PROCEDIMIENTO PARA LA CREACIÓN, MODIFICACIÓN, SUPRESIÓN Y ACTUALIZACIÓN DE LOS SISTEMAS Y BASES DE DATOS PERSONALES DEL INSTITUTO ELECTORAL DEL ESTADO DE MÉXICO PROCEDIMIENTO PARA LA CREACIÓN, MODIFICACIÓN, SUPRESIÓN Y ACTUALIZACIÓN DE LOS SISTEMAS Y BASES DE DATOS PERSONALES DEL INSTITUTO ELECTORAL DEL ESTADO DE MÉXICO ÍNDICE Página: I. Presentación……………………………………………………………… 1 II. Objetivos generales…………………………………………………….. 2 III. Marco legal………………………………………………………………. 2 IV. Glosario………………………………………………………………….. 3 V. Procedimiento…………………………………………………………… 6 Apartado I. De la creación de Sistemas y/o Bases de Datos Personales………………………………………………………. 6 Apartado II. De la modificación de Sistemas y/o Bases de Datos Personales ……………………………………………………… 7 Apartado III. De la supresión de Sistemas y/o Bases de Datos Personales………………………………………………. 9 Apartado IV. De la actualización de Sistemas y/o Bases de Datos Personales……………………………………………… 10 Anexos ……………………………………………………………………… 12 I. Presentación. Derivado del cúmulo de datos personales que recaban las áreas del Instituto Electoral del Estado de México como sujeto obligado, en cumplimiento a las funciones y atribuciones que la normatividad aplicable les confiere, la Unidad de Transparencia se ve en la necesidad de implementar las acciones conducentes para garantizar una mayor eficacia en el tratamiento de los datos que llevan a cabo las áreas, acorde a sus finalidades, funciones y atribuciones descritas en la normatividad aplicable. Por esta razón, y de conformidad con los artículos 35, 36 y 37 de la Ley de Protección de Datos Personales en Posesión de Sujetos Obligados del Estado de México y Municipios, dicha Unidad propone al Comité de Transparencia el Procedimiento para la Creación, Modificación, Supresión y Actualización de los Sistemas y Bases de Datos Personales del Instituto Electoral del Estado de México. Este documento permitirá que las áreas conozcan y ejecuten el procedimiento para la creación, modificación, supresión y actualización de los sistemas y bases de datos personales. Para el desarrollo del procedimiento señalado, la Unidad de Transparencia orientará y acompañará en todo momento a las áreas que administren datos personales e instrumentará conforme al programa anual de actividades o a las necesidades institucionales, las capacitaciones que se requieran a las áreas administradoras, para atender de manera eficiente la actualización de los sistemas o bases de datos personales que recaban. II. Objetivo general • Establecer el procedimiento para la creación, modificación, supresión y actualización de los sistemas y/o bases de datos personales que administran las áreas, conforme a la Ley de Protección de Datos Personales en Posesión de Sujetos Obligados del Estado de México y Municipios. Objetivos específicos • Precisar los pasos a seguir para llenar de manera correcta la cédula de creación, modificación, actualización y supresión de los sistemas y/o bases de datos personales. • Colaborar con las áreas administradoras del Instituto Electoral del Estado de México para determinar, a través del Comité de Transparencia, la creación, modificación o supresión de sistemas y bases de datos personales, conforme a su respectivo ámbito de competencia, el análisis de los datos personales que recaban, su clasificación en confidenciales, precisando los que tengan carácter no confidencial y, de esa manera, poder elaborar las versiones públicas cuando corresponda. III. Marco legal En la Ley de Protección de Datos Personales en Posesión de Sujetos Obligados del Estado de México y Municipios se establece que: Sistemas de Datos Personales Artículo 35. Corresponde a cada sujeto obligado determinar, a través de su titular, órgano competente o Comité de Transparencia, la creación, modificación o supresión de sistemas y bases de datos personales, conforme a su respectivo ámbito de competencia. De manera conjunta con la creación del sistema de datos personales, deberá emitirse el acuerdo que los clasifique con carácter confidencial, precisando además los datos que tienen el carácter no confidencial, acuerdo que deberá cumplir con lo dispuesto por la Ley de Transparencia. El acuerdo de clasificación al que hace referencia el presente párrafo servirá de soporte para la emisión de versiones públicas, sólo podrá ser modificado con motivo de acciones correctivas y preventivas a propuesta del administrador. Tratamiento de los Sistemas de Datos Personales Artículo 36. La integración, tratamiento y tutela de los sistemas de datos personales se regirán por las disposiciones siguientes: I. Cada sujeto obligado deberá informar al Instituto sobre la creación, modificación o supresión de sus sistemas de datos personales. II. En caso de creación o modificación de sistemas de datos personales, se incluirá en el registro, los datos previstos la presente Ley. III. En las disposiciones que se dicten para la supresión de los sistemas de datos personales, se establecerá el destino de los datos contenidos en los mismos o, en su caso, las previsiones que se adopten para su destrucción. IV. De la destrucción de los datos personales podrán ser excluidos aquellos que, con finalidades estadísticas o históricas, sean previamente sometidos al procedimiento de disociación. El registro de Sistemas de Datos Personales deberá realizarse a más tardar dentro de los seis meses siguientes al inicio del tratamiento por parte del responsable. Registro de Sistemas de Datos Personales Artículo 37. Los sujetos obligados registrarán ante el Instituto los sistemas de datos personales que posean. El registro deberá indicar por lo menos los datos siguientes: I. El sujeto obligado que tiene a su cargo el sistema de datos personales. II. La denominación del sistema de datos personales, la base de datos y el tipo de datos personales objeto de tratamiento. III. El nombre y cargo del administrador, así como el área o unidad administrativa a la que se encuentra adscrito. IV. El nombre y cargo del encargado. V. La normatividad aplicable que dé fundamento al tratamiento en términos de los principios de finalidad y licitud. VI. La finalidad del tratamiento. VII. El origen, la forma de recolección y actualización de datos. VIII. Datos transferidos, lugar de destino e identidad de los destinatarios, en el caso de que se registren transferencias. IX. El modo de interrelacionar la información registrada, o en su caso, la trazabilidad de los datos en el sistema de datos personales. X. El domicilio de la Unidad de Transparencia, así como de las áreas o unidades administrativas ante las que podrán ejercitarse de manera directa los derechos ARCO. XI. El tiempo de conservación de los datos. XII. El nivel de seguridad. XIII. En caso de que se hubiera presentado una violación de la seguridad de los datos personales se indicará la fecha de ocurrencia, la de detección y la de atención. Dicha información deberá permanecer en el registro un año calendario posterior a la fecha de su atención. Dicha información será publicada en el portal informativo del Instituto y se actualizará por la Unidad de Transparencia en el primer y séptimo mes de cada año. IV. Glosario Administrador o administradora: a la servidora o el servidor público o persona física