Tal como lo anunció le semana pasada, el Grupo Parlamentario de Morena en el Congreso del Estado presentó ante Oficialía de Partes su propuesta para expedir la Ley de Protección de Datos Personales del Estado de Chihuahua, en donde destaca la desaparición del Instituto Chihuahuense para la Transparencia y Acceso a la Información Pública (ICHITAIP) y en su lugar se crearía un organismo dependiente de la Secretaría de la Función Pública, tal como sucedió en marzo con la extinción del Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI).
La iniciativa de Ley fue presentada el miércoles 8 de octubre y ayer jueves fue turbada a la Comisión de Transparencia, Acceso a la Información Publica y Parlamento Abierto del Congreso de Chihuahua, la cual es presidida por la diputada de Movimiento Ciudadano, Alma Portillo.
En su exposición de motivos, el Grupo Parlamentario de Morena argumenta que “la Ley de Protección de Datos Personales del Estado de Chihuahua, en su forma actual, contiene disposiciones que han quedado superadas o desactualizadas frente al nuevo marco normativo nacional. Esta disparidad puede generar incertidumbre jurídica, duplicidades normativas y, sobre todo, poner en riesgo la protección efectiva de los datos personales de las y los Chihuahuenses.
En este contexto, la presente iniciativa de reforma tiene como objetivo armonizar la legislación estatal con la nueva Ley Federal de Protección de Datos Personales”.
A continuación se reproduce de manera íntegra la iniciativa con proyecto de decreto:
EXPOSICIÓN DE MOTIVOS:
El 20 de febrero de 2025, la Presidenta de la República Mexicana Claudia Sheinbaum Pardo, presentó ante la Cámara de Senadores una Iniciativa con Proyecto de Decreto por el que se expiden varios ordenamientos, como la Ley General de Transparencia y Acceso a la Información Pública, la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados y la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, además de reformar diversas disposiciones de la Ley Orgánica de la Administración Pública Federal. Asimismo, el 4 de marzo de 2025, el Pleno del Senado de la República con 71 votos a favor y 21 en contra, aprobó en lo general el dictamen por el que se armoniza la legislación secundaria para establecer un modelo de simplificación orgánica en materia de transparencia, acceso a la información pública y protección de datos personales. El dictamen se envió a la Cámara de Diputados para sus efectos constitucionales y se publicó en el DOF el 20 de marzo de 2025.
Esta iniciativa tiene por objeto expedir las leyes secundarias relativas a la reforma constitucional en materia de simplificación orgánica administrativa. Entre lo propuesto destaca:
1. Armonizar la legislación secundaria para optimizar y fortalecer la capacidad del Estado para tutelar y garantizar el ejercicio de los derechos humanos de acceso a la información pública y protección de datos personales;
2. Considerar el uso de lenguaje incluyente, homologando las reglas, los principios, las bases, los procedimientos y en general los mecanismos en el ejercicio del derecho de acceso a la información pública, además de incluir criterios de interpretación que, en su momento, emitió el INAI y que aplicarán los sujetos obligados;
3. Crear el Sistema Nacional de Acceso a la Información Pública, así como un órgano administrativo desconcentrado de la Secretaría Anticorrupción y Buen Gobierno, en el ámbito federal, denominado -Transparencia para el Pueblo.
4. Determinar que en contra de las resoluciones que emitan las autoridades garantes procederá el juicio de amparo que será substanciado por jueces y tribunales especializados en la materia, que determine el PJF;
5. Plasmar mayores obligaciones para los sujetos obligados en materia de gobierno abierto, conforme a los lineamientos que al efecto emita la Agencia de Transformación Digital y Telecomunicaciones;
6. Indicar los plazos de transferencia de los recursos humanos, financieros materiales y tecnológicos, el archivo, asuntos y procedimientos a cargo del INAI así como las autoridades competentes para los efectos; y,
7. Conferir a la Secretaría Anticorrupción y Buen Gobierno competencia para ejercer las atribuciones en materia de transparencia, acceso a la información pública y protección de datos personales, así como conocer de los procedimientos relativos a su protección, verificación e imposición de sanciones a través de la Ley Orgánica de la Administración Pública Federal.
Ahora bien, en los últimos años, el tratamiento de los datos personales ha cobrado una importancia creciente, debido al acelerado avance de la tecnología a nivel mundial, la digitalización de los servicios públicos y privados y la creciente interconexión de los sistemas de información.
Esta realidad, planea nuevos desafíos para la protección efectiva de los derechos fundamentales de todo el pueblo chihuahuense, en particular el derecho a la privacidad y la protección de datos personales.
La reciente promulgación de la nueva Ley Federal de Protección de Datos Personales, que sustituye el marco anterior, establece estándares actualizados, en materia de consentimiento, transparencia, responsabilidades, seguridad de la información, la transferencia de datos y de los derechos de los titulares, consideramos que este nuevo ordenamiento busca garantizar plenamente y de manera más efectiva la protección de datos de todos los ciudadanos, con el fin de que los sujetos obligados promuevan, respeten, protejan y garanticen los derechos de acceso a la información pública.
Por tanto y en virtud del principio de jerarquía normativa y de la distribución de competencias establecida en el artículo 6º de la Constitución Política de los Estados Unidos Mexicanos, es necesario que las legislaciones locales armonicen sus disposiciones con los principios, derechos y obligaciones establecidos en la ley federal. Esto es especialmente relevante para las entidades federativas, quienes, a través de sus órganos públicos, también manejan y resguardan grandes volúmenes de datos personales.
La Ley de Protección de Datos Personales del Estado de Chihuahua, en su forma actual, contiene disposiciones que han quedado superadas o desactualizadas frente al nuevo marco normativo nacional. Esta disparidad puede generar incertidumbre jurídica, duplicidades normativas y, sobre todo, poner en riesgo la protección efectiva de los datos personales de las y los Chihuahuenses.
En este contexto, la presente iniciativa de reforma tiene como objetivo armonizar la legislación estatal con la nueva Ley Federal de Protección de Datos Personales, garantizando con ello:
1. La seguridad jurídica tanto para los responsables del tratamiento de datos personales como para los titulares de dichos datos;
2. La consolidación de una política pública integral de protección de datos, basada en los principios de legalidad, lealtad, proporcionalidad, responsabilidad y rendición de cuentas;
3. La efectiva tutela de los derechos ARCO (Acceso, Rectificación, Cancelación y Oposición);
4. La implementación de medidas técnicas y organizativas adecuadas para prevenir vulneraciones a la privacidad;
5. La coordinación entre autoridades federales y locales para asegurar una aplicación homogénea del marco legal.
Esta reforma representa un compromiso del Estado de Chihuahua con los derechos fundamentales de las personas, así como con las mejores prácticas en gobernanza de datos, en línea con los estándares nacionales e internacionales en la materia.
En ese sentido, la armonización de la legislación Estatal, permitirá optimizar y fortalecer la capacidad del Estado para tutelar y garantizar el ejercicio de los derechos humanos de acceso a la información pública y protección de datos personales, sin que ello implique un derroche o gasto innecesario de los recursos públicos y que sea, a través de instituciones con las que ya se cuenta, las que garanticen dicho derecho. Por tanto, es importante la eliminación del Instituto Chihuahuense de Acceso a la Información Pública, y otorgar sus facultades y obligaciones a un Organismo diferente, para ello es importante fusionar el contenido de la misma en un sólo ordenamiento como medida de simplificación normativa.
En virtud de lo antes expuesto y con fundamento en lo dispuesto por los artículos invocados en el proemio, sometemos a la consideración el siguiente proyecto de:
D E C R E T O:
PRIMERO. Se expide la Ley de Protección de Datos Personales del Estado de Chihuahua, para quedar como sigue:
LEY DE PROTECCIÓN DE DATOS PERSONALES DEL ESTADO DE CHIHUAHUA
(EN POSESION DE LOS PARTICULARES Y DE SUJETOS OBLIGADOS)
TÍTULO PRIMERO
CAPITULO I
DISPOSICIONES GENERALES
Artículo 1. La presente Ley es de orden público, interés social y de observancia general en el Estado de Chihuahua, reglamentaria de los artículos 6o Base A y 16 segundo párrafo, de la Constitución Política de los Estados Unidos Mexicanos y del artículo 4º, de la Constitución Política del Estado, en la parte relativa a la protección de datos personales, y tiene por objeto establecer las bases, principios y procedimientos, para garantizar el derecho que tiene toda persona a la protección de datos personales en posesión de los sujetos obligados, así como regular su tratamiento legítimo, controlado e informado, a efecto de garantizar la privacidad y el derecho a la autodeterminación informativa de las personas. Quedan exceptuados de la aplicación de la presente Ley:
I. Las sociedades de información crediticia en los supuestos de la Ley para Regular las Sociedades de Información Crediticia y demás disposiciones aplicables, y
II. Las personas que lleven a cabo la recolección y almacenamiento de datos personales, que sea para uso exclusivamente personal, y sin fines de divulgación o utilización comercial.
Artículo 2. El derecho a la protección de los datos personales solamente se limitará por razones de seguridad pública, en términos de la ley en la materia, disposiciones de orden público, seguridad y salud públicas o para proteger los derechos de terceros.
Artículo 3. El Estado garantizará el derecho a la protección de los datos personales y deberá velar porque los sujetos obligados no incurran en conductas que puedan afectar dicha protección arbitrariamente.
Artículo 4. La Secretaría de la Función Pública, ejercerá las atribuciones y facultades que le otorga esta Ley, independientemente de las otorgadas en las demás disposiciones aplicables.
Artículo 5. Son objetivos de la presente Ley:
I. Garantizar la observancia de los principios de protección de datos personales en posesión de los sujetos obligados
II. Establecer las bases mínimas y condiciones homogéneas que regirán el tratamiento de los datos personales y el ejercicio de los derechos de acceso, rectificación, cancelación, oposición y portabilidad mediante procedimientos sencillos y expeditos.
III. Proveer lo necesario para garantizar que toda persona pueda ejercer los derechos de acceso, rectificación, cancelación y portabilidad de sus datos personales, así como manifestar su oposición a determinado tratamiento, mediante procedimientos sencillos y expeditos.
