TABLA DE CONTENIDO
I. INTRODUCCIÓN
II. GLOSARIO
III. OBJETIVO
IV. MARCO JURÍDICO
V. ÁMBITO DE APLICACIÓN
VI. DISPOSICIONES GENERALES
1. Tipos de Medidas de Seguridad.
2. Niveles de Protección de Datos Personales.
3. Tipo de Transmisiones de Datos Personales y Modalidades para la
Transmisión.
VII. CATÁLOGO DE SISTEMAS DE DATOS PERSONALES
VIII ESTRUCTURA Y DESCRIPCIÓN DE LOS SISTEMAS DE DATOS
PERSONALES
IX. MEDIDAS DE SEGURIDAD IMPLEMENTADAS
X. PROCEDIMIENTOS PARA LOS DERECHOS DE ACCESO, RECTIFICACIÓN,
CANCELACIÓN Y OPOSICIÓN (ARCO)
XII. TRANSITORIOS
INTRODUCCIÓN
Con el avance exponencial que han tenido en los últimos años sistemas tales como el Gobierno Abierto, la Transparencia, la Rendición de Cuentas o la Protección de Datos Personales, emparejado al crecimiento y perfeccionamiento de los organismos encargados de custodiar el cumplimiento de las obligaciones que se derivan de tales conceptos, tenemos plena conciencia en la Unidad de Transparencia (UT) del Instituto Municipal de la Mujer en Tonalá, Jalisco, de que la información es un activo que debe protegerse mediante un conjunto de procesos y sistemas diseñados, administrados y mantenidos por la propia UT.
De esta manera, la gestión de la seguridad de la información, como parte de un sistema transparente más amplio, busca establecer, implementar, operar, monitorear y mejorar los procesos y sistemas relativos a la confidencialidad, integridad y disponibilidad de la información, aplicando un enfoque basado en los riesgos que la Unidad puede afrontar.
El presente Documento de Seguridad para Sistemas de Datos Personales en medios físicos (Documento), se dicta en cumplimiento de las disposiciones jurídicas vigentes, con el fin de asegurar la integridad, confidencialidad y disponibilidad de la información personal que éstos contienen.
Al mismo tiempo, servirá como una guía que permitirá brindar homogeneidad en la organización, procesos y sistemas, en donde el Comité de Información, conjuntamente con las áreas del sujeto obligado y los responsables de los sistemas de datos personales, definen las medidas de seguridad administrativa y física implementadas para la protección de los sistemas de datos personales custodiados.
En conclusión, este documento tiene como propósito controlar internamente el universo de sistemas de datos personales que posee la Unidad, el tipo de datos personales que contiene, los responsables, encargados, usuarios de cada sistema y las medidas de seguridad concretas implementadas.
GLOSARIO
• Auditabilidad: Característica que permite la revisión y análisis de eventos para su control posterior.
• Autenticidad: Busca asegurar la validez de la información en tiempo, forma y distribución. Asimismo, se garantiza el origen de la información, validando el emisor para evitar suplantación de identidades.
• Autentificar: Acción de comprobar que la persona es quien dice ser. Ello, mediante el cotejo de uno o más datos en dicha identificación oficial contra los datos en alguna otra identificación, documento, certificado digital (como el de la firma electrónica) o dispositivo que tenga la persona, los datos que sepa o tenga memorizados (su firma autógrafa o su contraseña, por ejemplo) o, una o más características que coincidan con lo que es dicha persona (fotografía o huella dactilar, por ejemplo).
• Autorizar: Se considera como el acceso que se le permite a la persona que se ha identificado y autenticado apropiadamente. Esto depende del o de los permisos que le conceda el responsable de autorizar los accesos.
• Clasificación: Acto por el cual se determina que la información que posee la Unidad de Transparencia es reservada o confidencial.
• Comité: El Comité de Transparencia.
• Confiabilidad de la Información: Expresa la garantía de que la información generada es adecuada para sustentar la toma de decisiones y la ejecución de las misiones y funciones.
• Confidencialidad: Propiedad de prevenir la divulgación de información a personas o sistemas no autorizados, y que garantiza que la información sea accesible sólo a aquellas personas autorizadas a tener acceso a la misma.