facultada y nombrada por el Instituto Electoral del Estado de México para llevar a cabo tratamiento de datos personales, y que tiene bajo su responsabilidad los sistemas y bases de datos personales. Archivos: al conjunto de documentos en cualquier soporte, producidos o recibidos por el Instituto Electoral del Estado de México en el ejercicio de sus atribuciones o desarrollo de sus actividades. Áreas: unidades administrativas del Instituto Electoral del Estado de México que cuenten o puedan contar, dar tratamiento y ser responsables o encargados, usuarias o usuarios de los sistemas y bases de datos personales previstos en las disposiciones legales aplicables. Aviso de Privacidad: al documento físico, electrónico o en cualquier formato generado por el Instituto Electoral del Estado de México que es puesto a disposición del Titular con el objeto de informarle los propósitos del tratamiento al que serán sometidos sus datos personales. Base de Datos: al conjunto de archivos, registros, ficheros, condicionados a criterios determinados con independencia de la forma o modalidad de su creación, tipo de soporte, procesamiento, almacenamiento, organización y acceso. CEEM: Código Electoral del Estado de México. Comité: Comité de Transparencia del Instituto Electoral del Estado de México. Datos personales: a la información concerniente a una persona física o jurídica colectiva identificada o identificable, establecida en cualquier formato o modalidad, y que esté almacenada en los sistemas y bases de datos; se considerará que una persona es identificable cuando su identidad pueda determinarse directa o indirectamente a través de cualquier documento informativo físico o electrónico. Derechos ARCO: a los derechos de Acceso, Rectificación, Cancelación y Oposición al tratamiento de datos personales. Destinatario: a la persona física o jurídica colectiva pública o privada a quien el responsable transfiere datos personales. Días: a los días hábiles. Disociación: al procedimiento por el que los datos personales no pueden asociarse a la o el titular, ni permitir por su estructura, contenido o grado de desagregación, la identificación individual del mismo. Documentos: a los expedientes, reportes, estudios, actas, resoluciones, oficios, correspondencia, acuerdos, directivas, directrices, circulares, convenios, contratos, instructivos, notas, memorándums, estadísticas, o bien, cualquier otro registro que documente el ejercicio de las facultades o la actividad de los sujetos obligados y sus servidores públicos, sin importar su fuente o fecha de elaboración. Los documentos podrán estar en formato escrito, sonoro, visual, electrónico, informático, holográfico o de tecnología de información existente. Documento de seguridad: al instrumento que describe y da cuenta de manera general sobre las medidas de seguridad técnicas, físicas y administrativas adoptadas por el Instituto Electoral del Estado de México para garantizar la confidencialidad, integridad y disponibilidad de la información contenida en los sistemas y bases de datos personales. Encargado o encargada: a la persona física o jurídica colectiva, pública o privada, ajena a la organización del Instituto Electoral del Estado de México, que sola o conjuntamente con otras trate datos personales. Grupo interdisciplinario: El conjunto de personas integrado por el titular del Área Coordinadora de Archivos; de la Unidad de Transparencia, de la Contraloría General, de la Dirección Jurídico Consultiva y de la Unidad de Informática y Estadística; con la finalidad de participar en la valoración documental. IEEM: Instituto Electoral del Estado de México. INFOEM: al Instituto de Transparencia, Acceso a la Información Pública y Protección de Datos Personales del Estado de México y Municipios. INTRANET: Red informática del INFOEM en la que se registran y actualizan los sistemas de datos personales. Ley de Datos del Estado: a la Ley de Protección de Datos Personales en Posesión de Sujetos Obligados del Estado de México y Municipios. Ley de Transparencia del Estado: a la Ley de Transparencia y Acceso a la Información Pública del Estado de México y Municipios. Manual de Organización: Manual de Organización del Instituto Electoral del Estado de México. Medidas de seguridad: a las acciones, actividades, controles o mecanismos administrativos, técnicos y físicos que permitan proteger los datos personales. Reglamento de Transparencia: Reglamento de Transparencia, Acceso a la Información Pública y Protección de Datos Personales del Instituto Electoral del Estado de México. Reglamento interno: Reglamento interno del Instituto Electoral del Estado de México. Responsable: Instituto Electoral del Estado de México. Sistema de datos personales: a los datos personales contenidos en los archivos del Instituto Electoral del Estado de México que pueden comprender el tratamiento de una o diversas bases de datos para el cumplimiento de una o diversas finalidades. Supresión: a la baja archivística de los datos personales, que resulte en la eliminación, borrado o destrucción de los datos personales bajo las medidas de seguridad previamente establecidas por el Instituto Electoral del Estado de México. Tercero/a: a la persona física o jurídica colectiva, autoridad pública, servicio u organismo distinto de la o el titular, responsable, encargado, usuaria o usuario, destinataria o destinatario y las personas autorizadas para tratar los datos personales. Titular de los datos: a la persona física o jurídica colectiva que corresponden los datos personales que sean objeto de tratamiento. Transferencia: a la comunicación de datos personales dentro o fuera del territorio mexicano, realizada a persona distinta de la o el titular, responsable o encargado. Tratamiento: a las operaciones efectuadas por los procedimientos manuales o automatizados aplicados a los datos personales, relacionadas con la obtención, uso, registro, organización, conservación, elaboración, utilización, comunicación, difusión, almacenamiento, posesión, acceso, manejo, aprovechamiento, divulgación, transferencia o disposición de datos personales. Unidad de Transparencia: Unidad de Transparencia del Instituto Electoral del Estado de México. Usuarias o Usuarios: a las servidoras y los servidores públicos o personas físicas autorizadas para tratar los datos personales, distintos al Instituto Electoral del Estado de México, al encargado y al administrador de los datos. V. Procedimiento APARTADO I. De la creación de sistemas y bases de datos personales Cuando las áreas recaben datos personales con el objeto de dar cumplimiento a las atribuciones legales que el CEEM, el Manual de Organización, el Reglamento Interno y las demás disposiciones normativas aplicables les confieren: 1. Deberán solicitar a la Unidad de Transparencia, mediante oficio y a través de sus titulares, la creación del sistema y/o base de datos personales, así como la clasificación de los datos que sean objeto de tratamiento, precisando los que tienen el carácter de no confidenciales conforme al anexo 1, por lo menos con cinco días hábiles de anticipación a la implementación del sistema y/o base de datos personales, de conformidad con lo establecido en el artículo 76 del Reglamento de Transparencia. Cuando se solicite la creación de una base de datos personales, se deberá especificar el sistema de datos personales al que se incorporará. A la solicitud señalada, se deberán adjuntar las propuestas de avisos de privacidad integral y simplificado en archivo Word, conforme a los formatos y guía aprobados por el Comité para que sean publicados en el portal de Transparencia y Acceso a la Información, acompañados con el formato, formulario, documento o medio por el cual se recabarán los datos personales. Cuando las propuestas de avisos de privacidad se encuentren acordes con la cédula, los formatos aprobados por el Comité y la Ley de Datos Personales del Estado, la Unidad de Transparencia informará al área, mediante oficio, lo conducente para que proceda a su utilización. En caso de que existieran observaciones, estas serán remitidas al área para que, una vez impactadas, se remitan los avisos de privacidad corregidos a la Unidad de Transparencia para su validación y publicación. 