IV. Promover, fomentar y difundir una cultura de protección de datos personales.
V. Establecer los mecanismos para garantizar el cumplimiento y la aplicación de las medidas de apremio que correspondan para aquellas conductas que contravengan las disposiciones previstas en esta Ley.
VI. Promover el establecimiento de medidas de seguridad que garanticen la integridad, disponibilidad y confidencialidad de los datos personales en posesión de los sujetos obligados.
VII. Proteger los datos personales en posesión de cualquier autoridad, entidad, órgano y organismo de los Poderes Ejecutivo, Legislativo y Judicial, órganos autónomos, fideicomisos, organismos descentralizados y fondos públicos, del estado y los municipios, con la finalidad de regular su debido tratamiento;
Artículo 6. Para los efectos de la presente Ley, son sujetos obligados:
I. El Poder Ejecutivo.
II. El Poder Legislativo.
III. El Poder Judicial.
IV. Los Ayuntamientos o Concejos Municipales y la Administración Pública Municipal.
V. Organismos descentralizados y desconcentrados, empresas de participación, fideicomisos y fondos públicos, todos de la Administración Pública Estatal y Municipal.
VI. Organismos Públicos Autónomos.
VII. Partidos políticos y agrupaciones políticas.
Quedan incluidos dentro de esta clasificación todos los órganos y dependencias de cada sujeto obligado.
Artículo 7. Los sindicatos y cualquier otra persona física o moral que reciba y ejerza recursos públicos o realice actos de autoridad en el ámbito estatal y municipal, serán responsables de los datos personales, de conformidad con la normatividad aplicable para la protección de datos personales en posesión de los particulares.
Artículo 8. En los términos de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, corresponde a la Secretaría Anticorrupción y Buen Gobierno, garantizar el derecho a la protección de los datos personales en posesión de particulares.
Artículo 9. Para los efectos de la presente Ley, se considerarán como fuentes de acceso público:
I.Las páginas de Internet o medios remotos o locales de comunicación electrónica, óptica y de otra tecnología, siempre que el sitio donde se encuentren los datos personales esté concebido para facilitar información al público y esté abierto a la consulta general;
II.Los directorios telefónicos en términos de la normativa específica;
III.Los diarios, gacetas o boletines oficiales, de acuerdo con las disposiciones jurídicas correspondientes;
IV.Los medios de comunicación social, y
V.Los registros públicos conforme a las disposiciones que les resulten aplicables.
Para que los supuestos enumerados en el presente artículo sean considerados fuentes de acceso público será necesario que su consulta pueda ser realizada por cualquier persona no impedida por una norma limitativa, o sin más exigencia que, en su caso, el pago de una contraprestación, derecho o tarifa. No se considerará una fuente de acceso público cuando la información contenida en la misma sea o tenga una procedencia ilícita.
Artículo 10. Los datos personales son irrenunciables, intransferibles e indelegables, salvo disposición legal o cuando medie el consentimiento de su titular.
Artículo 11. Para los efectos de la presente Ley, se entiende por:
I. Áreas: Instancias de los sujetos obligados previstas en los respectivos reglamentos interiores, estatutos orgánicos o instrumentos equivalentes, que cuentan o puedan contar, dar tratamiento, y ser responsables o encargadas de los datos personales;
II. Autoridades garantes: Órgano de control y disciplina del Poder Judicial; los órganos internos de control de los órganos constitucionales autónomos; del Congreso del Estado, por cuanto hace al acceso a la protección de datos personales a cargo de los partidos políticos; y los órganos encargados de la contraloría interna u homólogos de los Poderes Ejecutivo, Legislativo y Judicial, así como de los órganos constitucionales autónomos, del Estado y los Municipios;
III. Aviso de privacidad: Documento a disposición de la persona titular de la información de forma física, electrónica o en cualquier otro formato generado por el responsable, a partir del momento en el cual se recaben sus datos personales, con el objeto de informarle los propósitos del tratamiento de los mismos, de conformidad con el artículo 22 de la presente Ley;
IV. Bases de datos: Conjunto ordenado de datos personales referentes a una persona identificada o identificable condicionados a criterios determinados, con independencia de la forma o modalidad de su creación, tipo de soporte, procesamiento, almacenamiento y organización;
V. Bloqueo: Identificación y conservación de datos personales una vez cumplida la finalidad para la cual fueron recabados, con el único propósito de determinar posibles responsabilidades en relación con su tratamiento, hasta el plazo de prescripción legal o contractual de éstas. Durante dicho periodo, los datos personales no podrán ser objeto de tratamiento y, transcurrido este, se procederá a su cancelación en la base de datos que corresponda;
VI. VI.Comité de Transparencia: Instancia a la que hace referencia el artículo 39 de la Ley General de Transparencia y Acceso a la Información Pública;
VII. Cómputo en la nube: Modelo de provisión externa de servicios de cómputo bajo demanda, que implica el suministro de infraestructura, plataforma o programa informático, distribuido de modo flexible, mediante procedimientos virtuales, en recursos compartidos dinámicamente;
VIII. Consentimiento: Manifestación de la voluntad libre, específica e informada de la persona titular de los datos mediante la cual se efectúa el tratamiento de los mismos;
IX. Datos personales: Cualquier información concerniente a una persona identificada o identificable. Se considera que una persona es identificable cuando su identidad pueda determinarse directa o indirectamente a través de cualquier información;
X. Datos personales sensibles: Aquellos datos personales que afecten a la esfera más íntima de la persona titular, o cuya utilización indebida pueda dar origen a discriminación o conlleve un riesgo grave para esta. De manera enunciativa más no limitativa se consideran sensibles los datos personales que puedan revelar aspectos como origen racial o étnico, estado de salud presente o futuro, información genética, creencias religiosas, filosóficas y morales, opiniones políticas y preferencia sexual;
XI. Derechos ARCO: Derechos de acceso, rectificación, cancelación y oposición al tratamiento de datos personales;
XII. Días: Días hábiles.
XIII. Disociación: Procedimiento mediante el cual los datos personales no pueden asociarse a la persona titular ni permitir, por su estructura, contenido o grado de desagregación, la identificación de la misma;
XIV. Documento de seguridad: Instrumento que describe y da cuenta de manera general sobre las medidas de seguridad técnicas, físicas y administrativas adoptadas por el responsable para garantizar la confidencialidad, integridad y disponibilidad de los datos personales que posee;
XV. Evaluación de impacto en la protección de datos personales: Documento mediante el cual los sujetos obligados que pretendan poner en operación o modificar políticas públicas, programas, sistemas o plataformas informáticas, aplicaciones electrónicas o cualquier otra tecnología que implique el tratamiento intensivo o relevante de datos personales, valoran los impactos reales respecto de determinado tratamiento de datos personales, a efecto de identificar y mitigar posibles riesgos relacionados con los principios, deberes y derechos de las personas titulares, así como los deberes de los responsables y las personas encargadas, previstos en las disposiciones jurídicas aplicables.
XVI. Fuente de acceso público: Aquellas bases de datos, sistemas o archivos que por disposición de ley puedan ser consultadas públicamente cuando no exista impedimento por una norma limitativa, y sin más exigencia que, en su caso, el pago de una contraprestación, tarifa o contribución. No se considerará fuente de acceso público cuando la información contenida en la misma sea obtenida o tenga una procedencia ilícita, conforme a las disposiciones establecidas por la presente Ley y demás disposiciones jurídicas aplicables;
XVII. Medidas compensatorias: Mecanismos alternos para dar a conocer a las personas titulares el aviso de privacidad, a través de su difusión por medios masivos de comunicación u otros de amplio alcance;
XVIII. Medidas de seguridad: Conjunto de acciones, actividades, controles o mecanismos administrativos, técnicos y físicos que permitan proteger los datos personales;
XIX. Medidas de seguridad administrativas: Políticas y procedimientos para la gestión, soporte y revisión de la seguridad de la información a nivel organizacional, la identificación, clasificación y borrado seguro de la información, así como la sensibilización y capacitación del personal, en materia de protección de datos personales;
XX. Medidas de seguridad físicas: Conjunto de acciones y mecanismos para proteger el entorno físico de los datos personales y de los recursos involucrados en su tratamiento. De manera enunciativa más no limitativa, se deben considerar las siguientes actividades:
a)Prevenir el acceso no autorizado al perímetro de la organización, sus instalaciones físicas, áreas críticas, recursos e información;
b)Prevenir el daño o interferencia a las instalaciones físicas, áreas críticas de la organización, recursos e información;
c)Proteger los recursos móviles, portátiles y cualquier soporte físico o electrónico que pueda salir de la organización, y
d)Proveer a los equipos que contienen o almacenan datos personales de un mantenimiento eficaz, que asegure su disponibilidad e integridad;
XXI. Medidas de seguridad técnicas: Conjunto de acciones y mecanismos que se valen de la tecnología relacionada con hardware y software para proteger el entorno digital de los datos personales y los recursos involucrados en su tratamiento. De manera enunciativa más no limitativa, se deben considerar las siguientes actividades:
a)Prevenir que el acceso a las bases de datos o a la información, así como a los recursos, sea por usuarios identificados y autorizados;
b)Generar un esquema de privilegios para que el usuario lleve a cabo las actividades que requiere con motivo de sus funciones;
c)Revisar la configuración de seguridad en la adquisición, operación, desarrollo y mantenimiento del software y hardware, y
d)Gestionar las comunicaciones, operaciones y medios de almacenamiento de los recursos informáticos en el tratamiento de datos personales;
XXII. Ley: Ley de Proteccion de Datos Personales del Estado de Chihuahua.
XXIII. Persona encargada: Persona física o jurídica, pública o privada, ajena a la organización de la persona responsable, que sola o conjuntamente con otras trate datos personales a nombre y por cuenta de la persona responsable;
XXIV. Plataforma Nacional: Plataforma Nacional de Transparencia a que hace referencia el artículo 44 de la Ley General de Transparencia y Acceso a la Información Pública;
XXV. Remisión: Toda comunicación de datos personales realizada exclusivamente entre el responsable y la persona encargada, dentro o fuera del territorio mexicano;
XXVI. Reglamento: Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares;
XXVII. Responsable: Sujetos regulados a que se refiere la fracción XVI de este artículo;
XXVIII. Secretaría: Secretaría de la Funcion Publica.
XXIX. Sujetos regulados: Personas físicas o morales de carácter privado que llevan a cabo el tratamiento de datos personales;
XXX. Sujetos Obligados: Cualquier autoridad, entidad, órgano y organismo de los poderes ejecutivo, legislativo y judicial, órganos autónomos, partidos políticos, fideicomisos y fondos públicos, en el ámbito estatal y municipal.