• Control de acceso: Medida de seguridad que permite el acceso únicamente a quien está autorizado para ello y una vez que se ha cumplido con el procedimiento de identificación y autentificación.
• Datos personales: Cualquier información concerniente a una persona física identificada o de acceso a la información, a los datos personales y a la corrección de éstos, en la unidad de Transparencia.
• Destinatario: Cualquier persona física o moral, pública o privada que recibe datos personales.
• Disponibilidad: Característica, cualidad o condición de la información de encontrarse a disposición de quienes deben acceder a ella, ya sean personas, procesos o aplicaciones, garantizando el acceso a la información y a los recursos relacionados con la misma, cada vez que lo requieran.
• Documentos: Los expedientes, reportes, estudios, actas, resoluciones, oficios, correspondencia, acuerdos, directivas, directrices, circulares, contratos, convenios, instructivos, notas, memorandos, estadísticas o bien, cualquier otro registro que documente el ejercicio de las facultades o la actividad de los sujetos obligados y sus servidores públicos, sin importar su fuente o fecha de elaboración. Los documentos podrán estar en cualquier medio, sea escrito, impreso, sonoro, visual, electrónico, informático u holográfico.
• Encargado: El servidor público o cualquier otra persona física o moral facultado por un instrumento jurídico o expresamente autorizado por el Responsable para llevar a cabo el tratamiento físico o automatizado de los datos personales.
• Expediente: Un conjunto de documentos.
• Identificar: Consiste en aportar la prueba necesaria para corroborar que una persona es quien dice ser, lo cual puede realizarse, por ejemplo, con una identificación que tenga validez oficial y en un ambiente electrónico con el nombre de usuario que se introduce al momento de ingresar al sistema (login).
• Información: El conjunto organizado de datos contenido en los documentos (en cualquier forma: textual, numérica, gráfica, cartográfica, narrativa o audiovisual, y en cualquier medio, ya sea magnético, en papel, en pantallas de computadoras, audiovisual u otro) que los sujetos obligados generen, obtengan, adquieran, transformen o conserven por cualquier título.
• Instituto: Instituto Nacional de Transparencia (INAI).
• Integridad: Es garantizar la exactitud, totalidad y la confiabilidad de la información y los sistemas o métodos de procesamiento de manera que éstos no puedan ser modificados sin autorización, ya sea accidental o intencionadamente.
• Ley: La Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental.
• Lineamientos: Los actos administrativos de carácter general expedidos por el Pleno del Instituto y de observancia obligatoria.
• Protección a la duplicación: Consiste en asegurar que una transacción sólo se realiza una vez, a menos que se especifique lo contrario. Impedir que se grabe una transacción para luego reproducirla, con el objeto de simular múltiples peticiones del mismo remitente original.
• Publicación: La reproducción en medios electrónicos o impresos de información contenida en documentos.
• Recomendaciones: Las opiniones, propuestas, sugerencias, comentarios, y otros actos que emite el Instituto.
• Recursos públicos: Los recursos humanos, financieros y materiales con que cuente la unidad de Transparencia, y que utiliza para alcanzar sus objetivos y producir los bienes o prestar los servicios que son de su competencia.
• Reglamento: El Reglamento de la Unidad de Transparencia.
• Responsable: El servidor público encargado de la unidad administrativa designado por el titular de la dependencia o entidad, que decide sobre el tratamiento físico o automatizado de datos personales, así como el contenido y finalidad de los sistemas de datos personales.
• Servidores públicos habilitados: Los servidores públicos que pueden recibir y dar trámite a las solicitudes.
• Servidores públicos: Los mencionados en el párrafo primero del Artículo 108 Constitucional y todas aquellas personas que manejen o apliquen recursos públicos federales.
• Sistema de datos personales: El conjunto ordenado de datos personales que estén en posesión de un sujeto obligado.
• Sistema de Información: Se refiere a un conjunto independiente de recursos de información organizados para la recopilación, procesamiento, mantenimiento, transmisión y difusión de información según determinados procedimientos, tanto automatizados como manuales.
• Unidad de Transparencia o UT: Unidad de Transparencia del Instituto Municipal de la Mujer en Tonalá, Jalisco.