2. Recibida la solicitud, la Unidad de Transparencia procederá a realizar su revisión y elaborará el proyecto de acuerdo por el que se crea el sistema y/o base de datos personales y se clasifican como confidenciales los datos personales contenidos en el mismo. Cuando se vaya a crear una base de datos, se deberá puntualizar a cuál sistema de datos personales se incorporará. En caso de que la Unidad de Transparencia detecte inconsistencias, realizará los ajustes necesarios en el proyecto de acuerdo respectivo. 3. La Unidad de Transparencia someterá a consideración del Comité el proyecto de acuerdo, para que, en su caso, apruebe la creación del sistema y/o bases de datos personales y la clasificación de los datos personales que serán objeto de tratamiento como confidenciales, conforme al primer párrafo del artículo 35 de la Ley de Datos Personales del Estado. Si se realizaron ajustes a la cédula de creación del sistema y/o base de datos mediante el acuerdo emitido por el Comité, las áreas deberán remitir a la Unidad de Transparencia nuevamente la documentación con las modificaciones precisadas, en un plazo no mayor a los cinco días hábiles siguientes a la notificación del acuerdo. 4. Para dar cumplimiento al artículo 48 de la Ley de Datos Personales del Estado, aprobada la creación del sistema de datos personales, las áreas deberán remitir a la Unidad de Transparencia el documento de seguridad correspondiente, para su revisión y posterior aprobación por el Comité. 5. Conforme a la fracción I y el último párrafo del artículo 36 de la Ley de Datos Personales del Estado, una vez aprobado el acuerdo y, en su caso, remitida la cédula del sistema de datos personales con los ajustes correspondientes, la Unidad de Transparencia informará al INFOEM sobre la creación del sistema de datos personales y realizará su registro en el sistema electrónico INTRANET a más tardar dentro de los diez días hábiles siguientes. APARTADO II. De la modificación de sistemas y bases de datos personales 1. La modificación a los sistemas y/o bases de datos personales se realizará cuando las áreas realicen ajustes al tratamiento de datos personales con motivo de acciones correctivas y preventivas respecto de: a) La denominación del sistema y/o base de datos personales; b) El tipo de datos personales que se recaban; c) El área a la cual corresponderá el sistema y/o base de datos personales; d) A las o los encargados; e) La normatividad aplicable que da fundamento al tratamiento de los datos personales; f) Las finalidades del tratamiento; g) El uso, origen, forma de recolección, actualización y tiempo de conservación de los datos; h) El modo de interrelacionar la información registrada, o en su caso, la trazabilidad de los datos; i) El nivel de seguridad (básico, medio, alto); j) Las condiciones de las transferencias; 2, Las y los titulares de las áreas deberán solicitar, mediante oficio, a la Unidad de Transparencia, la modificación del sistema y/o base de datos personales, señalando los apartados de la cédula de creación que serán objeto de modificación, de acuerdo con los supuestos previstos en el numeral anterior, conforme al anexo 2. En caso de que haya ajustes en el tipo de datos objeto de tratamiento, las áreas señalarán los datos que serán adicionados especificando los datos confidenciales y los que no tienen el carácter de confidencial en la cédula de modificación del sistema y/o base de datos personales. A la solicitud señalada, se deberán adjuntar las propuestas de avisos de privacidad integral y simplificado en archivo Word, conforme a los formatos y guía aprobados por el Comité, para que sean publicados en el portal de Transparencia y Acceso a la Información, acompañados del formato, formulario, documento o medio por el cual se recabarán los datos personales. Cuando las propuestas de avisos de privacidad se encuentren acordes con la cédula, los formatos aprobados por el Comité y la Ley de Datos Personales del Estado, la Unidad de Transparencia informará al área, mediante oficio, lo conducente para que proceda a su utilización. En caso de que existieran observaciones estas serán remitidas al área para que, una vez impactadas se remitan los avisos de privacidad corregidos a la Unidad de Transparencia para su validación y publicación. 3. Una vez recibida la solicitud, la Unidad de Transparencia procederá a realizar su revisión y elaborará el proyecto de acuerdo por el que se modifica el sistema y/o base de datos personales. En caso de que la Unidad de Transparencia detecte inconsistencias, realizará los ajustes necesarios en el proyecto de acuerdo respectivo. Asimismo, en el caso de que el área incluya en su solicitud de modificación nuevos datos personales que serán objeto de tratamiento de los cuales no se haya analizado su clasificación en el Acuerdo de creación del sistema y/o base de datos personales, dichos datos serán analizados por la Unidad de Transparencia en el Acuerdo por el cual se realice la modificación. 4. La Unidad de Transparencia someterá a consideración del Comité el proyecto de acuerdo, para que, en su caso, apruebe la modificación del sistema y/o bases de datos personales, conforme al primer párrafo del artículo 35 de la Ley de Datos Personales del Estado. Si se realizaron ajustes a la cédula de modificación del sistema y/o base de datos mediante el acuerdo emitido por el Comité, las áreas deberán remitir a la Unidad de Transparencia nuevamente la documentación con los ajustes precisados, en un plazo no mayor a cinco días hábiles siguientes a la notificación del acuerdo. 5. Aprobada la modificación del sistema de datos personales y/o base de datos personales, las áreas deberán remitir a la Unidad de Transparencia el documento de seguridad correspondiente, para su revisión y posterior aprobación por el Comité de Transparencia. 6. Una vez aprobado el acuerdo y remitido en su caso el formato de modificación del sistema de datos personales con los ajustes correspondientes, la Unidad de Transparencia informará al INFOEM sobre la modificación del sistema a más tardar dentro de los diez días hábiles siguientes. APARTADO III. De la supresión de sistemas o bases de datos personales 1. Cuando los datos personales dejen de ser necesarios para las finalidades que fueron recabados y haya concluido su plazo de conservación establecido por los instrumentos de control archivísticos y la normatividad específica aplicable, las áreas podrán solicitar a la Unidad de Transparencia la supresión de los sistemas y/o bases de datos personales o datos personales contenidos en los mismos a la Unidad de Transparencia. 