El Pleno de la Comisión de Transparencia y Acceso a la Información del Estado de Nuevo León (COTAI) ordenó, en el 12ª. Sesión Ordinaria, ordenó al Municipio de García el emitir un aviso de privacidad específico para los casos de reportes, quejas o denuncias ciudadanas, en los que deberá especificar las finalidades del tratamiento a los que someterá los datos personales.
Encabezaron la sesión, el comisionado presidente, Bernardo Sierra Gómez, así como las y los Comisionados Vocales, María Teresa Treviño Fernández, María de los Ángeles Guzmán García, Jorge Alberto Ylizaliturri Guerrero y Francisco Guajardo Martínez.
El Comisionado Presidente explicó que mediante un oficio el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Dato Personales (INAI) remitió una denuncia de un particular por un supuesto indebido tratamiento de datos personales por diversas áreas del Municipio de García.
“La COTAI inició una investigación en contra del municipio, el Sistema Municipal para el Desarrollo Integral de la Familia (DIF de García) y su Dirección de Comercio”, dijo Sierra Gómez.
“Después de diversos requerimientos y al contar con elementos se presumió que el DIF de García incurrió en acciones u omisiones que constituyen un probable incumplimiento a la Ley de Protección de Datos Personales en Posesión de Sujetos Obligados del Estado de Nuevo León se inició un Procedimiento de Verificación”.
Finalmente, agregó, se concluyó que no se acreditaba la comunicación de los datos personales del denunciante a una tercera persona por parte del DIF de García.
“Sin embargo se encontró que incumple con los principios de información y responsabilidad, así como con los deberes de seguridad y confidencialidad establecidos en ley”, mencionó.
“El motivo era que utiliza un aviso de privacidad que no informa el fin para el cual se utilizaran los datos personales recabados para atender reportes, quejas y denuncias ciudadanas, no acredita las medidas físicas, técnicas o administrativas
para garantizar su debida protección y por no contar con mecanismos para el debido tratamiento al interior del DIF de García”.
El Pleno aprobó que el sujeto obligado emita un aviso de privacidad específicamente para el levantamiento de reportes, quejas o denuncias ciudadanas, en el que se establezcan las finalidades del tratamiento de los datos y cumpliendo con lo que establece la ley estatal y en base a los lineamientos en la materia aprobados por la COTAI en el mes de agosto del 2020.
“Este aviso de privacidad debe ponerse a disposición del ciudadano de manera directa cuando se atiendan reportes, quejas o denuncias ciudadanas y en su portal oficial de internet en un apartado especial llamado “Avisos de Privacidad” y deberá ser de fácil acceso para la sociedad”, agregó.
También se le instruyó a que implemente mecanismos para asegurar el cumplimiento de principios, deberes y obligaciones que establece la ley en la materia y deberá remitir a la COTAI copia certificada de las políticas y programas de protección de datos personales, el sistema de supervisión y vigilancia interna y externa para comprobar el cumplimiento de sus políticas y el procedimiento para recibir y responder dudas y quejas de los titulares sobre la protección de datos personales.
“En relación al deber de confidencialidad se le instruyó que deberá establecer controles o mecanismos mediante los cuales todas las personas que intervengan en el tratamiento de datos personales que obran en su poder, eviten comunicar los mismos, y verifique que empleados o encargados, guarden confidencialidad de los datos personales tratados; obligación que continuará aún después de que finalice la relación con el sujeto obligado”, explicó.
Además, deberá establecer medidas de seguridad administrativas, físicas y técnicas que garanticen la protección contra daño pérdida, alteración, destrucción o su uso, acceso o tratamiento no autorizado de los datos personales.
“Deberá remitir a esta Comisión los documentos en donde dé cumplimiento a las medidas sobre los principios de información y responsabilidad, así como a los deberes de confidencialidad y seguridad, para los cuales tiene un plazo de 10 días hábiles, contados a partir del día hábil siguiente a que fue notificado”.