• Sistema Persona: Aplicación informática desarrollada por el Instituto para mantener actualizado el listado de los sistemas de datos personales que posean las dependencias y entidades para registrar e informar sobre las transmisiones, modificaciones y cancelaciones de los mismos.
• Soportes físicos. Son los medios de almacenamiento identificables a simple vista, que no requieren de ningún aparato que procese su contenido para examinar, modificar o almacenar los datos; es decir, documentos, oficios, formularios impresos llenados “a mano” o “a máquina”, fotografías, placas radiológicas, carpetas, expedientes, entre otros.
• Tecnología de la Información: Se refiere al hardware y software operado por el Organismo o por un tercero que procese información en su nombre, para llevar a cabo una función propia del Organismo, sin tener en cuenta la temunicnología utilizada, ya se trate de computación de datos, telecomunicaciones u otro tipo.
• Titular de los datos: Persona física a quien se refieren los datos personales que sean objeto de tratamiento.
• Transmisión de datos personales. La entrega total o parcial de sistemas de datos personales a cualquier persona distinta del titular de los datos, mediante el uso de medios físicos o electrónicos tales como la interconexión de computadoras o bases de datos, acceso a redes de telecomunicación, así como a través de la utilización de cualquier otra tecnología que lo permita.
• Transmisor: Dependencia o entidad que posee los datos personales objeto de la transmisión.
• Tratamiento: Operaciones y procedimientos físicos o automatizados que permitan recabar, registrar, reproducir, conservar, organizar, modificar, transmitir y cancelar datos personales.
• Unidades administrativas: Las que, de acuerdo con la Ley General de Transparencia y acceso a la información pública, y demás normatividad aplicable, tengan la información de conformidad con las facultades que les correspondan.
• Usuario: Servidor público facultado por un instrumento jurídico o expresamente autorizado por el Responsable que utiliza de manera cotidiana datos personales para el ejercicio de sus atribuciones, por lo que accede a los sistemas de datos personales, sin posibilidad de agregar o modificar su contenido.
OBJETIVOS
Describir el proceso que lleva a cabo la Unidad de Transparencia del Instituto Municipal de la Mujer en Tonalá, Jalisco, para garantizar la seguridad física y el cumplimiento de las normas comprendidas en la materia, a cargo del Instituto Municipal de la Mujer en Tonalá, Jalisco, atendiendo a las especificaciones de la guía para la elaboración de un documento de seguridad emitida por el INAI y la elaboración de especificaciones, guías, procedimientos generales, instrucciones de trabajo y registros de control propios.
Describir y dar cuenta de manera general sobre las medidas de seguridad técnicas, físicas y administrativas adoptadas por el responsable para garantizar la confidencialidad, integridad y disponibilidad de los datos personales que posee.
MARCO JURÍDICO
a) Constitución Política de los Estados Unidos Mexicanos.
b) Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados.
c) Lineamientos de Protección de Datos Personales. Emitidos por el Instituto Federal de Acceso a la Información Pública.
d) Ley de Transparencia y Acceso a la Información Pública del Estado de Jalisco y sus Municipios.
e) Ley de Protección de Datos Personales en Posesión de Sujetos Obligados del Estado de Jalisco y sus Municipios.
ÁMBITO DE APLICACIÓN
El presente Documento de Seguridad es aplicable y de observancia obligatoria para la Unidad de Transparencia del Instituto Municipal de la Mujer en Tonalá, Jalisco, en cumplimiento a las funciones que le son inherentes, así como para las personas externas que debido a la presentación de un servicio, tengan acceso a tales sistemas o al sitio donde se ubican los mismos.
DISPOSICIONES GENERALES
1.- TIPOS DE MEDIDAS DE SEGURIDAD
Las medidas de seguridad deben implementarse para la obtención de los objetivos contemplados en los siguientes propósitos:
a) Política de seguridad. Definición de normas estratégicas en materia de seguridad de activos, alineadas a las atribuciones del Instituto Municipal de la Mujer en Tonalá Jalisco.
