Datos Personales y Rendición de Cuentas de la Ciudad de México (Instituto), a continuación ponemos a su disposición información que les permitirá aclarar de una forma práctica, aquellas dudas que han manifestado con mayor frecuencia. Cabe destacar que el Instituto, a través de la Dirección de Datos Personales, ha dado y seguirá dando atención a dudas más específicas a través de asesorías telefónicas, por correo electrónico, de manera virtual y de manera presencial, cuando la situación de contingencia sanitaria así lo permita, sin embargo, la intención de este documento es ofrecer respuestas rápidas y al alcance de sus manos de una forma más rápida.
Los Lineamientos Generales sobre Protección de Datos Personales en Posesión de Sujetos Obligados de la Ciudad de México (Lineamientos), en su artículo 27, párrafo dos, señala los Tipos de Datos personales de manera enunciativa más no limitativa: de identificación, laborales, académicos, biométricos, patrimoniales, sobre procedimientos judiciales o seguidos en forma de juicio, características físicas, migratorias socioeconómicas.
Mientras que en su artículo 62 señala que los datos personales contenidos en los sistemas se clasificarán de acuerdo a las siguientes Categorías:
I. Identificación: El nombre, domicilio, teléfono particular, teléfono celular, firma, clave del Registro Federal de Contribuyentes (RFC), Clave Única de Registro de Población (CURP), Matrícula del Servicio Militar Nacional, número de pasaporte, lugar y fecha de nacimiento, nacionalidad, edad, fotografía y demás análogos;
II. Electrónicos: Las direcciones electrónicas, tales como, el correo electrónico no oficial, dirección IP (Protocolo de Internet), dirección MAC (dirección Media Access Control o dirección de control de acceso al medio), así como el nombre del usuario, contraseñas, firma electrónica; o cualquier otra información empleada por la persona, para su identificación en Internet u otra red de comunicaciones electrónicas;
III. Laborales: Documentos de reclutamiento y selección, nombramiento, incidencia, capacitación, actividades extracurriculares, referencias laborales, referencias personales, solicitud de empleo, hoja de servicio y demás análogos;
IV. Patrimoniales: Los correspondientes a bienes muebles e inmuebles, información fiscal, historial crediticio, ingresos y egresos, cuentas bancarias, seguros, fianzas, servicios contratados, referencias personales y demás análogos;
V. Datos sobre procedimientos administrativos y/o jurisdiccionales: La información relativa a una persona que se encuentre sujeta a un procedimiento administrativo seguido en forma de juicio o jurisdiccional en materia laboral, civil, penal, fiscal, administrativa o de cualquier otra rama del Derecho;
VI. Datos académicos: Trayectoria educativa, calificaciones, títulos, cédula profesional, certificados y reconocimientos y demás análogos;
VII. Datos de tránsito y movimientos migratorios: Información relativa al tránsito de las personas dentro y fuera del país, así como información migratoria;
VIII. Datos sobre la salud: El expediente clínico de cualquier atención médica, referencias o descripción de sintomatologías, detección de enfermedades, incapacidades médicas, discapacidades, intervenciones quirúrgicas, vacunas, consumo de estupefacientes, uso de aparatos oftalmológicos, ortopédicos, auditivos, prótesis, así como el estado físico o mental de la persona;
IX. Datos biométricos: huellas dactilares, ADN, geometría de la mano, características de iris y retina, forma de caminar y demás análogos;
X. Datos especialmente protegidos (sensibles): origen étnico o racial, características morales o emocionales, ideología y opiniones políticas, creencias, convicciones religiosas, filosóficas y preferencia sexual, y
XI. Datos personales de naturaleza pública: aquellos que por mandato legal sean accesibles al público.
El artículo 21, fracción III, de la Ley de Protección de Datos Personales en Posesión de Sujetos Obligados de la Ciudad de México (Ley de Datos Local), establece que cuando se realicen transferencias de datos personales que requieran consentimiento, se deberá informar, en el Aviso de Privacidad, sobre las autoridades, poderes, entidades, órganos y organismos gubernamentales de los tres órdenes de gobierno y las personas físicas o morales a las que se transfieren los datos personales, así como las finalidades de dichas transferencias.
Por otra parte, en su artículo 64, se señalan los supuestos en los que se podrán realizar transferencias sin la necesidad del consentimiento del titular de los datos personales, entre los que se destacan: cuando sea legalmente exigida para la investigación y persecución de algún delito o cuando sea necesaria para la prevención o el diagnóstico médico, etc.