2. Quienes sean titulares de las áreas determinarán la técnica que utilizarán para el borrado seguro de los sistemas y bases de datos personales, o bien, de datos personales contenidos en los mismos, dependiendo el tipo de soporte (físico o electrónico) en el que se encuentran contenidos, para lo cual podrán tomar en consideración las “Recomendaciones Generales para el Borrado Seguro de Datos Personales”, aprobadas por el Comité. 3. Las áreas serán responsables del destino de los datos personales y de las previsiones que se adopten para su destrucción. De la citada destrucción de los datos personales podrán ser excluidos aquellos que, con finalidades estadísticas o históricas, sean previamente sometidos al procedimiento de disociación. La supresión de sistemas y/o bases de datos personales no procederá en caso de que exista una previsión expresa en una Ley o demás normatividad aplicable, o bien, cuando su plazo de conservación contenido en los instrumentos de control archivístico y vigencia documental no haya fenecido. 4. De manera previa a la solicitud de supresión ante la Unidad de Transparencia, quienes sean titulares de las áreas deberán requerir la valoración de la Contraloría General, el Área Coordinadora de Archivos, la Dirección Jurídico Consultiva y, en caso de que el soporte que los contenga sea electrónico, también deberán contar con la valoración de la Unidad de Informática y Estadística, de conformidad con el artículo 77 del Reglamento de Transparencia. Asimismo, quienes sean titulares de las áreas solicitarán del grupo interdisciplinario la valoración documental de la supresión de sistemas y bases de datos personales, o bien, de datos personales contenidos en los mismos. 5. Quienes sean titulares de las áreas solicitarán, mediante oficio, a la Unidad de Transparencia, la supresión de sistemas y bases de datos personales, o bien, de datos personales contenidos en los mismos, de conformidad con el artículo 76 del Reglamento de Transparencia, para lo cual adjuntarán a la solicitud de supresión la cédula (anexo 3), así como las valoraciones de las áreas y del grupo interdisciplinario señaladas en el numeral anterior. 6. La Unidad de Transparencia elaborará el proyecto de acuerdo de supresión de los sistemas y bases de datos personales o de datos personales contenidos en los mismos, lo cual será sometido a consideración del Comité, de acuerdo al artículo 78 del Reglamento de Transparencia. En caso de que la Unidad de Transparencia detecte inconsistencias, realizará los ajustes necesarios en el proyecto de acuerdo respectivo. 7. La Unidad de Transparencia someterá a consideración del Comité el proyecto de acuerdo, para que, en su caso, apruebe la supresión del sistema y/o bases de datos personales, conforme al primer párrafo del artículo 35 de la Ley de Datos Personales del Estado. Si se realizaron ajustes a la cédula de supresión del sistema y/o base de datos mediante el acuerdo emitido por el Comité, las áreas deberán remitir a la Unidad de Transparencia nuevamente la documentación con los ajustes precisados, en un plazo no mayor a cinco días hábiles siguientes a la notificación del acuerdo. 8. Las áreas serán las responsables de instrumentar operativamente la supresión y cancelación del sistema y /o base de datos personales, o bien, de datos personales contenidos en los mismos, para lo cual notificarán a la Unidad de Transparencia, Contraloría General, el Área Coordinadora de Archivos, la Dirección Jurídico Consultiva y, en su caso, a la Unidad de Informática y Estadística, mediante oficio, el lugar, día y hora en que tendrá verificativo la destrucción. 9. La Unidad de Transparencia a través del oficial de protección de datos levantará acta circunstanciada de la destrucción, en la que el personal de cada una de las áreas señaladas y el propio oficial de protección de datos personales firmarán de asistencia. 10. La Unidad de Transparencia informará al INFOEM la supresión del sistema y/o base de datos personales para que dicho Órgano Garante realice la cancelación del registro en el sistema electrónico correspondiente, lo anterior, con fundamento en el artículo 36 fracción I de la Ley de Datos Personales del Estado. 11. Las solicitudes de creación, modificación y supresión de sistemas y/o bases de datos personales no estará sujeta a temporalidad alguna y podrá realizarse por las áreas en cualquier momento, conforme a las atribuciones que las disposiciones normativas les confieren. APARTADO IV. De la actualización de sistemas y/o bases de datos personales 1. La Unidad de Transparencia, en el mes de mayo y noviembre de cada año, solicitará mediante oficio la actualización de los sistemas y/o bases de datos personales que tengan bajo su administración las áreas, para ello remitirá junto con el oficio a cada una de ellas, la cédula registrada en el INTRANET del INFOEM de acuerdo con la última actualización. 2. Las áreas, a más tardar dentro del término de diez días hábiles a la notificación del oficio, se pronunciarán sobre la actualización de los sistemas y/o bases de datos personales bajo su administración, especificando los datos contenidos en la cédula que sea motivo de actualización (anexo 4). 3. En caso de que los sistemas y bases de datos sean actualizados sin ninguna adecuación, el área lo hará del conocimiento de la Unidad de Transparencia por escrito dentro del término de diez días hábiles a la notificación del oficio por el que se solicita su actualización. 4. La actualización de los sistemas y/o bases de datos personales, se realizará: • Cuando los ajustes no incidan en el tratamiento de datos personales, conforme a los siguientes supuestos: a) Cambio en el nombre y cargo del administrador(a) del sistema y/o base de datos personales; b) Cambio de usuarios y servidores públicos con acceso al sistema y/o base de datos; c) Cambio en el tipo de soporte; d) Cambio en los datos técnicos; e) Cambio en los datos de resguardo. • Cuando el Comité previamente haya aprobado mediante Acuerdo la modificación del sistema y/o base de datos personales en los supuestos establecidos en el numeral 1 apartado II. 5. En las actualizaciones realizadas, las áreas se abstendrán de modificar el tratamiento de datos personales. 6. En caso de que las áreas requieran modificar el tratamiento de datos personales, adicionalmente a la actualización deberán realizar su solicitud de modificación en términos del apartado II del presente procedimiento. 7. En la cédula, las áreas (anexo 4) deberán requisitar todos aquellos apartados que sean objeto de actualización conforme al numeral 4 de este apartado, así como los que no se encuentran contenidos en la cédula del INTRANET, pero que en términos del artículo 37, último párrafo, de la Ley de Protección de Datos del Estado deben ser actualizados. En caso de que durante el periodo transcurrido entre el primer y séptimo mes de cada año los sistemas y/o bases de datos personales hayan sido objeto de modificación mediante Acuerdo aprobado por el Comité, las áreas deberán actualizar la cédula conforme a lo aprobado. 