Implementación de las Políticas de Privacidad y

del Sistema de Gestión de Seguridad de Datos Personales.














  1. Diagnostico inicial de la empresa o negocio.
  • Por medio del levantamiento de un test basado en los ejes rectores de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP), conoceremos la situación real y objetiva de su organización, para saber en qué grado o medida cumple con la LFPDPPP.
  • El test de referencia, nos ayuda a identificar los documentos, activos (tangibles o intangibles), políticas, objetivos, riesgos, planes, procesos y procedimientos necesarios para obtener el resultado esperado por la organización (meta).
  • Por motivo del levantamiento test se emite un informe puntual donde se determina el grado de cumplimiento de la LFPDPPP.
  • Una vez rendido el informe, determinamos un plan de trabajo (actividades) a la medida de la organización, para la implementación de las Políticas de Privacidad y del Sistema de Gestión de Seguridad de Datos Personales.
  2. Elaboración e implementación de los Avisos de Privacidad que exige la LFPDPPP.
  • Recomendaciones para la elaboración, diseño y difusión de los avisos de privacidad.
  • Previsión de todos y cada uno de los tipos de avisos de privacidad que exige la LFPDPPP, lo que permitirá que cada organización cumpla de manera integral la normatividad aplicable.
  • Asesoría personalizada para la redacción de los avisos de privacidad, así como su forma de implementación al interior de la organización.
  • Nuestro sistema de generación de avisos de privacidad al estar basado en guías (formas o plantillas de selección o marcado), permite que los avisos de privacidad sean robustos, lícitos, confiables, fáciles de entender, y sobre todo, fáciles y rápidos para elaborarse.
  • Con la basta experiencia (casos prácticos) con la que contamos en la generación de avisos de privacidad, nos permite tener identificadas (preseleccionadas o preidentificadas) diversas opciones de: finalidades principales, finalidades secundarias; clases (clasificación) de Datos Personales; tipo, categoría o sector de actividad a quienes se transfieren Datos Personales por su organización; lo que permitirá la eficiencia y eficacia en la elaboración de los avisos de privacidad, además de que los mismos sean lícitos, legales y completos.
  • Al terminar la elaboración de los avisos de privacidad, entregamos un manual para uso e instalación de los mismos, en el cual se explica la funcionalidad de cada uno de éstos, de tal manera que cualquier persona aun no siendo experta en la materia de Protección de Datos Personales, pueda comprender para qué sirven y como se deben de usar los avisos de privacidad.
  3. Capacitación, entrenamiento y asistencia al Oficial de Datos Personales.
  • Capacitación, entrenamiento y asistencia de manera personalizada o vía remota al Oficial de Datos Personales para el cumplimiento de la normatividad en materia de Protección de Datos Personales.
  • Proyección de videos al Oficial de Datos Personales relacionados con la materia de protección de Datos Personales.
  • Explicación de las funciones y obligaciones que tiene a su cargo el Oficial de Datos Personales relacionadas con la materia de Protección de Datos Personales.
  • Entrega y explicación de los instrumentos o documentos legales al Oficial de Datos Personales para facilitar el cumplimiento de la normatividad en materia de Protección de Datos Personales.
  • Entrega y explicación de diversos documentos controlado que están relacionados con el puesto y la figura del Oficial de Datos Personales.
  • Aplicación de evaluaciones o exámenes al Oficial de Datos Personales para verificar el nivel de conocimiento y habilidad del manejo de la materia de Protección de Datos Personales.
  4. Instrumentación y substanciación de los derechos ARCO (Acceso, Rectificación, Cancelación y Oposición).
  • Asesoría personalizada a los departamentos o áreas correspondientes para la atención de las solicitudes de derechos ARCO.