XXXI. Supresión: Baja archivística de los datos personales conforme a las disposiciones jurídicas aplicables en materia de archivos, que resulte en la eliminación, borrado o destrucción de los datos personales bajo las medidas de seguridad previamente establecidas por el responsable;
XXXII. Tercero: Persona física o moral, nacional o extranjera, distinta de la persona titular o del responsable de los datos;
XXXIII. Persona Titular: Persona a quien corresponden los datos personales;
XXXIV. Tratamiento: Cualquier operación o conjunto de operaciones efectuadas mediante procedimientos manuales o automatizados aplicados a los datos personales, relacionadas con la obtención, uso, registro, organización, conservación, elaboración, utilización, comunicación, difusión, almacenamiento, posesión, acceso, manejo, aprovechamiento, divulgación, transferencia o disposición de datos personales.
XXXV. Transferencia: Toda comunicación de datos personales dentro o fuera del territorio mexicano, realizada a persona distinta de la titular, del responsable o de la persona encargada del tratamiento.
XXXVI. Estado: El Estado de Chihuahua
XXXVII. Unidad de Transparencia: Instancia a la que hace referencia el artículo la Ley General de Transparencia y Acceso a la Información Pública.
Artículo 12. La aplicación e interpretación de la presente Ley se realizará conforme a lo dispuesto en la Constitución Política de los Estados Unidos Mexicanos, la particular del Estado, los tratados internacionales de los que el Estado mexicano sea parte, así como las resoluciones y sentencias vinculantes que emitan los órganos nacionales e internacionales especializados, favoreciendo en todo tiempo el derecho a la privacidad, la protección de datos personales y a las personas la protección más amplia.
Para el caso de la interpretación, se podrán tomar en cuenta los criterios, determinaciones y opiniones de los organismos nacionales e internacionales, en materia de protección de datos personales.
TÍTULO SEGUNDO
DE LOS PRINCIPIOS Y DEBERES DE PROTECCIÓN DE DATOS PERSONALES.
CAPITULO I
DE LOS PRINCIPIOS.
Artículo 13. Los principios y derechos previstos en esta Ley, tendrán como límite en cuanto a su observancia y ejercicio, la protección de la seguridad nacional, el orden, la seguridad y la salud públicos, así como los derechos de terceros.
Artículo 14. El responsable deberá observar los principios de licitud, finalidad, lealtad, consentimiento, calidad, proporcionalidad, información y responsabilidad en el tratamiento de datos personales.
I. Licitud.- El responsable deberá tratar los datos personales en su posesión con estricto apego y cumplimiento de lo dispuesto por la presente Ley demás disposiciones aplicables, respetando los derechos y libertades del titular.
II. Finalidad.- Todo tratamiento de datos personales que efectúe el responsable deberá estar justificado por finalidades concretas, explícitas, lícitas y legítimas, asentadas en el aviso de privacidad, relacionadas con las atribuciones expresas que la normatividad aplicable le confiera.
Podrá realizarse un tratamiento a los datos personales distinto del establecido en el aviso de privacidad, siempre que se cuente con el consentimiento del titular
III. Lealtad.- El responsable deberá abstenerse de tratar los datos personales a través de medios engañosos o fraudulentos, privilegiando, en todo momento, la protección de los intereses del titular y la expectativa razonable de privacidad.
IV. Consentimiento.- Cuando no se actualicen algunas de las causales de excepción previstas en el artículo 18 de la presente Ley, el responsable deberá contar con el consentimiento previo de la persona titular para el tratamiento de los datos personales, el cual deberá otorgarse de forma:
I.Libre: Sin que medie error, mala fe, violencia o dolo que puedan afectar la manifestación de voluntad de la persona titular;
II.Específica: Referida a finalidades concretas, lícitas, explícitas y legítimas que justifiquen el tratamiento, y
III.Informada: Que la persona titular tenga conocimiento del aviso de privacidad previo al tratamiento a que serán sometidos sus datos personales.
En la obtención del consentimiento de personas menores de edad o que se encuentren en estado de interdicción o incapacidad declarada conforme a las disposiciones jurídicas aplicables, se estará a lo dispuesto en las reglas de representación previstas en la legislación civil que resulte aplicable.
V. Calidad.- Que los datos proporcionados directa o indirectamente por su titular se obtengan de manera exacta y se mantengan actualizados.
VI. Proporcionalidad.- Únicamente se llevará a cabo el tratamiento de los datos estrictamente necesarios para cumplir con la finalidad para la cual fueron recabados.
VII. Información.- Que el titular tenga conocimiento previo de los fines para los que se recaban.
VIII. Responsabilidad.- El responsable se sujetará a las atribuciones que la normatividad aplicable le confiere, implementando controles que permitan acreditar el cumplimiento de las obligaciones en materia de datos personales, así como rendir cuentas al titular y al Organismo Garante.
Artículo 15. A falta de disposicion expresa en esta Ley, se aplicaran de manera supletoria el Codigo de Procedimientos Civiles, la Ley General de Responsabilidades Administrativas, ambos para el Estado de Chihuahua.
Artículo 16. Todo tratamiento de datos personales estará sujeto al consentimiento de la persona titular, salvo las excepciones previstas por la presente Ley.
En el tratamiento de datos personales de menores de edad, se privilegiara el Interés Superior de las niñas, niños y adolecentes en terminos de las disposciones aplicables.
El consentimiento podrá manifestarse de forma expresa o tácita. Se deberá entender que el consentimiento es expreso cuando la voluntad de la persona titular se manifieste verbalmente, por escrito, por medios electrónicos, ópticos, signos inequívocos o por cualquier otra tecnología.
El consentimiento será tácito cuando habiéndose puesto a disposición de la persona titular el aviso de privacidad, esta no manifieste su voluntad en sentido contrario.
Por regla general será válido el consentimiento tácito, salvo que las disposiciones jurídicas aplicables exijan que la voluntad de la persona titular se manifieste expresamente.
Los datos financieros o patrimoniales requerirán el consentimiento expreso de la persona titular, salvo las excepciones a que se refieren los artículos 18 y 68 de la presente Ley.
El consentimiento podrá ser revocado en cualquier momento sin que se le atribuyan efectos retroactivos. Para revocar el consentimiento, el responsable deberá, en el aviso de privacidad, establecer los mecanismos y procedimientos para ello.
Artículo 17. Tratándose de datos personales sensibles, el responsable deberá obtener el consentimiento expreso y por escrito de la persona titular para su tratamiento, a través de su firma autógrafa, firma electrónica, o cualquier mecanismo de autenticación que al efecto se establezca.
No podrán crearse bases de datos que contengan datos personales sensibles, sin que se justifique la creación de las mismas para finalidades legítimas, concretas y acordes con las actividades o fines explícitos que persigue el sujeto regulado.
Artículo 18. El responsable no estará obligado a recabar el consentimiento de la persona titular para el tratamiento de los datos personales cuando:
I. Una disposición jurídica así lo disponga;
II. Los datos personales figuren en fuentes de acceso público;
III. Los datos personales se sometan a un procedimiento previo de disociación;
IV. Los datos personales se requieran para ejercer un derecho o cumplir obligaciones derivadas de una relación jurídica entre la persona titular y el responsable;
V. Exista una situación de emergencia que potencialmente pueda dañar a un individuo en su persona o en sus bienes;
VI. Los datos personales sean indispensables para efectuar un tratamiento para atención médica, la prevención, diagnóstico, la prestación de asistencia sanitaria, o la gestión de servicios sanitarios, mientras la persona titular no esté en condiciones de otorgar el consentimiento, en los términos que establece la Ley General de Salud y demás disposiciones jurídicas aplicables y que dicho tratamiento de datos se realice por una persona sujeta al secreto profesional u obligación equivalente, o
VII. Exista una orden judicial, resolución o mandato fundado y motivado de autoridad competente.
Artículo 19. El responsable procurará que los datos personales contenidos en las bases de datos sean exactos, completos, correctos y actualizados para los fines para los cuales fueron recabados.
Cuando los datos personales hayan dejado de ser necesarios para el cumplimiento de las finalidades previstas en el aviso de privacidad y que motivaron su tratamiento conforme a las disposiciones legales aplicables, deberán ser suprimidos previo bloqueo, en su caso, y una vez que concluya el plazo de conservación de los mismos.
El responsable estará obligado a eliminar los datos relativos al incumplimiento de obligaciones contractuales, una vez que transcurra un plazo de setenta y dos meses, contado a partir de la fecha calendario en que se presente el mencionado incumplimiento.
Artículo 20. El tratamiento de datos personales deberá limitarse al cumplimiento de las finalidades previstas en el aviso de privacidad, sin embargo, si el responsable pretende tratar los datos para una finalidad distinta a las establecidas en el aviso de privacidad, se requerirá obtener nuevamente el consentimiento de la persona titular.
Artículo 21. El tratamiento de datos personales será el que resulte necesario, adecuado y relevante en relación con las finalidades previstas en el aviso de privacidad, para los datos personales sensibles, el responsable deberá realizar esfuerzos razonables para limitar el periodo de tratamiento de los mismos a efecto de que sea el mínimo indispensable.
Artículo 22. El responsable velará por el cumplimiento de los principios de protección de datos personales establecidos por esta Ley, debiendo adoptar las medidas necesarias y suficientes para su aplicación, así como para garantizar que el aviso de privacidad dado a conocer a la persona titular, sea respetado en todo momento por él o por terceros con los que guarde alguna relación jurídica.
Artículo 23. El responsable tendrá la obligación de informar a la persona titular, a través del aviso de privacidad, la existencia y características principales del tratamiento al que serán sometidos sus datos personales, a fin de que pueda tomar decisiones informadas al respecto.