8. La Unidad de Transparencia analizará las solicitudes de actualización que realicen las áreas. Si derivado del análisis y revisión encuentra inconsistencias, remitirá mediante oficio, en un plazo no mayor a 3 días hábiles, las observaciones para que las áreas las subsanen. Una vez recibidas las observaciones, las áreas deberán remitir, en un plazo no mayor a 3 días hábiles, su oficio de respuesta con las adecuaciones realizadas por la Unidad de Transparencia. 9. La actualización de los sistemas y/o bases de datos en administración de las áreas deberán ser coincidentes con el contenido de los avisos de privacidad, integral y simplificado y documentos de seguridad que les correspondan, así como con las cédulas de creación y/o modificación según corresponda. 10. En enero y julio de cada año, la Unidad de Transparencia, actualizará los sistemas y/o bases de datos personales registrados en el INTRANET del INFOEM, en términos de lo señalado por las áreas, y de conformidad con lo establecido en el artículo 37 de la Ley de Datos Personales del Estado, informando lo conducente al Comité. Los sistemas y/o bases de datos personales respecto de los cuales las áreas no hayan solicitado ninguna adecuación serán actualizados en esos términos en el INTRANET del INFOEM. ANEXO 1 CÉDULA DE CREACIÓN DEL SISTEMA Y/ O BASE DE DATOS PERSONALES Sujeto Obligado Instituto Electoral del Estado de México Denominación del sistema de datos personales Denominación de la base de datos personales Registrar el nombre completo del sistema de datos En este apartado se debe anotar el nombre de las bases de datos personales que se incorporen a un sistema, en caso contrario, se pondrá la leyenda “No aplica”. Soporte del sistema y/o base de datos Señalar si el sistema y/o base de datos se encuentra en soporte físico, electrónico, o en ambos soportes. Número de servidoras y servidores públicos que tienen acceso al sistema y/o base de datos Especificar el número de servidoras y servidores públicos que acceden al sistema o base de datos con manejo o tratamiento de datos personales. Tipo de datos personales objeto de tratamiento Anotar los datos personales que las áreas recaben. Nombre y cargo de la administradora o administrador Registrar el nombre completo y cargo de la o el titular del área. Área de adscripción Anotar el área a la que se encuentra adscrita la o el titular del área. Nombre y cargo de la encargada o encargado Registrar el nombre y cargo de quien trate datos personales a nombre y por cuenta del responsable. En caso de que en el sistema y/o base de datos personales no haya encargada o encargado, se debe anotar la siguiente leyenda “No aplica”. Normatividad aplicable que dé fundamento al tratamiento en términos de los principios de finalidad y licitud Se debe escribir el fundamento legal que da origen al tratamiento de datos personales. Finalidades del tratamiento Anotar las finalidades principales y secundarias para las cuales se llevará a cabo el tratamiento de los datos personales. Origen de los datos Forma de recolección Actualización de datos Modo de interrelacionar la información registrada, o en su caso, la trazabilidad de los datos en el sistema de datos personales Especificar quienes proporcionan los datos personales. Describir la manera en que se obtienen los datos personales. Anotar el periodo de actualización del sistema y/o base de datos personales. Especificar el ciclo de vida de los datos y la manera en que se realiza el tratamiento de datos desde su origen. Tiempo de conservación de los datos Señalar el tiempo en que el área conservará los datos, para ello tomará en consideración la vigencia y el valor documental, legal, administrativo, fiscal, histórico. Nivel de seguridad Responsable(s) en materia de seguridad Anotar si el nivel de seguridad es básico, medio o alto En caso de que el nivel de seguridad sea medio o alto, anotar los nombres y cargos de las y los responsables en materia de seguridad. Datos personales confidenciales Señalar los datos objeto de tratamiento que sean de carácter confidencial conforme a la Ley de Transparencia del Estado y demás normatividad aplicable. Datos personales no confidenciales Señalar los datos personales objeto de tratamiento que no sean confidenciales y que encuadren en los supuestos de excepción a la confidencialidad que establece la Ley de Transparencia del Estado, CEEM y demás normatividad aplicable al tratamiento de datos. TRANSFERENCIA En caso de que los datos se transfieran a cualquier otra persona física o moral distinta al titular de los datos, se deberá especificar lo siguiente: Tipo de transferencia Señalar si la transferencia es total o parcial de los datos personales. Periodicidad de transferencia (Diaria, semanal, mensual, bimestral, trimestral, semestral, anual, etc.) Indicar en este espacio la periodicidad con la que se trasfieren los datos personales. Fundamento legal para realizar la transferencia Anotar el fundamento legal que sustenta la transferencia de los datos personales a las personas físicas o morales. Finalidad de la transmisión Describir puntualmente la finalidad de la transmisión de los datos personales. Datos transferidos Anotar los datos que serán objeto de transferencia. Lugar de destino e identidad de los destinatarios Nombre de la persona Cargo Nombre del sujeto obligado o razón social DATOS DE RESGUARDO En caso de que el sistema y/o base de datos personales se encuentre en soporte físico, se deberá especificar lo siguiente: Medio de resguardo Escribir el medio utilizado para almacenar la información (por ejemplo, archivero) Oficina en la que se reguarda el sistema de datos personales. Anotar el nombre completo de la oficina que resguardan físicamente los archivos del sistema. Número de registros en el sistema de datos personales Anotar el número de registros con datos personales del sistema y/o base de datos. Describa las medidas de seguridad implementadas para reguardar el sistema de datos físico Describir las acciones o medidas de seguridad implementadas para garantizar la integridad del sistema y/o base de datos, en las instalaciones donde se resguarda la información, desde su acceso hasta su reproducción Nota: Si el sistema y/o base de datos se encuentra únicamente en soporte electrónico, se deberá anotar en todos los rubros de este apartado la leyenda “No aplica”. DATOS TÉCNICOS En caso de que el sistema y/o base de datos personales se encuentre en soporte electrónico, se deberá especificar lo siguiente: Manejador o software utilizados para la administración del sistema En caso de que la base de datos sea de tipo automatizada, anotar el nombre del software o manejador de la base de datos, pudiendo ser Word, Excel, My Sql, Oracle, etc. Sistema operativo en el cual está montada el sistema Para el caso de que la base de datos este asistida por un sistema informático deberá mencionar la plataforma o sistema operativo que utiliza el equipo Número de registros en el sistema Anotar el número de registros con datos personales