  • Previsión y explicación de las generalidades de los derechos ARCO, como son entre otras: plazo para ejercer los derechos ARCO; requisitos de la solicitud de derechos ARCO; documentación e información que se debe acompañar a la solicitud de derechos ARCO; registro de solicitudes ARCO; requerimiento de información adicional; personas facultadas para el ejercicio de los derechos; servicios de atención al público o reclamaciones; particularidades del derecho de Acceso; obligación de cumplimiento en el derecho de acceso; medios para el ejercicio de los derechos ARCO; particularidades del derecho de Rectificación; requisitos adicionales para el derecho de rectificación; particularidades del derecho de Cancelación; particularidades del derecho de Oposición; plazo para respuesta por ejercicio de derechos ARCO; plazo adicional para respuesta por ejercicio de derechos ARCO; restricciones al ejercicio de los derechos ARCO; Supuestos de negativa en el ejercicio de derechos ARCO; Costo del ejercicio de los derechos ARCO; respuesta por parte del responsable; acceso a los Datos Personales en sitio; negativa por parte del responsable.
  • Entrega del modelo de solicitud de derechos ARCO.
  • Entrega del instructivo llenado de solicitud de derechos ARCO.
  • Procedimiento para el trámite de solicitudes de Acceso o Rectificación a Datos Personales.
  • Descripción de actividades en el trámite de solicitudes de Acceso o Rectificación a Datos Personales.
  • Diagrama de flujo del trámite de solicitudes de Acceso o Rectificación a Datos Personales.
  • Procedimiento para el trámite de solicitudes de Cancelación u Oposición de Datos Personales.
  • Descripción de actividades en el trámite de solicitudes de Cancelación u Oposición de Datos Personales.
  • Diagrama de flujo del trámite de solicitudes de Cancelación u Oposición de Datos Personales.
  • Lineamientos para la Gestión de Solicitudes de Derechos ARCO.
  5. Asesoría para la implementación de las Medidas de Seguridad Administrativas.
  • Implementación y desarrollo de las medidas de tipo jurídico, materializadas en documentos o instrumentos legales (normas, contratos, cláusulas, etc.) necesarias, que deberá adoptar el responsable del tratamiento de los Datos Personales (empresa) y, en su caso, el encargado del tratamiento para garantizar la seguridad de los Datos Personales y/o proteger los mismos contra daño, pérdida, alteración, destrucción o el uso, acceso no autorizado o tratamiento no autorizado
  • Clasificación de Datos Personales.
  • Identificación de tipos de datos y de nivel de riesgo inherente.
  • Análisis de riesgos de Datos Personales (amenazas que atenten contra los Datos Personales).
  • Papeles de trabajo o guía para realizar análisis de riesgos de Datos Personales.
  • Control de acceso a bases de Datos Personales.
  • Determinación de las funciones y obligaciones de las personas que traten Datos Personales.
  • Capacitación al personal que efectúe el tratamiento de Datos Personales.
  • Identificación de vulnerabilidades.
  • Papeles de trabajo o guía para realizar la identificación de vulnerabilidades.
  • Técnicas que mitigan amenazas (terciarias, secundarias y primarias).
  • Registro de incidencias.
  • Formato o plantilla para registro de incidencias.
  • Revisiones o auditorías internas para monitorear y revisar la eficacia y eficiencia del Sistema de Gestión de Seguridad de Datos Personales.
  • Papeles de trabajo o guía para realizar la revisión o auditoría internas para monitorear y revisar la eficacia y eficiencia del Sistema de Gestión de Seguridad de Datos Personales.
  • Lista de medidas administrativas.
  • Formato o plantilla para lista de medidas administrativas.
  • Elaboración y entrega de los instrumentos o documentos legales para facilitar el cumplimiento de la normatividad en materia de Protección de Datos Personales, como son, entre otros: - Modelo de esquemas - Modelo de manuales - Modelo de actas - Modelo de criterios - Modelo de lista - Modelo de acuerdos - Modelo de oficios - Modelo de cartas - Modelo de bitácoras - Modelo de contratos, convenios y acuerdos - Modelo de cláusulas tipo - Modelo de políticas - Modelo del Reglamento Acerca del Manejo al Interior de la Organización de los Datos Personales de los Particulares. - Modelo de normas en materia de seguridad de la información. - Modelo del Manual de políticas y procedimientos para el tratamiento de Datos Personales. - Modelo del Documento de seguridad aplicable a las bases de Datos Personales. - Modelo del Decálogo del Usuario de Datos Personales.