Incluye la elaboración y emisión interna de expedientes.
b) Cumplimiento de la normatividad. Los controles establecidos para evitar violaciones de la normatividad vigente, obligaciones contractuales o la política de seguridad interna. Abarca, entre otros, la identificación y el cumplimiento de requerimientos tales como la legislación aplicable, los derechos de propiedad intelectual, la protección de datos personales y la privacidad de la información personal.
c) Organización de la seguridad de la información. Establecimiento de controles internos y externos a través de los cuales se gestione la seguridad de activos. Considera, entre otros aspectos, la organización interna, que a su vez se refiere al compromiso de la alta dirección y la designación de responsables, entre otros objetivos; asimismo, considera aspectos externos como la identificación de riesgos relacionados con terceros
d) Administración de incidentes. Implementación de controles enfocados a la gestión de incidentes presentes y futuros que puedan afectar la integridad, confidencialidad y disponibilidad de la información. Incluye temas tales como debilidades de seguridad de la información.
e) Continuidad de las operaciones. Establecimiento de medidas con el fin de contrarrestar las interrupciones graves de la operación y fallas mayores en los sistemas de información. Incluye planeación, implementación, prueba y mejora del plan de continuidad de la operación del sujeto obligado.
2.- NIVELES DE PROTECCIÓN DE LOS DATOS PERSONALES
Las medidas de seguridad que son aplicables a la Unidad de Transparencia del Institutito Municipal de la Mujer de Tonalá, Jalisco, deberán considerar el tipo de datos personales que contiene, lo cual determina el nivel de protección requerido, siendo básico o alto, como a continuación se establece:
a) Nivel de protección básico:
Datos de identificación: Nombre, domicilio, teléfono particular, teléfono celular, correo electrónico, estado civil, firma, firma electrónica, RFC, CURP, cartilla militar, lugar de nacimiento, fecha de nacimiento, nacionalidad, edad nombres de familiares, dependientes y beneficiarios, fotografía, costumbres, idioma o lengua entre otros.
b) Nivel de protección Alto:
▪ Datos ideológicos: creencia religiosa, ideología, afiliación política y/o sindical, perteneciente a organizaciones de la sociedad civil y asociaciones religiosas, entre otros.
▪ Características personales: Tipo de sangre, ADN, huella dactilar u otros análogos.
▪ Características físicas: Color de piel, color de iris, color de cabello, señas particulares, estatura, peso, complexión, discapacidades, entre otros.
▪ Vida sexual: Preferencia sexual, hábitos sexuales, entre otros.
▪ Origen: Étnico y racial.
▪ La Unidad de Transparencia, a través de las solicitudes presentadas, debe asegurar de acuerdo con la naturaleza de los datos contenidos en los sistemas de datos personales que custodia, los niveles de protección conforme a su grado de confidencialidad, disponibilidad e integridad.
3.- TIPO DE TRANSMISIONES DE DATOS PERSONALES Y MODALIDADES PARA LA
TRANSMISIÓN.
Se deberán considerar el tipo de transmisión que se pueden llevar a cabo dependiendo de quién sea el destinatario:
a. Intermunicipales. A cualquier municipio que sea necesario derivar una solicitud, presentada ante la Unidad que no sea de su jurisdicción, y que sea dentro de los 125 municipios del Estado de Jalisco.
b. Traslado electrónico: En esta modalidad se transmiten al destinatario los datos personales en archivos electrónicos contenidos en medios de almacenamiento inteligibles sólo mediante el uso de algún correo electrónico que procese su contenido para examinar, modificar o almacenar los datos.
CATÁLOGO DE SISTEMAS DE DATOS PERSONALES
Unidad de Transparencia del Instituto Municipal de la Mujer de Tonalá, Jalisco, responsable: Lic. Erika Alejandrina Gazcón Orozco. Nombramiento: Coordinadora de la Unidad de Transparencia.