No en todos los casos.
Al respecto, la Ley de Datos Local, establece en su artículo 16 los casos en los que no es necesario recabar el consentimiento del titular de los datos personales para su tratamiento:
Artículo 16. El responsable no estará obligado a recabar el consentimiento del titular para el tratamiento de sus datos personales en los siguientes casos y excepciones siguientes:
I. Cuando una ley así lo disponga o cuando se recaben para el ejercicio de las atribuciones legales conferidas a los sujetos obligados, debiendo dichos supuestos ser acordes con las bases, principios y disposiciones establecidos en esta Ley, en ningún caso, podrán contravenirla;
II. Cuando las transferencias que se realicen entre sujetos obligados se encuentre de manera expresa en una ley o tenga por objeto el tratamiento posterior de los datos con fines históricos, estadísticos o científicos;
III. Cuando exista una orden judicial;
IV. Para el reconocimiento o defensa de derechos del titular ante autoridad competente;
V. Cuando se refieran a las partes de un convenio, a la relación contractual, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento;
VI. Cuando los datos personales se requieran para ejercer un derecho o cumplir obligaciones derivadas de una relación jurídica entre el titular y el responsable;
VII. Cuando exista una situación de emergencia que potencialmente pueda dañar a un individuo en su persona o en sus bienes;
VIII. Cuando el titular no esté en posibilidad de otorgar su consentimiento por motivos de salud y el tratamiento de sus datos resulte necesario para el diagnóstico médico y quien trate los datos personales esté sujeto al secreto profesional u obligación equivalente;
IX. Cuando los datos personales sean necesarios para efectuar un tratamiento para la prevención, diagnóstico, o la prestación de asistencia sanitaria;
X. Cuando los datos personales se sometan a un procedimiento previo de disociación;
XI. Cuando los datos personales figuren en registros públicos y su tratamiento sea necesario, siempre que no se vulneren los derechos y las libertades fundamentales de la persona; o
XII. Cuando el titular de los datos personales sea una persona reportada como desaparecida en los términos de la ley en la materia.
El artículo 64 de los Lineamientos, establece el contenido mínimo de un Acuerdo de Creación de un Sistema de Datos Personales:
La identificación del sistema de datos personales, en la cual deberá indicarse su denominación, la finalidad o finalidades de los sistemas de datos personales; la normativa aplicable; así́ como los usos y transferencias previstos;
II. La estructura básica del sistema de datos personales y la descripción de los tipos de datos incluidos y, en su caso, de los datos especialmente protegidos, así como las restantes categorías de datos de carácter personal, incluidas en el mismo y el modo de tratamiento utilizado en su organización;
III. Las instancias responsables del tratamiento del sistema de datos personales: titular del sujeto obligado, usuarios y encargados, si los hubiera;
IV. Las áreas ante las que podrán ejercerse los derechos de acceso, rectificación, cancelación y oposición, para lo cual deberá proporcionarse en todo caso, domicilio oficial y dirección electrónica del área ante la cual podrán presentar las solicitudes respectivas;
V. El procedimiento a través del cual podrán ejercerse los derechos de acceso, rectificación, cancelación y oposición, y
VI. El nivel de seguridad y los mecanismos de protección exigibles.
La Ley de Datos Local, en su artículo 3, fracción XXVIII, define al responsable como:
Responsable: Cualquier autoridad, entidad, órgano y organismo de los Poderes Ejecutivo, Legislativo y Judicial, Órganos Autónomos, Partidos Políticos, Fideicomisos y Fondos Públicos, que decida y determine finalidad, fines, medios, medidas de seguridad y demás cuestiones relacionadas con el tratamiento de datos personales.
Los Lineamiento, en su artículo 2, fracción XII, define al Responsable del Sistema de Datos Personales, quien deberá informar sobre las medidas de seguridad para evitar una vulneración de datos.
Responsable del Sistema de Datos Personales: Servidor público que decide sobre el tratamiento de los datos personales, su finalidad, la protección y las medidas de seguridad de los mismos;
La Ley de Datos Local, establece en su artículo 3, fracción XXVII la definición de Remisión como:
Toda comunicación de datos personales realizada exclusivamente entre el responsable y el encargado, dentro o fuera del territorio mexicano. Y en el mismo artículo fracción XXXIII, define la Transferencia como:
Toda comunicación de datos personales dentro o fuera del territorio mexicano, realizada a persona distinta del titular, del responsable o del encargado.