  • Actualizaciones de las medidas de seguridad.
  6. Asesoría para la implementación de las Medidas de Seguridad Físicas.
  • Implementación y desarrollo de las medidas de tipo organizativo u operacional, destinadas a la protección de instalaciones físicas, áreas críticas de la organización, equipos físicos, soportes físicos, sistemas físicos, documentos físicos, dispositivos físicos, armarios, archivadores, equipos móviles, portátiles o de fácil remoción, situados dentro o fuera de las instalaciones, expedientes u otros elementos físicos, para prevenir riesgos por caso fortuito o causas de fuerza mayor; para prevenir el acceso no autorizado, el daño y/o interferencia a éstos; e impedir el acceso o manipulación de la información contenida en éstos.
  • Activos materiales.
  • Entorno físico.
  • Gestión de soportes y documentos.
  • Realización de un inventario de activos (registro de los medios de almacenamiento de los Datos Personales).
  • Papeles de trabajo o guía para realizar inventario de activos (registro de los medios de almacenamiento de los Datos Personales).
  • Localización de activos.
  • Formato o plantilla para llevar un control en la localización de activos.
  • Realización del marcado (números de serie o marcas) de activos.
  • Formato o plantilla para llevar un control sobre el marcado (números de serie o marcas) de activos.
  • Registro de acceso.
  • Lista de medidas para acceso físicos.
  • Formato o plantilla para lista de medidas para acceso físicos.
  7. Asesoría para la implementación de las Medidas Técnicas.
  • Implementación y desarrollo de las medidas de tipo tecnológico, destinadas a proteger los Datos Personales contenidos en soportes electrónicos o digitales, documentos electrónicos o digitales, dispositivos electrónicos o digitales, expedientes electrónicos o digitales u otros elementos electrónicos o digitales, para asegurar que el acceso a las bases de datos lógicas o a la información en formato lógico sea por usuarios identificados y autorizados; el acceso en comento sea únicamente para que el usuario lleve a cabo las actividades que requiere con motivo de sus funciones; y que se permita la identificación y autentificación de las personas o usuarios autorizados para el tratamiento de los Datos Personales de acuerdo con su función.
  • Eliminación de oportunidades.
  • Redundancia.
  • Entorno doméstico.
  • Identificación de usuarios.
  • Autenticación de usuarios.
  • Copias de seguridad (respaldo y recuperación).
  • Delegación de autorizaciones.
  • Régimen de trabajo fuera de los locales de la ubicación de las bases de Datos Personales.
  • Almacenamiento de la información.
  8. Implementación de los procedimientos para la Protección de Datos Personales y la Información y Documentación Valiosa.
  • Diseño y entrega de los siguientes instrumentos para facilitar el cumplimiento de la normatividad en materia de Protección de Datos Personales, como son, entre otros:
    • Procedimientos para Conservación, Bloqueo y Supresión de los Datos Personales.
    • Procedimiento de Resguardo de Sistemas de Datos Personales.
    • Procedimiento de Control, Registro de Asignación y Baja de los Equipos de Cómputo.
    • Procedimiento de Auditoria y Rastreabilidad de Operaciones.
    • Procedimiento de Notificación, Gestión y Respuesta ante Incidentes.
    • Procedimiento para el Control de Asignación de Claves de Acceso a Computadoras.
    • Procedimiento para determinar el Probable Incumplimiento a la LFPDPPP.
    • Procedimiento Disciplinario en caso de incumplimiento de la LFPDPPP.
    • Procedimiento para la Contratación e Integración de Expedientes de Personal.
    • Procedimiento para Recursos Humanos para el Reclutamiento y Selección de Personal.
    • Procedimiento para la Contratación de Prestadores de Servicios.
    • Procedimiento para la Baja del Personal y de los Prestadores de Servicios.
    • Procedimiento de Eliminación o Destrucción de Medios donde se Contengan Datos Personales.
    • Procedimiento de reutilización de documentación donde se contenga Datos Personales.