Tipo del manejador del sistema de datos (monousuario, multiusuario, publicado en web) Elegir, en caso de que el sistema y/o base de datos este asistida por un sistema informático, entre tipo monousuario siendo estos los que sólo puede ser ocupado por un único usuario en un determinado tiempo y multiusuario los cuales puede estar ocupado por varios usuarios al mismo tiempo Número de usuarias y usuarios que acceden al sistema de datos concurrentemente Anotar el número de usuarias y usuarios que acceden a la base de datos concurrentemente para realizar tareas de tratamiento, consulta y uso de los datos personales. Nota: Si el sistema y/o base de datos se encuentra únicamente en soporte físico, se deberá anotar en todos los rubros de este apartado la leyenda “No aplica”. SEGURIDAD DESCRIBA LAS MEDIDAS DE SEGURIDAD IMPLEMENTADAS PARA RESGUARDAR EL SISTEMA Y/O BASE A NIVEL DE: En este apartado se deben escribir las acciones o medidas de seguridad implementadas para garantizar la integridad del sistema y/o base de datos, en las instalaciones donde se resguardan los equipos con la información, desde su acceso hasta su reproducción, en los niveles de hardware, software, redes, datos, políticas, procedimientos de seguridad y espacio físico en el cual se encuentra el equipo que almacena la base de datos personales. Hardware Software Redes Datos Políticas y procedimientos de seguridad Espacio físico en el cual se encuentra el equipo que almacena el sistema TRATAMIENTO, MANTENIMIENTO, CUSTODIA O SEGURIDAD DEL SISTEMA Y/O BASES DE DATOS PERSONALES En caso de que para realizar el tratamiento, mantenimiento o seguridad del sistema y/o base de datos se contrate a terceros, detalle lo siguiente: DESCRIPCIÓN DEL SERVICIO CONTRATADO NOMBRE A QUIEN SE CONTRATÓ EL SERVICIO Domicilio de la Unidad de Transparencia, así como de las áreas o unidades administrativas ante las que podrán ejercitarse de manera directa los derechos ARCO Anotar el domicilio de la Unidad de Transparencia y del área que administre el sistema y/o base de datos personales. En caso de que se presente una violación a la seguridad de los datos personales, nombre del área, informará a la Unidad de Transparencia, la fecha de la ocurrencia, detección y atención, para su comunicación a los titulares de los datos personales, a través de la página electrónica institucional www.ieem.org.mx, sección “Transparencia y Acceso a la Información”, Portal “Transparencia y Acceso a la Información”, rubro “Aviso de Privacidad”. SERVIDOR/A PÚBLICO HABILITADO NOMBRE, CARGO Y FIRMA TITULAR DEL ÁREA NOMBRE, CARGO Y FIRMA ANEXO 2 CÉDULA DE MODIFICACIÓN DE SISTEMAS Y/ O BASES DE DATOS PERSONALES Denominación del sistema de datos personales Denominación de la base de datos personales Anotar el nombre completo del sistema de datos objeto de modificación. Se debe anotar el nombre de las bases de datos que sean objeto de modificación, en caso contrario, se pondrá la leyenda “No aplica”. Tipo de datos personales objeto de tratamiento Anotar los datos personales que las áreas recaban. Área de adscripción En caso de que se modifique el área a la cual corresponderá el sistema y/o base de datos personales, se debe llenar este apartado. Nombre y cargo de la encargada o encargado Registrar el nombre y cargo de quien trate datos personales a nombre y por cuenta del responsable. En caso de que en el sistema y/o base de datos personales no haya encargada o encargado, se debe anotar la siguiente leyenda “No aplica”. Normatividad aplicable que dé fundamento al tratamiento en términos de los principios de finalidad y licitud Se debe escribir el fundamento legal que da origen al tratamiento de datos personales. Finalidades del tratamiento Anotar las finalidades principales y secundarias para las cuales se llevará a cabo el tratamiento de datos personales. Origen de los datos Forma de recolección Actualización de datos Especificar quienes proporcionan los datos personales. Describir la manera en que se obtienen los datos personales. Anotar el periodo de actualización del sistema y/o base de datos personales. Modo de interrelacionar la información registrada, o en su caso, la trazabilidad de los datos en el sistema de datos personales Especificar el ciclo de vida de los datos y la manera en que se realiza el tratamiento de datos desde su origen. Tiempo de conservación de los datos Señalar el tiempo en que el área conservará los datos, para ello tomará en consideración la vigencia y el valor documental, legal, administrativo, fiscal, histórico. Nivel de seguridad Responsable(s) en materia de seguridad Anotar si el nivel de seguridad es básico, medio o alto. En caso de que el nivel de seguridad sea medio o alto, anotar los nombres y cargos de las y los responsables en materia de seguridad. Datos personales confidenciales Señalar los datos objeto de tratamiento que sean de carácter confidencial conforme a la Ley de Transparencia del Estado y demás normatividad aplicable. Datos personales no confidenciales Señalar los datos personales objeto de tratamiento que no sean confidenciales y que encuadren en los supuestos de excepción a la confidencialidad que establece la Ley de Transparencia del Estado, el CEEM y demás normatividad aplicable al tratamiento de datos. TRANSFERENCIA En caso de que los datos se transfieran a cualquier otra persona física o moral distinta al titular de los datos, se deberá especificar lo siguiente: Tipo de transferencia Señalar si la transferencia es total o parcial de los datos personales. Periodicidad de transferencia (Diaria, semanal, mensual, bimestral, trimestral, semestral, anual, etc.) Indicar en este espacio la periodicidad con la que se trasfieren los datos personales. Fundamento legal para realizar la transferencia Anotar el fundamento legal que sustenta la transferencia de los datos personales a las personas físicas o morales. Finalidad de la transmisión Describir puntualmente la finalidad de la transmisión de los datos personales. Datos transferidos Anotar los datos que serán objeto de transferencia. Lugar de destino e identidad de los destinatarios Nombre de la persona Cargo Nombre del sujeto obligado o razón social SERVIDOR/A PÚBLICO HABILITADO NOMBRE, CARGO Y FIRMA TITULAR DEL ÁREA NOMBRE, CARGO Y FIRMA *Nota: En los rubros establecidos en el presente formato que no sean objeto de modificación, se pondrá la leyenda “Sin modificación”. ANEXO 3 CÉDULA DE SUPRESIÓN DE SISTEMAS DE DATOS PERSONALES Denominación del sistema de datos personales Denominación de la base de datos personales Datos personales contenidos en un sistema o base de datos Soporte del sistema y/o base de datos Categoría de Datos Personales Proporcionar nombre completo del sistema de datos En este apartado se debe anotar el nombre de las bases de datos personales que se incorporen a un sistema, en caso contrario, se pondrá la leyenda “No aplica”. En este apartado se deben anotar los datos personales que serán objeto de supresión y que están contenidos en un sistema o base de datos. Cuando se solicita la supresión de un sistema y base de datos personales, se pondrá la leyenda “No aplica”. Señalar si el sistema y/o base de datos se encuentra en soporte físico, electrónico, o en ambos