Funciones:
La Unidad de Transparencia tendrá las siguientes atribuciones:
1. Auxiliar y orientar al titular que lo requiera con relación al ejercicio del derecho a la protección de datos personales;
2. Gestionar las solicitudes para el ejercicio de los derechos ARCO;
3. Establecer mecanismos para asegurar que los datos personales solo se entreguen a su titular o su representante debidamente acreditados;
4. Informar al titular o su representante el monto de los costos a cubrir por la reproducción y envío de los datos personales, con base en lo establecido en las disposiciones normativas aplicables;
5. Proponer al Comité de Transparencia los procedimientos internos que aseguren y fortalezcan mayor eficiencia en la gestión de las solicitudes para el ejercicio de los derechos ARCO;
6. Aplicar instrumentos de evaluación de calidad sobre la gestión de las solicitudes para el ejercicio de los derechos ARCO;
7. Asesorar al responsable en materia de protección de datos personales en las áreas adscritas;
8. Dar atención y seguimiento a los acuerdos emitidos por el Comité de Transparencia;
9. Avisar al Comité de Transparencia cuando alguna unidad administrativa del responsable se niegue a colaborar en la atención de las solicitudes para el ejercicio de los derechos ARCO, para que éste proceda como corresponda, y en caso de persistir la negativa, lo hará del conocimiento de la autoridad competente para que inicie el procedimiento de responsabilidad respectivo; y
10. Las demás que establezcan otras disposiciones aplicables.
Obligaciones:
1. La Unidad de Transparencia debe revisar que la solicitud para el ejercicio de derechos ARCO cumpla con los requisitos que señala esta Ley, y resolver sobre su admisión dentro de los tres días siguientes a su presentación.
2. Contra la negativa de dar trámite a toda solicitud para el ejercicio de los derechos ARCO o por falta de respuesta del responsable, procederá la interposición del Recurso de Revisión a que se refiere la Ley de Protección de Datos Personales en Posesión de los Sujetos Obligados.
Datos personales contenidos en la Unidad de Transparencia:
La Unidad de Transparencia maneja los siguientes datos personales:
Nombre (opcional), apellidos (opcional), Correo Electrónico, Dirección estos dos últimos si son obligatorios para poder notificar.
Características del lugar donde se resguardan los datos personales:
Estos se encuentran en el Instituto Municipal de la Mujer en Tonalá Jalisco, que se ubica en Pedro Moreno número 85 en la Colonia Tonalá Centro del municipio de Tonalá, Jalisco, específicamente en la Unidad de Transparencia, localizada en la Planta Baja en el pasillo en el escritorio del fondo, la primera oficina mano izquierda, a cargo de la C. Licenciada Erika Alejandrina Gazcón Orozco, quien realiza las funciones de coordinación y seguimiento de las diversas solicitudes presentadas ante esta Unidad.
Dado lo limitado del espacio físico, en este cubículo se encuentra un archivero en color negro con café que contiene 3 cajones con chapa y llave donde se resguardan los expedientes de las resoluciones vigentes. El mobiliario está alejado del consumo de alimentos, sin presencia de plagas, y con una temperatura ambiente media. El archivero permanece bajo llave, mismo que permanece cerrado en días y horas inhábiles. Las llaves están bajo el resguardo del responsable de la UT.
MEDIDAS DE SEGURIDAD IMPLEMENTADAS
a. Transmisiones de datos personales. Si se requiere proporcionar la información física (expediente), únicamente será por escrito y con algún documento que acredite la titularidad de la persona, deberá proporcionar los datos, tales como: Nombre, Domicilio del usuario, Teléfono. Dicha solicitud se registra en la bitácora correspondiente.
b. Resguardo de sistemas de datos personales con soportes electrónicos. Señalar las medidas de seguridad que ha implementado el sujeto obligado para el resguardo de los soportes electrónicos del sistema de manera que evite la alteración, pérdida o acceso no autorizado a los mismos. Señalar en un listado las personas que tienen acceso a los soportes físicos del sistema.
c. Bitácoras para accesos y operación cotidiana. Los datos que se registran en las bitácoras.
d. Registro de incidentes. Los datos que Registra. Si el registro está en soporte físico o en soporte electrónico. Cómo asegura la integridad de dicho registro. Para el caso de soportes electrónicos, quién autoriza la recuperación de datos.
e. Acceso a las instalaciones. I. Seguridad perimetral. Exterior .II. Seguridad perimetral interior (oficina, almacén o bodega para soportes físicos, centro de datos para soportes electrónicos).
f. Actualización de la información contenida en el Sistema. La actualización se realiza de forma periódica y cada vez que se cuenta con nueva información relacionada con el asunto.
g. Procedimientos de respaldo y recuperación de datos. Señalar si realiza respaldos completos, diferenciales o incrementales. El tipo de medios que utiliza para almacenar las copias de seguridad. Cómo y dónde archiva esos medios, Quién es el responsable de realizar estas operaciones (el sujeto obligado o un tercero).