Cuando resulte imposible dar a conocer a la persona titular el aviso de privacidad, de manera directa o ello exija esfuerzos desproporcionados, el responsable podrá instrumentar medidas compensatorias de comunicación masiva de acuerdo con los criterios que para tal efecto emita la Secretaría.
Artículo 24. El aviso de privacidad deberá contener, al menos, la siguiente información:
I. La identidad y domicilio del responsable;
II. Los datos personales que serán sometidos a tratamiento, identificando aquéllos que son sensibles;
III. Las finalidades del tratamiento de datos personales, distinguiendo aquéllas que requieren el consentimiento de la persona titular;
IV. Las opciones y medios que el responsable ofrezca a las personas titulares para limitar el uso o divulgación de los datos;
V. Los mecanismos, medios y procedimientos para ejercer los derechos ARCO, de conformidad con lo dispuesto en esta Ley,
VI. El domicilio de la Unidad de Transparencia;
VII. Cuando se realicen transferencias de datos personales que requieran consentimiento, se deberá informar:
a)Las autoridades, poderes, entidades, órganos y organismos gubernamentales de los tres órdenes de gobierno y las personas físicas o morales a las que se transfieren los datos personales, y
b)Las finalidades de estas transferencias;
VIII. Los mecanismos y medios disponibles para que la persona titular, en su caso, pueda manifestar su negativa para el tratamiento de sus datos personales para finalidades y transferencias de datos personales que requieren el consentimiento de la persona titular, y
IX. El procedimiento y medio por el cual el responsable comunicará a las personas titulares de cambios al aviso de privacidad, de conformidad con lo previsto en esta Ley.
Artículo 25. El aviso de privacidad en su modalidad simplificada deberá contener la información a que se refieren las fracciones I, Ill, VII y VIII del artículo anterior y señalar el sitio donde se podrá consultar el aviso de privacidad integral.
La puesta a disposición del aviso de privacidad a que refiere este artículo no exime al responsable de su obligación de proveer los mecanismos para que la persona titular pueda conocer el contenido integral del aviso de privacidad.
Artículo 26. El responsable debe poner a disposición de las personas titulares el aviso de privacidad, a través de formatos impresos, digitales, visuales, sonoros o cualquier otra tecnología de la siguiente manera:
I. Cuando los datos personales sean obtenidos personalmente a través de formatos impresos, deberá ser dado a conocer en ese momento, salvo que se hubiera facilitado el aviso con anterioridad, y
II. Cuando los datos personales sean obtenidos por cualquier medio electrónico, óptico, sonoro, visual, o a través de cualquier otra tecnología, deberá ser proporcionado en su modalidad simplificada la que deberá contener al menos la información a que se refieren las fracciones I a IV del artículo anterior, y señalar el sitio donde se podrá consultar el aviso de privacidad integral.
Artículo 27. Cuando los datos no hayan sido obtenidos directamente de la persona titular, el responsable deberá darle a conocer el cambio en el aviso de privacidad.
No resulta aplicable lo establecido en el párrafo anterior, cuando el tratamiento sea con fines históricos, estadísticos o científicos.
Cuando resulte imposible dar a conocer el aviso de privacidad a la persona titular de manera directa o ello exija esfuerzos desproporcionados, el responsable podrá instrumentar medidas compensatorias, en los términos del Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares.
Artículo 28. Todo responsable deberá establecer y mantener medidas de seguridad administrativas, técnicas y físicas que permitan proteger los datos personales contra daño, pérdida, alteración, destrucción o el uso, acceso o tratamiento no autorizado.
Los responsables no adoptarán medidas de seguridad menores a aquellas que mantengan para el manejo de su información. Asimismo, se tomará en cuenta el riesgo existente, las posibles consecuencias para las personas titulares, la sensibilidad de los datos y el desarrollo tecnológico.
Artículo 29. Las vulneraciones de seguridad ocurridas en cualquier fase del tratamiento de datos personales que afecten de forma significativa los derechos patrimoniales o morales de las personas titulares le serán informadas de forma inmediata por el responsable en cuanto confirme la existencia de las mismas al titular de los datos personales y a la Secretaría de la Función Pública, a fin de que se puedan tomar las medidas correspondientes a la defensa de sus derechos y contendrá al menos lo siguiente:
1. La naturaleza del incidente.
2. Los datos personales comprometidos.
3. Las recomendaciones al titular acerca de las medidas que este pueda adoptar, en su caso.
4. Las accione correctivas realizadas de forma inmediata.
5. Los medios donde puede obtener más información al respecto.
Artículo 30. El responsable o tercero deberá establecer controles o mecanismos que tengan por objeto que todas aquellas personas que intervengan en cualquier fase del tratamiento de datos personales, guarden confidencialidad respecto de estos, obligación que subsistirá aun después de finalizar sus relaciones con el mismo.
CAPITULO II
DE LOS DEBERES
Artículo 31. Con independencia del tipo de sistema en el que se encuentren los datos personales o el tipo de tratamiento que se efectúe, el responsable deberá establecer y mantener las medidas de seguridad de carácter administrativo, físico y técnico para la protección de los datos personales contra daño, pérdida, alteración, destrucción o su uso, acceso o tratamiento no autorizado, así como garantizar su confidencialidad, integridad y disponibilidad.
Artículo 32. Las medidas de seguridad adoptadas por el responsable deberán considerar:
I.El riesgo inherente a los datos personales tratados;
II.La sensibilidad de los datos personales tratados;
III.El desarrollo tecnológico;
IV.Las posibles consecuencias de una vulneración para las personas titulares;
V.Las transferencias de datos personales que se realicen;
VI.El número de personas titulares;
VII.Las vulneraciones previas ocurridas en los sistemas de tratamiento, y
VIII.El riesgo por el valor potencial cuantitativo o cualitativo que pudieran tener los datos personales tratados para una tercera persona no autorizada para su posesión.
Artículo 33. Para establecer y mantener las medidas de seguridad para la protección de los datos personales, el responsable deberá realizar, al menos, las siguientes actividades interrelacionadas:
I.Crear políticas internas para la gestión y tratamiento de los datos personales que tomen en cuenta el contexto en el que ocurren los tratamientos y el ciclo de vida de los datos personales, es decir, su obtención, uso y posterior supresión;
II.Definir las funciones y obligaciones del personal involucrado en el tratamiento de datos personales;
III.Elaborar un inventario de datos personales y de los sistemas de tratamiento;
IV.Realizar un análisis de riesgo de los datos personales, considerando las amenazas y vulnerabilidades existentes para los datos personales y los recursos involucrados en su tratamiento, como pueden ser, de manera enunciativa más no limitativa, hardware, software, personal del responsable, entre otros;
V.Realizar un análisis de brecha, comparando las medidas de seguridad existentes contra las faltantes en la organización del responsable;
VI.Elaborar un plan de trabajo para la implementación de las medidas de seguridad faltantes, así como las medidas para el cumplimiento cotidiano de las políticas de gestión y tratamiento de los datos personales;
VII.Monitorear y revisar de manera periódica las medidas de seguridad implementadas, así como las amenazas y vulneraciones a las que están sujetos los datos personales, y
VIII.Diseñar y aplicar diferentes niveles de capacitación del personal bajo su mando, dependiendo de sus roles y responsabilidades respecto del tratamiento de los datos personales.
Artículo 34. Las acciones relacionadas con las medidas de seguridad para el tratamiento de los datos personales deberán estar documentadas y contenidas en un sistema de gestión.
Se entenderá por sistema de gestión al conjunto de elementos y actividades interrelacionadas para establecer, implementar, operar, monitorear, revisar, mantener y mejorar el tratamiento y seguridad de los datos personales, de conformidad con lo previsto en la presente Ley y las demás disposiciones jurídicas que le resulten aplicables en la materia.
Artículo 35. El responsable deberá elaborar un documento de seguridad que contenga, al menos, lo siguiente:
I.El inventario de datos personales y de los sistemas de tratamiento;
II.Las funciones y obligaciones de las personas que traten datos personales;
III.El análisis de riesgos;
IV.El análisis de brecha;
V.El plan de trabajo;
VI.Los mecanismos de monitoreo y revisión de las medidas de seguridad, y
VII.El programa general de capacitación.
Artículo 36. El responsable deberá actualizar el documento de seguridad cuando ocurran los siguientes eventos:
I.Se produzcan modificaciones sustanciales al tratamiento de datos personales que deriven en un cambio en el nivel de riesgo;
II.Como resultado de un proceso de mejora continua, derivado del monitoreo y revisión del sistema de gestión;
III.Como resultado de un proceso de mejora para mitigar el impacto de una vulneración a la seguridad ocurrida, y
IV.Implementación de acciones correctivas y preventivas ante una vulneración de seguridad.
Artículo 37. En caso de que ocurra una vulneración a la seguridad, el responsable deberá analizar las causas por las cuales se presentó e implementar en su plan de trabajo las acciones preventivas y correctivas para adecuar las medidas de seguridad y el tratamiento de los datos personales si fuese el caso a efecto de evitar que la vulneración se repita.
Artículo 38. Además de las que señalen las leyes respectivas y la normatividad aplicable, se considerarán como vulneraciones de seguridad, en cualquier fase del tratamiento de datos, al menos, las siguientes:
I.La pérdida o destrucción no autorizada;
II.El robo, extravío o copia no autorizada;
III.El uso, acceso o tratamiento no autorizado, o
IV.El daño, la alteración o modificación no autorizada.
Artículo 39. El responsable deberá llevar una bitácora de las vulneraciones a la seguridad en la que se describa ésta, la fecha en la que ocurrió, el motivo de ésta y las acciones correctivas implementadas de forma inmediata y definitiva.
Artículo 40. El responsable deberá informar sin dilación alguna a la persona titular, y según corresponda, a la Secretaría y a las Autoridades garantes, las vulneraciones que afecten de forma significativa los derechos patrimoniales o morales, en cuanto se confirme que ocurrió la vulneración y que el responsable haya empezado a tomar las acciones encaminadas a detonar un proceso de revisión exhaustiva de la magnitud de la afectación, a fin de que las personas titulares afectadas puedan tomar las medidas correspondientes para la defensa de sus derechos.