soportes. Especificar si el sistema o base de datos contiene datos de identificación, académicos, patrimoniales, familiares, laborales, electrónicos, biométricos, sensibles, etc. Nombre de la administradora o administrador y cargo Área de adscripción. Anotar el nombre completo y cargo de la o el titular del área. Anotar el área a la que se encuentra adscrita la administradora o el administrador. Nombre y cargo de la encargada o el encargado Proporcionar el nombre y cargo de quien trate datos personales a nombre y por cuenta del responsable. En caso de que en el sistema y/o base de datos personales no haya encargada o encargado, se debe anotar la siguiente leyenda “No aplica”. Documentos que serán destruidos Se especificarán los documentos que contienen los sistemas o bases de datos de la supresión Procedimiento de borrado seguro que implementará Se podrán tomar en consideración como referencia las “Recomendaciones Generales para el Borrado Seguro de Datos Personales”, aprobadas por el Comité de Transparencia. Universo de personas a las que pertenece Deberá señalar el grupo social al que pertenecen las personas de quienes se recabaron los datos personales (estudiantes, servidoras o servidores públicos, servidoras o servidores públicos electorales, participantes en concursos organizados por el Instituto, candidatas y candidatos a cargos de elección, etc.) Destino final de los datos personales En este apartado se establecerá cual es el destino final de los datos personales. Valoración de Contraloría General Fecha, numero de oficio y síntesis de la valoración Se utilizarán datos que serán sometidos a procedimiento de disociación para finalidades estadísticas es históricas Se anotará sí o no según corresponda Valoración del Área Coordinadora de Archivos Fecha, numero de oficio y síntesis de la valoración Valoración de la Dirección Jurídico Consultiva Fecha, numero de oficio y síntesis de la valoración Valoración de la Unidad de Informática y Estadística Fecha, numero de oficio y síntesis de la valoración (En caso de que el soporte sea electrónico) Valoración del Grupo Interdisciplinario Fecha, numero de oficio y síntesis de la valoración SERVIDOR/A PUBLICO HABILITADO NOMBRE, CARGO Y FIRMA TITULAR DEL ÁREA NOMBRE, CARGO Y FIRMA ANEXO 4 CÉDULA DE ACTUALIZACIÓN DEL SISTEMA Y/ O BASE DE DATOS PERSONALES Sujeto Obligado Instituto Electoral del Estado de México Denominación del sistema de datos personales Denominación de la base de datos personales Registrar el nombre completo del sistema de datos, de acuerdo con la cédula de creación y/o modificación. En este apartado se debe anotar el nombre de las bases de datos personales que se incorporen a un sistema, en caso contrario, se pondrá la leyenda “No aplica”. Importante: Solo se actualiza la denominación en caso de que el Comité haya aprobado la modificación mediante Acuerdo. Soporte del sistema y/o base de datos Actualizar solo en caso de cambio en el tipo de soporte físico o electrónico. En caso de que no se haya actualizado, anotar la leyenda “sin actualización”. Número de servidoras y servidores públicos que tienen acceso al sistema y/o base de datos Actualizar el número de servidoras o servidores públicos que acceden al sistema o base de datos con manejo o tratamiento de datos personales. En caso de que sea el mismo número anotar la leyenda “sin actualización”. Tipo de datos personales objeto de tratamiento Anotar los datos personales que las áreas recaben. Importante: Solo se actualizan los datos personales en caso de que el Comité haya aprobado la modificación mediante Acuerdo. Nombre y cargo de la administradora o administrador Actualizar el nombre completo y cargo de la o el titular del área. En caso de que sea el mismo anotar la leyenda “sin actualización”. Área de adscripción Anotar el área a la que se encuentra adscrita el administrador o administradora. Importante: Solo se actualiza en caso de que el Comité haya aprobado la modificación del área mediante Acuerdo. Nombre y cargo de la encargada o encargado Actualizar el nombre y cargo de quien trate datos personales a nombre y por cuenta del IEEM. En caso de que sea el mismo anotar la leyenda “sin actualización”. En caso de que en el sistema y/o base de datos personales no haya encargada o encargado, se debe anotar la siguiente leyenda “No aplica”. Importante: Solo se actualiza en caso de que el Comité haya aprobado la modificación mediante Acuerdo. Normatividad aplicable que dé fundamento al tratamiento en términos de los principios de finalidad y licitud Actualizar el fundamento legal que da origen al tratamiento de datos personales. En caso de que sea el mismo anotar la leyenda “sin actualización”. Importante: Solo se actualiza en caso de que el Comité haya aprobado la modificación mediante Acuerdo. Finalidades del tratamiento Actualizar las finalidades principales y secundarias para las cuales se llevará a cabo el tratamiento de datos personales. En caso de que sean las mismas anotar la leyenda “sin actualización”. Origen de los datos Forma de recolección Actualización de datos Modo de interrelacionar la información registrada, o en su caso, la trazabilidad de los datos en el sistema de datos personales Actualizar respecto a quienes proporcionan los datos personales y la manera en que se obtienen. En caso de que sea el mismo anotar la leyenda “sin actualización”. Importante: Solo se actualiza en caso de que el Comité haya aprobado la modificación mediante Acuerdo. Actualizar el periodo de actualización del sistema y/o base de datos personales. En caso de que sea el mismo anotar la leyenda “sin actualización”. Importante: Solo se actualiza en caso de que el Comité haya aprobado la modificación mediante Acuerdo. Actualizar el ciclo de vida de los datos y la manera en que se realiza el tratamiento de datos desde su origen. Importante: Solo se actualiza en caso de que el Comité haya aprobado la modificación mediante Acuerdo. Tiempo de conservación de los datos Actualizar el tiempo en que el área conservará los datos, para ello tomará en consideración la vigencia y el valor documental, legal, administrativo, fiscal, histórico, así como los instrumentos de control archivísticos. En caso de que sea el mismo anotar la leyenda “sin actualización”. Importante: Solo se actualiza en caso de que el Comité haya aprobado la modificación mediante Acuerdo. Nivel de seguridad Responsable(s) en materia de seguridad Actualizar el nivel de seguridad básico, medio o alto En caso de que el nivel de seguridad sea medio o alto, actualizar los nombres y cargos de los responsables en materia de seguridad. En caso de que sea el mismo anotar la leyenda “sin actualización”. Importante: Solo se actualiza en caso de que el Comité haya aprobado la modificación mediante Acuerdo. TRANSFERENCIA En caso de que los datos se transfieran a cualquier otra persona física o moral distinta al titular de los datos, se deberá especificar lo siguiente: Tipo de transferencia Actualizar y señalar si la transferencia es total o parcial de los datos personales. En caso de que sea la misma anotar la leyenda “sin actualización”. Importante: Solo se actualiza en caso de que el Comité haya aprobado la modificación mediante Acuerdo. Periodicidad de transferencia (Diaria, semanal, mensual, bimestral, trimestral, semestral, anual, e.t.c) Actualizar la periodicidad con la que se trasfieren los datos personales. En caso de que sea el mismo anotar la leyenda “sin actualización”. Importante: Solo se actualiza en caso de que el Comité haya aprobado la modificación mediante Acuerdo. Fundamento legal para realizar la transferencia Actualizar el fundamento legal que sustenta la transferencia de los datos personales a las personas físicas o morales. En caso de que sea el mismo anotar la leyenda “sin actualización”. Importante: Solo se actualiza en caso de que el Comité haya aprobado la modificación mediante Acuerdo. Finalidad de la transmisión Actualizar la finalidad de la transmisión de los datos personales. En caso de que sea la misma anotar la leyenda “sin actualización”. Importante: Solo se actualiza en caso de que el Comité haya aprobado la modificación mediante Acuerdo. Datos transferidos Actualizar los datos que serán objeto de transferencia. En caso de que sean los mismos anotar la leyenda “sin actualización”. Importante: Solo se actualiza en caso de que el Comité haya aprobado la modificación mediante Acuerdo. Lugar de destino e identidad de los destinatarios Nombre de la persona Cargo Nombre del sujeto obligado o razón social Actualizar información. En caso de que sea la misma anotar la leyenda “sin actualización”. Importante: Solo se actualiza en caso de que el Comité haya aprobado la modificación mediante Acuerdo. DATOS DE RESGUARDO En caso de que el sistema y/o base de datos personales se encuentre en soporte físico, se deberá especificar lo siguiente: Medio de resguardo Actualizar el medio utilizado para almacenar la información (archivero, gaveta, carpeta etc). En caso de que sea el mismo colocar la leyenda “sin actualización”. Oficina en la que se reguarda el sistema de datos personales. Actualizar el nombre completo de la oficina que resguardan físicamente los archivos del sistema. En caso de que sea el mismo colocar la leyenda “sin actualización”. Número de registros en el sistema y/o base de datos personales Actualizar el número de registros con datos personales de la base de datos. En caso de que sea el mismo colocar la leyenda “sin actualización”. Describa las medidas de seguridad implementadas para reguardar el sistema de datos físico Actualizar las acciones o medidas de seguridad implementadas para garantizar la integridad del sistema y/o base de datos, en las instalaciones donde se resguarda la información, desde su acceso hasta su reproducción. En caso de que sea el mismo colocar la leyenda “sin actualización”. Nota: Si el sistema y/o base de datos se encuentra únicamente en soporte electrónico, se deberá anotar en todos los rubros de este apartado la leyenda “No aplica”. DATOS TÉCNICOS En caso de que el sistema y/o base de datos personales se encuentre en soporte electrónico, se deberá especificar lo siguiente: Manejador o software utilizados para la administración del sistema En caso de que la base de datos sea de tipo automatizada, actualizar el nombre del software o manejador de la base de datos, pudiendo ser Word, Excel, My Sql, Oracle, etc. En caso de que sea el mismo colocar la leyenda “sin actualización”. Sistema operativo en el cual está montada el sistema y/o base de datos Para el caso de que la base de datos este asistida por un sistema informático actualizar la plataforma o sistema operativo que utiliza el equipo. En caso de que sea el mismo colocar la leyenda “sin actualización”. Número de registros en el sistema y/o base de datos Actualizar el número de registros con datos personales. En caso de que sea el mismo colocar la leyenda “sin actualización”. Tipo del manejador del sistema y/o base de datos (monousuario, multiusuario, publicado en web) Actualizar, en caso de que el sistema y/o base de datos este asistida por un sistema informático, entre tipo monousuario siendo estos los que sólo puede ser ocupado por un único usuario en un determinado tiempo y multiusuario los cuales puede estar ocupado por varios usuarios al mismo tiempo. En caso de que sea el mismo colocar la leyenda “sin actualización”. Número de usuarios que acceden al sistema de datos concurrentemente Actualizar el número de usuarios que acceden al sistema y/o base de datos concurrentemente para realizar tareas de tratamiento, consulta y uso de los datos personales. En caso de que sea el mismo colocar la leyenda “sin actualización”. Nota: Si el sistema y/o base de datos se encuentra únicamente en soporte físico, se deberá anotar en todos los rubros de este apartado la leyenda “No aplica”. SEGURIDAD DESCRIBA LAS MEDIDAS DE SEGURIDAD IMPLEMENTADAS PARA RESGUARDAR EL SISTEMA Y/O BASE A NIVEL DE: En este apartado se deben actualizar las acciones o medidas de seguridad implementadas para garantizar la integridad del sistema y/o base de datos, en las instalaciones donde se resguardan los equipos con la información, desde su acceso hasta su reproducción, en los niveles de hardware, software, redes, datos, políticas, procedimientos de seguridad y espacio físico en el cual se encuentra el equipo que almacena la base de datos personales. En caso de que sean las mismas colocar en cada apartado la leyenda “sin actualización”. Hardware Software Redes Datos Políticas y procedimientos de seguridad Espacio físico en el cual se encuentra el equipo que almacena el sistema TRATAMIENTO, MANTENIMIENTO, CUSTODIA O SEGURIDAD DEL SISTEMA Y/O BASES DE DATOS PERSONALES En caso de que para realizar el tratamiento, mantenimiento o seguridad del sistema y/o base de datos se contrate a terceros, detalle lo siguiente: En caso de que sean los mismos colocar en cada apartado la leyenda “sin actualización”. DESCRIPCIÓN DEL SERVICIO CONTRATADO NOMBRE A QUIEN SE CONTRATÓ EL SERVICIO Domicilio de la Unidad de Transparencia, así como de las áreas o unidades administrativas ante las que podrán ejercitarse de manera directa los derechos ARCO Anotar el domicilio de la Unidad de Transparencia y del área que administre el sistema y/o base de datos personales. En caso de que sean los mismos colocar en cada apartado la leyenda “sin actualización”. SERVIDOR/A PUBLICO HABILITADO NOMBRE, CARGO Y FIRMA TITULAR DEL ÁREA NOMBRE, CARGO Y FIRMA *Nota: Los recuadros resaltados en color morado para que puedan ser actualizados por el área deberán ser aprobados de manera previa por el Comité mediante Acuerdo de modificación, toda vez que implican una modificación al tratamiento de datos personales. En este supuesto el área deberá anotar el número de Acuerdo por el cual el Comité aprobó la modificación al sistema y/o base de datos personales. La Unidad de Transparencia registrará las actualizaciones en el INTRANET del INFOEM conforme a los formatos establecidos por el órgano garante. Los rubros relativos al origen, forma de recolección, tiempo de conservación y actualización de los datos, así como el modo de interrelacionar la información registrada, o, en su caso, la trazabilidad de los datos en el sistema o base de datos personales y el nivel de seguridad, deben ser actualizados en términos del último párrafo del artículo 37 de la Ley de Datos del Estado, aun cuando no se encuentren en la cédula del INTRANET. 2