PROCEDIMIENTO PARA EL ACCESO, RECTIFICACIÓN, CANCELACIÓN, Y OPOSICION DEL TRATAMIENTO DE DATOS PERSONALES (ARCO).
Nombre de la persona que se le pueden entregar los datos personales.
Los datos personales sólo podrán ser proporcionados a su titular, a su representante, a la autoridad judicial que funde y motive su solicitud, o a terceros en los términos de la Ley de Protección de Datos Personales en Posesión de Sujetos Obligados. El responsable implementará las medidas razonables pertinentes para que todas las personas, en igualdad de circunstancias, puedan ejercer su derecho a la protección de datos personales.
Procedimiento para el ejercicio de derecho ARCO
La solicitud de ejercicio de derechos ARCO, podrá presentarse ante la Unidad de Transparencia del responsable, por escrito libre, formatos, medios electrónicos, o cualquier otro medio que al efecto establezca el Instituto, en el ámbito de sus respectivas competencias. Si la solicitud para el ejercicio de los derechos ARCO es presentada ante un área distinta a la Unidad de Transparencia, aquella tendrá la obligación de indicar al titular la ubicación física de la Unidad de Transparencia. El responsable deberá dar trámite a toda solicitud para el ejercicio de los derechos ARCO y entregar el acuse de recibo que corresponda. Los medios y procedimientos habilitados por el responsable para atender las solicitudes para el ejercicio de los derechos ARCO, deberán ser de fácil acceso y con la mayor cobertura posible considerando el perfil de los titulares y la forma en que mantienen contacto cotidiano o común con el responsable.
Datos para poder ejercer los derechos ARCO
Cuando el titular ejerza sus derechos ARCO a través de su representante, éste deberá acreditar su identidad y personalidad presentando ante el responsable:
a. Copia simple de la identificación oficial del titular;
b. Identificación oficial del representante; e
c. Instrumento público, o carta poder simple firmada ante dos testigos, o declaración en comparecencia personal del titular.
Requisitos para ejercer el derecho de ARCO
La solicitud debe hacerse en términos respetuosos y no podrán imponerse mayores requisitos que los siguientes:
a. De ser posible, el área responsable que trata los datos personales y ante el cual se presenta la solicitud;
b. Nombre del solicitante titular de la información y del representante, en su caso;
c. Domicilio o cualquier otro medio para recibir notificaciones;
d. Los documentos con los que acredite su identidad y, en su caso, la personalidad e identidad de su representante;
e. La descripción del derecho ARCO que se pretende ejercer, o bien, lo que solicita el titular;
f. Descripción clara y precisa de los datos sobre los que se busca ejercer alguno de los derechos ARCO, salvo que se trate del derecho de acceso; y g. Cualquier otro elemento o documento que facilite la localización de los datos personales, en su caso.
Plazos para los derechos de ARCO
a. El Comité de Transparencia deberá emitir la resolución dentro de los diez días siguientes a la admisión de la solicitud para el ejercicio de los derechos ARCO.
b. El plazo anterior podrá ampliarse por una sola vez hasta por cinco días, cuando así lo justifiquen las circunstancias y siempre y cuando se le notifique al titular dentro del plazo de respuesta.
c. En caso de resultar procedente el ejercicio de los derechos ARCO, el responsable deberá hacerlo efectivo en un plazo que no podrá exceder de cinco días contados a partir del día siguiente en que se haya notificado la respuesta al titular.
ARTÍCULO TRANSITORIO
Único: El presente Documento de Seguridad entrará en vigor al día siguiente de su publicación en el portal de transparencia, con la siguiente página electrónica https://mujer.tonala.gob.mx/, ingresar a CONOCENOS, dar click en CONTACTO, en el encabezado TRANSPARENCIA, LOCALIZAR Documento de Seguridad.