TÍTULO TERCERO
DERECHOS DE LAS PERSONAS TITULARES Y SU EJERCICIO
CAPÍTULO I
DE LOS DERECHOS DE ACCESO, RECTIFICACIÓN, CANCELACIÓN Y OPOSICIÓN
Artículo 41. Cualquier persona titular o, en su caso, su representante legal, podrá ejercer los derechos ARCO previstos en la presente Ley.
El ejercicio de cualquiera de los derechos ARCO no es requisito previo ni impide el ejercicio de otro.
Los datos personales deben ser resguardados de tal manera que permitan el ejercicio sin dilación de estos derechos.
Artículo 42. La persona titular tendrá derecho a acceder a sus datos personales que obren en posesión del responsable, así como conocer la información relacionada con las condiciones y generalidades de su tratamiento, a través del aviso de privacidad.
Artículo 43. La persona titular tendrá derecho a solicitar la rectificación o corrección de sus datos personales, cuando resulten ser inexactos, incompletos o no se encuentren actualizados.
Artículo 44. La persona titular tendrá en todo momento el derecho a solicitar la cancelación de sus datos personales de los archivos, registros, expedientes y sistemas del responsable, a fin de que los mismos ya no estén en posesión del responsable.
La cancelación de datos personales dará lugar a un periodo de bloqueo tras el cual se procederá a la supresión del dato, el responsable podrá conservarlos exclusivamente para efectos de las responsabilidades nacidas del tratamiento.
El periodo de bloqueo será equivalente al plazo de prescripción de las acciones derivadas de la relación jurídica que funda el tratamiento en los términos de la Ley aplicable en la materia, y una vez cancelado el dato se dará aviso a la persona titular.
Cuando los datos personales hubiesen sido transmitidos con anterioridad a la fecha de rectificación o cancelación y sigan siendo tratados por terceros, el responsable deberá hacer de su conocimiento dicha solicitud de rectificación o cancelación, para que proceda a efectuarla también.
Artículo 45. El responsable no estará obligado a cancelar los datos personales cuando:
I. Se refiera a las partes de un contrato privado, social o administrativo y sean necesarios para su desarrollo y cumplimiento;
II. Deban ser tratados por disposición legal;
III. Obstaculice las actuaciones judiciales o administrativas vinculadas a obligaciones fiscales, la investigación y persecución de delitos o la actualización de sanciones administrativas;
IV. Sean necesarios para proteger los intereses jurídicamente tutelados de la persona titular;
V. Sean necesarios para realizar una acción en función del interés público;
VI. Sean necesarios para cumplir con una obligación legalmente adquirida por la persona titular, y
VII. Sean objeto de tratamiento para la prevención o para el diagnóstico médico o la gestión de servicios de salud, siempre que dicho tratamiento se realice por un profesional de la salud sujeto a un deber de secreto.
Artículo 46. La persona titular tendrá derecho en todo momento y por causa legítima a oponerse al tratamiento de sus datos o exigir que se cese en el mismo cuando:
I. Exista causa legítima y su situación específica así lo requiera, lo cual debe justificar que aun siendo lícito el tratamiento, el mismo debe cesar para evitar que su persistencia le cause un daño o perjuicio, o
II. Sus datos personales sean objeto de un tratamiento automatizado, el cual le produzca efectos jurídicos no deseados o afecte de manera significativa sus intereses, derechos o libertades, y estén destinados a evaluar, sin intervención humana, determinados aspectos personales de la misma o analizar o predecir, en particular, su rendimiento profesional, situación económica, estado de salud, preferencias sexuales, fiabilidad o comportamiento.
No procederá el ejercicio del derecho de oposición en aquellos casos en los que el tratamiento sea necesario para el cumplimiento de una obligación legal impuesta al responsable.
Capítulo II
DEL EJERCICIO DE LOS DERECHOS DE ACCESO, RECTIFICACIÓN, CANCELACIÓN Y OPOSICIÓN.
Artículo 47. La recepción y trámite de las solicitudes para el ejercicio de los derechos ARCO que se formulen a los responsables, se sujetará al procedimiento establecido en el presente Título y demás disposiciones que resulten aplicables en la materia.
Artículo 48. Para el ejercicio de los derechos ARCO será necesario acreditar la identidad de la persona titular y, en su caso, la identidad y personalidad con la que actúe el representante.
El ejercicio de los derechos ARCO por persona distinta a su titular o a su representante, será posible, excepcionalmente, en aquellos supuestos previstos por disposición legal o, en su caso, por mandato judicial.
En el ejercicio de los derechos ARCO de personas menores de edad o que se encuentren en estado de interdicción o incapacidad, de conformidad con las leyes civiles, se estará a las reglas de representación dispuestas en la misma legislación.
Tratándose de datos personales concernientes a personas fallecidas, la persona que acredite tener un interés jurídico, de conformidad con las leyes aplicables, podrá ejercer los derechos que le confiere el presente Capítulo, siempre que la persona titular de los derechos hubiere expresado fehacientemente su voluntad en tal sentido o que exista un mandato judicial para dicho efecto.
Artículo 49. La persona titular o su representante legal podrán solicitar al responsable en cualquier momento el ejercicio de los derechos ARCO, respecto de los datos personales que le conciernen.
Artículo 50. La solicitud para el ejercicio de los derechos ARCO deberá contener y acompañar lo siguiente:
I. El nombre de la persona titular y su domicilio o cualquier otro medio para recibir notificaciones;
II. Los documentos que acrediten la identidad de la persona titular o, en su caso, la personalidad e identidad de su representante;
III. La descripción clara y precisa de los datos personales respecto de los que se busca ejercer alguno de los derechos ARCO, salvo que se trate del derecho de acceso;
IV. La descripción del derecho ARCO que se pretende ejercer, o bien, lo que solicita la persona titular, y
V. De ser posible, el área responsable que lleva a cabo el tratamiento de los datos personales.
VI. Cualquier otro elemento o documento que facilite la localización de los datos personales.
Artículo 51. Todo responsable fomentará la protección de datos personales al interior de la organización y designará a una persona, o departamento de datos personales, quien dará trámite a las solicitudes de las personas titulares, para el ejercicio de los derechos a que se refiere la presente Ley.
La persona designada, deberá tener conocimientos y experiencia en protección de datos personales y contará con atribuciones para diseñar y ejecutar la política institucional en la materia.
Artículo 52. En el caso de solicitudes para el ejercicio del derecho de rectificación de datos personales, la persona titular deberá indicar, además de lo señalado en el artículo 37 de esta Ley, las modificaciones a realizarse y aportar la documentación que sustente su petición.
Artículo 54. El responsable comunicará a la persona titular, en un plazo máximo de veinte días, contados desde la fecha en que se recibió la solicitud para el ejercicio de los derechos ARCO, la determinación adoptada, a efecto de que, si resulta procedente, se haga efectiva la misma dentro de los quince días siguientes a la fecha en que se comunica la respuesta.
Tratándose de solicitudes para el ejercicio del derecho de acceso a datos personales, procederá la entrega previa acreditación de la identidad del titular o representante legal, según corresponda.
Los plazos antes referidos podrán ser ampliados una sola vez por un periodo igual, siempre y cuando así lo justifiquen las circunstancias del caso y siempre y cuando se le notifique al titular dentro del plazo de respuesta.
Artículo 55. La obligación de acceso a los datos personales se dará por cumplida cuando se pongan a disposición de la persona titular los mismos; o bien, mediante la expedición de copias simples, documentos electrónicos o cualquier otro medio que determine el responsable en el aviso de privacidad.
En el caso de que la persona titular solicite el acceso a los datos a una persona que presume es el responsable y ésta resulta no serlo, bastará con que así se le indique a la persona titular por cualquiera de los medios a que se refiere el párrafo anterior, para tener por cumplida la solicitud.
Artículo 56. Las causas en las que el ejercicio de los derechos ARCO no serán procedentes y por tanto el responsable podrá negar los mismos son:
I. Cuando la persona titular o el representante legal no estén debidamente acreditados para ello;
II. Cuando los datos personales no se encuentren en posesión del responsable;
III. Cuando se lesionen derechos de un tercero;
IV. Cuando exista un impedimento legal, o la resolución de una autoridad competente, que restrinja el acceso a los datos personales, o no permita la rectificación, cancelación u oposición de los mismos,
V. Cuando la rectificación, cancelación u oposición haya sido previamente realizada.
VI. Se obstaculicen actuaciones judiciales o administrativas.
VII. Exista un Impedimento legal.
VIII. El responsable no tenga competencia.
IX. Sean necesarios para proteger los intereses jurídicamente tutelados del titular.
X. Sean necesarios para dar cumplimiento a obligaciones legalmente adquiridas por el titular.
La negativa a que se refiere este artículo podrá ser parcial cuando alguno de los requerimientos descritos en la solicitud para el ejercicio de los derechos ARCO de la persona titular o de su representante no se encuentren en alguna de las causas antes referidas, en cuyo caso el responsable efectuará el acceso, rectificación, cancelación u oposición requerida.
En todos los casos anteriores, el responsable deberá informar el motivo de su decisión y comunicarla a la persona titular, o en su caso, al representante legal, en un plazo no mayor a veinte días, contados a partir de la presentación de la solicitud correspondiente, fundando y motivando su resolución, acompañando, en su caso, las pruebas que resulten pertinentes.
Artículo 57. El ejercicio de los derechos ARCO es gratuito, solo podrán realizarse cobros para recuperar los costos de reproducción, certificación de copias o envío, conforme a la normatividad aplicable.
Cuando la persona titular proporcione el medio magnético, electrónico o el mecanismo necesario para reproducir los datos personales, los mismos deberán ser entregados sin costo a esta.
El responsable no podrá establecer, para la presentación de las solicitudes del ejercicio de los derechos ARCO y de portabilidad, algún servicio o medio que implique un costo al titular, salvo el caso en que una misma persona titular o su representante reitere su solicitud en un periodo menor a doce meses, los costos no serán mayores a tres veces la Unidad de Medida y Actualización vigente, a menos que existan modificaciones sustanciales al aviso de privacidad que motiven nuevas consultas.
Capítulo III
De la Portabilidad de los Datos
Artículo 58. Cuando se traten datos personales por vía electrónica en un formato estructurado y comúnmente utilizado, la persona titular tendrá derecho a obtener del responsable una copia de los datos objeto de tratamiento en un formato electrónico estructurado y comúnmente utilizado que le permita seguir utilizándolos.
Cuando la persona titular haya facilitado los datos personales y el tratamiento se base en el consentimiento o en un contrato, tendrá derecho a transmitir dichos datos personales y cualquier otra información que haya facilitado y que se conserve en un sistema de tratamiento automatizado a otro sistema en un formato electrónico comúnmente utilizado, sin impedimentos por parte del responsable del tratamiento de quien se retiren los datos personales.
TÍTULO CUARTO
RELACIÓN DEL RESPONSABLE Y LA PERSONA ENCARGADA
CAPÍTULO ÚNICO
RESPONSABLE Y PERSONA ENCARGADA
Artículo 59. La persona encargada deberá realizar las actividades de tratamiento de los datos personales sin ostentar poder alguno de decisión sobre el alcance y contenido del mismo, así como limitar sus actuaciones a los términos fijados por el responsable.
Artículo 60. La relación entre el responsable y la persona encargada deberá estar formalizada mediante contrato o cualquier otro instrumento jurídico que decida el responsable, de conformidad con las disposiciones jurídicas aplicables, y que permita acreditar su existencia, alcance y contenido.
En el contrato o instrumento jurídico que decida el responsable se deberán prever, al menos, las siguientes cláusulas generales relacionadas con los servicios que preste la persona encargada:
I.Realizar el tratamiento de los datos personales conforme a las instrucciones del responsable;
II.Abstenerse de tratar los datos personales para finalidades distintas a las instruidas por el responsable;
III.Implementar las medidas de seguridad conforme a los instrumentos jurídicos aplicables;
IV.Informar al responsable cuando ocurra una vulneración a los datos personales que trata por sus instrucciones;
V.Guardar confidencialidad respecto de los datos personales tratados;
VI.Suprimir o devolver los datos personales objeto de tratamiento una vez cumplida la relación jurídica con el responsable, siempre y cuando no exista una previsión legal que exija la conservación de los datos personales, y
VII.Abstenerse de transferir los datos personales salvo en el caso de que el responsable así lo determine, o la comunicación derive de una subcontratación, o por mandato expreso de la autoridad competente.
Los acuerdos entre el responsable y la persona encargada relacionados con el tratamiento de datos personales no deberán contravenir la presente Ley y demás disposiciones aplicables, así como lo establecido en el aviso de privacidad correspondiente.
Artículo 61. Cuando la persona encargada incumpla las instrucciones del responsable y decida por sí misma sobre el tratamiento de los datos personales, asumirá el carácter de responsable y las consecuencias legales correspondientes conforme a la legislación en la materia que le resulte aplicable.
Artículo 62. La persona encargada podrá, a su vez, subcontratar servicios que impliquen el tratamiento de datos personales por cuenta del responsable, siempre y cuando medie la autorización expresa de este último, en este caso, la persona subcontratada asumirá el carácter de persona encargada en los términos de la presente la Ley y demás disposiciones que resulten aplicables en la materia.
Cuando el contrato o el instrumento jurídico mediante el cual se haya formalizado la relación entre el responsable y la persona encargada, prevea que esta última pueda llevar a cabo a su vez las subcontrataciones de servicios, la autorización a la que refiere el párrafo anterior se entenderá como otorgada a través de lo estipulado en estos.
Artículo 63. Una vez obtenida la autorización expresa del responsable, la persona encargada deberá formalizar la relación adquirida con la persona subcontratada a través de un contrato o cualquier otro instrumento jurídico que decida, de conformidad con la normatividad que le resulte aplicable, y permita acreditar la existencia, alcance y contenido de la prestación del servicio en términos de lo previsto en el presente Capítulo.
Artículo 64. El responsable podrá contratar o adherirse a servicios, aplicaciones e infraestructura en el cómputo en la nube, y otras materias que impliquen el tratamiento de datos personales, siempre y cuando la persona proveedora externa garantice políticas de protección de datos personales equivalentes a los principios y deberes establecidos en la presente Ley y demás disposiciones que resulten aplicables en la materia.
En su caso, el responsable deberá delimitar el tratamiento de los datos personales por parte de la persona proveedora externa a través de cláusulas contractuales u otros instrumentos jurídicos.
Artículo 65. Para el tratamiento de datos personales en servicios, aplicaciones e infraestructura de cómputo en la nube y otras materias, en los que el responsable se adhiera a los mismos mediante condiciones o cláusulas generales de contratación, sólo podrá utilizar aquellos servicios en los que la persona proveedora:
I.Cumpla, al menos, con lo siguiente:
a)Tener y aplicar políticas de protección de datos personales afines a los principios y deberes que correspondan conforme a lo previsto en la presente Ley y demás disposiciones jurídicas aplicables;
b)Transparentar las subcontrataciones que involucren la información sobre la que se presta el servicio;
c)Abstenerse de incluir condiciones en la prestación del servicio que le autoricen o permitan asumir la titularidad o propiedad de la información sobre la que preste el servicio, y
d)Guardar confidencialidad respecto de los datos personales sobre los que se preste el servicio, y
II.Cuente con mecanismos, al menos, para:
a)Dar a conocer cambios en sus políticas de privacidad o condiciones del servicio que presta;
b)Permitir al responsable limitar el tipo de tratamiento de los datos personales sobre los que se presta el servicio;
c)Establecer y mantener medidas de seguridad para la protección de los datos personales sobre los que se preste el servicio;
d)Garantizar la supresión de los datos personales una vez que haya concluido el servicio prestado al responsable y que este último haya podido recuperarlos, y
e)Impedir el acceso a los datos personales a personas que no cuenten con privilegios de acceso, o bien, en caso de que sea a solicitud fundada y motivada de autoridad competente, informar de ese hecho al responsable.
En cualquier caso, el responsable no podrá adherirse a servicios que no garanticen la debida protección de los datos personales, conforme a la presente Ley y demás disposiciones que resulten aplicables en la materia.
TITULO QUINTO
TRANSFERENCIA DE DATOS Y AUTORREGULACIÓN
CAPÍTULO I
DE LA TRANSFERENCIA DE DATOS
Artículo 66. Cuando el responsable pretenda transferir los datos personales a terceros nacionales o extranjeros, distintos de la persona encargada deberá comunicar a éstos el aviso de privacidad y las finalidades a las que la persona titular sujetó su tratamiento.
El tratamiento de los datos se hará conforme a lo convenido en el aviso de privacidad, el cual contendrá una cláusula en la que se indique si la persona titular acepta o no la transferencia de sus datos, de igual manera, el tercero receptor, asumirá las mismas obligaciones que correspondan al responsable que transfirió los datos.
Artículo 67. Toda transferencia deberá formalizarse mediante la suscripción de cláusulas contractuales, convenios de colaboración o cualquier otro instrumento jurídico, de conformidad con la normatividad que le resulte aplicable al responsable, que permita demostrar el alcance del tratamiento de los datos personales, así como las obligaciones y responsabilidades asumidas por las partes.
Lo dispuesto en el párrafo anterior no será aplicable en los siguientes casos:
I.Cuando la transferencia sea nacional y se realice entre responsables en virtud del cumplimiento de una disposición legal o en el ejercicio de atribuciones expresamente conferidas a éstos, o
II.Cuando la transferencia sea internacional y se encuentre prevista en una ley o tratado suscrito y ratificado por México, o bien, se realice a petición de una autoridad extranjera u organismo internacional competente en su carácter de receptor, siempre y cuando las facultades entre el responsable transferente y receptor sean homólogas o las finalidades que motivan la transferencia sean análogas o compatibles respecto de aquéllas que dieron origen al tratamiento del responsable transferente.
Artículo 68. Las transferencias nacionales o internacionales de datos podrán llevarse a cabo sin el consentimiento de la persona titular cuando se ubiquen en alguno de los supuestos siguientes:
I. La transferencia esté prevista en esta Ley u otras leyes, convenios o Tratados internacionales suscritos y ratificados por el Estado Mexicano.
II. La transferencia sea necesaria para la prevención o el diagnóstico médico, la prestación de asistencia sanitaria, tratamiento médico o la gestión de servicios sanitarios, siempre y cuando dichos fines sean acreditados.
III. La transferencia sea efectuada a sociedades controladoras, subsidiarias o afiliadas bajo el control común del responsable, o a una sociedad matriz o a cualquier sociedad del mismo grupo del responsable que opere bajo los mismos procesos y políticas internas;
IV. La transferencia sea necesaria por virtud de un contrato celebrado o por celebrar en interés de la persona titular, por el responsable y un tercero;
V. La transferencia sea necesaria o legalmente exigida para la salvaguarda de un interés público, o para la procuración o administración de justicia;
VI. La transferencia sea precisa para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial,
Vlll. La transferencia sea precisa para el mantenimiento o cumplimiento de una relación jurídica entre el responsable y la persona titula, y
IX. Sea precisa para el reconocimiento, ejercicio o defensa de derecho ante autoridad competente, siempre y cuando medie requerimiento de esta última.
Artículo 69. Las remisiones nacionales e internacionales de datos personales que se realicen entre el responsable y la persona encargada no requerirán ser informadas a la persona titular, ni contar con su consentimiento.
CAPÍTULO II
DE LA AUTORREGULACIÓN
Artículo 70. Las personas físicas o morales podrán convenir entre ellas o con organizaciones civiles o gubernamentales, nacionales o extranjeras, esquemas de autorregulación vinculante en la materia, que complementen lo dispuesto por la presente Ley. Dichos esquemas deberán contener mecanismos para medir su eficacia en la protección de los datos, consecuencias y medidas correctivas eficaces en caso de incumplimiento.
Los esquemas de autorregulación podrán traducirse en códigos deontológicos o de buena práctica profesional, sellos de confianza u otros mecanismos y contendrán reglas o estándares específicos que permitan armonizar los tratamientos de datos efectuados por los adheridos y facilitar el ejercicio de los derechos de las personas titulares. Dichos esquemas serán notificados de manera simultánea a las autoridades correspondientes y a la Secretaría.
TÍTULO SEXTO
ACCIONES PREVENTIVAS EN MATERIA DE PROTECCIÓN DE DATOS PERSONALES
CAPÍTULO I
DE LAS MEJORES PRÁCTICAS
Artículo 71. Para el cumplimiento de las obligaciones previstas en la presente Ley, el responsable podrá desarrollar o adoptar, en lo individual o en acuerdo con otros responsables, encargados u organizaciones, esquemas de mejores prácticas que tengan por objeto:
I.Elevar el nivel de protección de los datos personales;
II.Armonizar el tratamiento de datos personales en un sector específico;
III.Facilitar el ejercicio de los derechos ARCO por parte de las personas titulares;
IV.Facilitar las transferencias de datos personales;
V.Complementar las disposiciones previstas en la normatividad que resulte aplicable en materia de protección de datos personales, y
VI.Demostrar ante la Secretaría o las Autoridades garantes, el cumplimiento de la normatividad que resulte aplicable en materia de protección de datos personales.
Artículo 72. Todo esquema de mejores prácticas que busque la validación o reconocimiento por parte de la Secretaría o las Autoridades garantes deberá:
I.Cumplir con los criterios y parámetros que para tal efecto emita la Secretaría o la Autoridad garante que corresponda según su ámbito de competencia, y
II.Ser notificado ante la Secretaría o las Autoridades garantes de conformidad con el procedimiento establecido en los parámetros señalados en la fracción anterior, a fin de que sean evaluados y, en su caso, validados o reconocidos e inscritos en el registro al que refiere el último párrafo de este artículo.
La Secretaría o las Autoridades garantes, según su ámbito de competencia, deberán emitir las reglas de operación de los registros en los que se inscribirán aquellos esquemas de mejores prácticas validados o reconocidos. Las Autoridades garantes podrán inscribir los esquemas de mejores prácticas que hayan reconocido o validado en el registro administrado por la Secretaría, de acuerdo con las reglas que fije esta última.
Artículo 73. Cuando el responsable pretenda poner en operación o modificar políticas públicas, sistemas o plataformas informáticas, aplicaciones electrónicas o cualquier otra tecnología que a su juicio y de conformidad con esta Ley impliquen el tratamiento intensivo o relevante de datos personales, deberá realizar una evaluación de impacto en la protección de datos personales, y presentarla ante la Secretaría o las Autoridades garantes, según su ámbito de competencia, las cuales podrán emitir recomendaciones no vinculantes especializadas en la materia de protección de datos personales.
El contenido de la evaluación de impacto en la protección de datos personales deberá determinarse por la Secretaría o la Autoridad garante, en el ámbito de su competencia.
Artículo 74. Para efectos de esta Ley se considerará que se está en presencia de un tratamiento intensivo o relevante de datos personales cuando:
I.Existan riesgos inherentes a los datos personales a tratar;
II.Se traten datos personales sensibles, y
III.Se efectúen o pretendan efectuar transferencias de datos personales.
Artículo 75. La Secretaría o la Autoridad garante, en el ámbito de su competencia, podrá emitir criterios adicionales con sustento en parámetros objetivos que determinen que se está en presencia de un tratamiento intensivo o relevante de datos personales, de conformidad con lo dispuesto en el artículo anterior, en función de:
I.El número de personas titulares;
II.El público objetivo;
III.El desarrollo de la tecnología utilizada, y
IV.La relevancia del tratamiento de datos personales en atención al impacto social o económico del mismo, o bien, del interés público que se persigue.
Artículo 76. Los sujetos obligados que realicen una evaluación de impacto en la protección de datos personales, deberán presentarla ante la Secretaría o las Autoridades garantes, según su ámbito de competencia, treinta días anteriores a la fecha en que se pretenda poner en operación o modificar políticas públicas, sistemas o plataformas informáticas, aplicaciones electrónicas o cualquier otra tecnología, a efecto de que emitan las recomendaciones no vinculantes correspondientes.
Artículo 77. La Secretaría o las Autoridades garantes, según su ámbito de competencia, deberán emitir, de ser el caso, recomendaciones no vinculantes sobre la evaluación de impacto en la protección de datos personales presentado por el responsable.
El plazo para la emisión de las recomendaciones a que se refiere el párrafo anterior será dentro de los treinta días siguientes contados a partir del día siguiente a la presentación de la evaluación de impacto en la protección de datos personales.
Artículo 78. Cuando a juicio del sujeto obligado se puedan comprometer los efectos que se pretenden lograr con la posible puesta en operación o modificación de políticas públicas, sistemas o plataformas informáticas, aplicaciones electrónicas o cualquier otra tecnología que implique el tratamiento intensivo o relevante de datos personales o se trate de situaciones de emergencia o urgencia, no será necesario realizar la evaluación de impacto en la protección de datos personales.
CAPÍTULO II
DE LAS BASES DE DATOS EN POSESIÓN DE INSTANCIAS DE SEGURIDAD, PROCURACIÓN Y ADMINISTRACIÓN DE JUSTICIA
Artículo 79. La obtención y tratamiento de datos personales, en términos de lo que dispone esta Ley, por parte de los sujetos obligados competentes en instancias de seguridad, procuración y administración de justicia, está limitada a aquellos supuestos y categorías de datos que resulten necesarios y proporcionales para el ejercicio de las funciones en materia de seguridad nacional, seguridad pública, o para la prevención o persecución de los delitos. Deberán ser almacenados en las bases de datos establecidas para tal efecto.
Las autoridades que accedan y almacenen los datos personales que se recaben por los particulares en cumplimiento de las disposiciones legales correspondientes, deberán cumplir con las disposiciones señaladas en el presente Capítulo.
Artículo 80. En el tratamiento de datos personales, así como en el uso de las bases de datos para su almacenamiento, que realicen los sujetos obligados competentes de las instancias de seguridad, procuración y administración de justicia deberá cumplir con los principios establecidos en el Título Segundo de la presente Ley.
Las comunicaciones privadas son inviolables. Exclusivamente la autoridad judicial federal, a petición de la autoridad federal que faculte la ley o de la persona titular del Ministerio Público de la entidad federativa correspondiente, podrá autorizar la intervención de cualquier comunicación privada.
Artículo 81. Los responsables de las bases de datos a que se refiere este Capítulo deberán establecer medidas de seguridad de nivel alto, para garantizar la integridad, disponibilidad y confidencialidad de la información, que permitan proteger los datos personales contra daño, pérdida, alteración, destrucción o el uso, acceso o tratamiento no autorizado.
TÍTULO SÉPTIMO
RESPONSABLES EN MATERIA DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE LOS SUJETOS OBLIGADOS
Capítulo I
Comité de Transparencia
Artículo 82. Cada responsable contará con un Comité de Transparencia, el cual se integrará y funcionará conforme a lo dispuesto en la Ley General de Transparencia y Acceso a la Información Pública y demás disposiciones jurídicas aplicables.
El Comité de Transparencia será la autoridad máxima en materia de protección de datos personales.
Artículo 83. Para los efectos de la presente Ley y sin perjuicio de otras atribuciones que le sean conferidas en la normatividad que le resulte aplicable, el Comité de Transparencia tendrá las siguientes funciones:
I.Coordinar, supervisar y realizar las acciones necesarias para garantizar el derecho a la protección de los datos personales en la organización del responsable, de conformidad con lo previsto en la presente Ley y demás disposiciones aplicables en la materia;
II.Instituir, en su caso, procedimientos internos para asegurar la mayor eficiencia en la gestión de las solicitudes para el ejercicio de los derechos ARCO;
III.Confirmar, modificar o revocar las determinaciones en las que se declare la inexistencia de los datos personales, o se niegue por cualquier causa el ejercicio de alguno de los derechos ARCO;
IV.Establecer y supervisar la aplicación de criterios específicos que resulten necesarios para una mejor observancia de la presente Ley y demás disposiciones aplicables en la materia;
V.Supervisar, en coordinación con las áreas o unidades administrativas competentes, el cumplimiento de las medidas, controles y acciones previstas en el documento de seguridad;
VI.Dar seguimiento y cumplimiento a las resoluciones emitidas por la Secretaría o las Autoridades garantes, según corresponda;
VII.Establecer programas de capacitación y actualización para las personas servidoras públicas en materia de protección de datos personales, y
IX. Dar vista al órgano interno de control o instancia equivalente en aquellos casos en que tenga conocimiento, en el ejercicio de sus atribuciones, de una presunta irregularidad respecto de determinado tratamiento de datos personales; particularmente en casos relacionados con la declaración de inexistencia que realicen los responsables.
Capítulo II
De la Unidad de Transparencia
Artículo 84. Cada responsable contará con una Unidad de Transparencia que se integrará y funcionará conforme a lo dispuesto en la Ley General de Transparencia y Acceso a la Información Pública, que tendrá además las siguientes funciones:
I.Auxiliar y orientar a la persona titular que lo requiera con relación al ejercicio del derecho a la protección de datos personales;
II.Gestionar las solicitudes para el ejercicio de los derechos ARCO;
III.Establecer mecanismos para asegurar que los datos personales solo se entreguen a la persona titular o su representante debidamente acreditados;
IV.Informar a la persona titular o su representante el monto de los costos a cubrir por la reproducción y envío de los datos personales, con base en lo establecido en las disposiciones jurídicas aplicables;
V.Proponer al Comité de Transparencia los procedimientos internos que aseguren y fortalezcan mayor eficiencia en la gestión de las solicitudes para el ejercicio de los derechos ARCO;
VI.Aplicar instrumentos de evaluación de calidad sobre la gestión de las solicitudes para el ejercicio de los derechos ARCO, y
VII.Asesorar a las áreas adscritas al responsable en materia de protección de datos personales.
Los responsables que en el ejercicio de sus funciones sustantivas lleven a cabo tratamientos de datos personales relevantes o intensivos, podrán designar a un oficial de protección de datos personales, especializado en la materia, quien realizará las atribuciones mencionadas en este artículo y formará parte de la Unidad de Transparencia.
Los sujetos obligados promoverán acuerdos con instituciones públicas especializadas que pudieran auxiliarles a la recepción, trámite y entrega de las respuestas a solicitudes de información, en la lengua indígena, braille o cualquier formato accesible correspondiente, en forma más eficiente.
Artículo 85. El responsable procurará que las personas con algún tipo de discapacidad o grupos de atención prioritaria, puedan ejercer, en igualdad de circunstancias, su derecho a la protección de datos personales.
TÍTULO OCTAVO
AUTORIDADES GARANTES
Capítulo I
De la Secretaría
Artículo 86. La Secretaría de la Función Pública, para efectos de esta Ley, tendrá por objeto difundir el conocimiento del derecho a la protección de datos personales en la sociedad mexicana, promover su ejercicio y vigilar por la debida observancia de las disposiciones previstas en la presente Ley y que deriven de la misma; en particular aquellas relacionadas con el cumplimiento de obligaciones por parte de los sujetos regulados por este ordenamiento.
Artículo 87. La Secretaría tiene las siguientes atribuciones:
I.Garantizar el ejercicio del derecho a la protección de datos personales en posesión de sujetos obligados;
II.Interpretar la presente Ley en el ámbito administrativo;
III.Conocer y resolver los recursos de revisión que interpongan las personas titulares, en términos de lo dispuesto en la presente Ley y demás disposiciones aplicables en la materia;
IV.Conocer y resolver, de oficio o a petición fundada por las Autoridades garantes, los recursos de revisión que por su interés y trascendencia así lo ameriten, en términos de lo dispuesto en la presente Ley y demás disposiciones que resulten aplicables en la materia;
V.Conocer, sustanciar y resolver los procedimientos de verificación;
VI.Establecer y ejecutar las medidas de apremio previstas en términos de lo dispuesto por la presente Ley y demás disposiciones que resulten aplicables en la materia;
VII.Denunciar ante las autoridades competentes las presuntas infracciones a la presente Ley y, en su caso, aportar las pruebas con las que cuente;
VIII.Coordinarse con las autoridades competentes para que las solicitudes para el ejercicio de los derechos ARCO y los recursos de revisión que se presenten en lengua indígena, sean atendidos en la misma lengua;
IX.Garantizar, en el ámbito de su respectiva competencia, condiciones de accesibilidad para que las personas titulares que pertenecen a grupos de atención prioritaria puedan ejercer, en igualdad de circunstancias, su derecho a la protección de datos personales;
X.Elaborar y publicar estudios e investigaciones para difundir y ampliar el conocimiento sobre la materia de la presente Ley;
XI.Proporcionar apoyo técnico a los responsables para el cumplimiento de las obligaciones establecidas en la presente Ley;
XII.Divulgar y emitir recomendaciones, estándares y mejores prácticas en las materias reguladas por la presente Ley;
XIII.Vigilar y verificar el cumplimiento de las disposiciones contenidas en la presente Ley;
XIV.Administrar el registro de esquemas de mejores prácticas a que se refiere la presente Ley y emitir sus reglas de operación;
XV.Emitir, en su caso, las recomendaciones no vinculantes correspondientes a la evaluación de impacto en la protección de datos personales que le sean presentadas;
XVI.Emitir disposiciones generales para el desarrollo del procedimiento de verificación;
XVII.Realizar las evaluaciones correspondientes a los esquemas de mejores prácticas que les sean notificados, a fin de resolver sobre la procedencia de su reconocimiento o validación e inscripción en el registro de esquemas de mejores prácticas, así como promover la adopción de los mismos;
XVIII.Emitir, en el ámbito de su competencia, las disposiciones administrativas de carácter general para el debido cumplimiento de los principios, deberes y obligaciones que establece la presente Ley, así como para el ejercicio de los derechos de las personas titulares;
XIX.Celebrar convenios con los responsables para desarrollar programas que tengan por objeto homologar tratamientos de datos personales en sectores específicos, elevar la protección de los datos personales y realizar cualquier mejora a las prácticas en la materia;
XX.Definir y desarrollar el sistema de certificación en materia de protección de datos personales, de conformidad con lo que se establezca en los parámetros a que se refiere la presente Ley;
XXI.Llevar a cabo acciones y actividades que promuevan el conocimiento del derecho a la protección de datos personales, así como de sus prerrogativas;
XXII.Diseñar y aplicar indicadores y criterios para evaluar el desempeño de los responsables respecto al cumplimiento de la presente Ley y demás disposiciones que resulten aplicables en la materia;
XXIII.Promover la capacitación y actualización en materia de protección de datos personales entre los responsables;
XXIV.Emitir lineamientos generales para el debido tratamiento de los datos personales;
XXV.Emitir lineamientos para homologar el ejercicio de los derechos ARCO;
XXVI.Emitir criterios generales de interpretación para garantizar el derecho a la protección de datos personales;
XXVII.Cooperar con otras autoridades de supervisión y organismos nacionales e internacionales, a efecto de coadyuvar en materia de protección de datos personales, de conformidad con las disposiciones previstas en la presente Ley y demás disposiciones jurídicas aplicables;
XXVIII.Promover e impulsar el ejercicio y tutela del derecho a la protección de datos personales a través de la implementación y administración de la Plataforma Nacional;
XXIX.Cooperar con otras autoridades nacionales o internacionales para combatir conductas relacionadas con el tratamiento indebido de datos personales;
XXX.Diseñar, vigilar y, en su caso, operar el sistema de buenas prácticas en materia de protección de datos personales, así como el sistema de certificación en la materia, a través de disposiciones de carácter general que emita para tales fines;
XXXI.Celebrar convenios con las Autoridades garantes y responsables que coadyuven al cumplimiento de los objetivos previstos en la presente Ley y demás disposiciones aplicables en la materia, y
XXXII.Las demás que le confiera la presente Ley y demás ordenamientos aplicables.
Capítulo II
De la Coordinación y Promoción del Derecho a la Protección de Datos Personales
Artículo 88. Los responsables deberán colaborar con la Secretaría y las Autoridades garantes, según corresponda, para capacitar y actualizar de forma permanente a todas las personas servidoras públicas que tengan adscritas en materia de protección de datos personales, a través de la impartición de cursos, seminarios, talleres y cualquier otra forma de enseñanza y entrenamiento que se considere pertinente.
Artículo 89. La Secretaría y las Autoridades garantes, en el ámbito de sus respectivas competencias, deberán:
I.Promover que en los programas y planes de estudio, libros y materiales que se utilicen en las instituciones educativas de todos los niveles y modalidades del Estado, se incluyan contenidos sobre el derecho a la protección de datos personales, así como una cultura sobre el ejercicio y respeto de éste;
II.Impulsar en conjunto con instituciones de educación superior, la integración de centros de investigación, difusión y docencia sobre el derecho a la protección de datos personales que promuevan el conocimiento sobre este tema y coadyuven con la Secretaría y las Autoridades garantes en sus tareas sustantivas, y
III.Fomentar la creación de espacios de participación social y ciudadana que estimulen el intercambio de ideas entre la sociedad, los órganos de representación ciudadana y los responsables.
TITULO NOVENO
DEL LOS PROCEDIMIENTOS DE IMPUGNACION.
Capitulo l
DISPOSICIONES GENERALES.
Artículo 90. La persona titular o su representante podrá interponer un recurso de revisión ante la Secretaría o las Autoridades garantes, según corresponda, o bien, ante la Unidad de Transparencia que haya conocido de la solicitud para el ejercicio de los derechos ARCO dentro de un plazo que no podrá exceder de quince días contados a partir de la notificación de la respuesta, a través de los siguientes medios:
I.Por escrito libre en el domicilio de la Secretaría o de las Autoridades garantes, según corresponda, o en las oficinas habilitadas que al efecto establezcan;
II.Por correo certificado con acuse de recibo;
III.Por formatos que al efecto emita la Secretaría o las Autoridades garantes, según corresponda;
IV.Por los medios electrónicos que para tal fin se autoricen, o
V.Cualquier otro medio que al efecto establezca la Secretaría o las Autoridades garantes, según corresponda.
Se presumirá que la persona titular acepta que las notificaciones le sean efectuadas por el mismo conducto que presentó su escrito, salvo que acredite haber señalado uno distinto para recibir notificaciones.
Artículo 91. La persona titular podrá acreditar su identidad a través de cualquiera de los siguientes medios:
I.Identificación oficial;
II.Firma electrónica avanzada o del instrumento electrónico que lo sustituya, o
III.Mecanismos de autenticación autorizados por la Secretaría o las Autoridades garantes, según corresponda, mediante acuerdo publicado en el Diario Oficial de la Federación o en los diarios y gacetas oficiales de las Entidades Federativas.
El uso de la firma electrónica avanzada o del instrumento electrónico que lo sustituya eximirá de la presentación de la copia del documento de identificación.
Artículo 92. Cuando la persona titular actúe mediante un representante, este deberá acreditar su personalidad en los siguientes términos:
I.Si se trata de una persona física, a través de carta poder simple suscrita ante dos testigos anexando copia de las identificaciones de los suscriptores, o instrumento público, o declaración en comparecencia personal de la persona titular y del representante ante la Secretaría o las Autoridades garantes, y
II.Si se trata de una persona moral, mediante instrumento público.
Artículo 93. La interposición del recurso de revisión relacionado con datos personales de personas fallecidas, podrá realizarla la persona que acredite tener un interés jurídico o legítimo.
Artículo 94. En la sustanciación de los recursos de revisión, las notificaciones que emitan la Secretaría y las Autoridades garantes, según corresponda, surtirán efectos el mismo día en que se practiquen.
Las notificaciones podrán efectuarse:
I.Personalmente en los siguientes casos:
a)Se trate de la primera notificación;
b)Se trate del requerimiento de un acto a la parte que deba cumplirlo;
c)Se trate de la solicitud de informes o documentos;
d)Se trate de la resolución que ponga fin al procedimiento de que se trate, y
e)En los demás casos que disponga la ley;
II.Por correo certificado con acuse de recibo o medios digitales o sistemas autorizados por la Secretaría o las Autoridades garantes, según corresponda, mediante acuerdo publicado en el Periódico Oficial del Estado o medio oficiales de difusión de Secretaria o de las Autoridades garantes, cuando se trate de requerimientos, emplazamientos, solicitudes de informes o documentos y resoluciones que puedan ser impugnadas;
III.Por correo postal ordinario o por correo electrónico ordinario cuando se trate de actos distintos de los señalados en las fracciones anteriores, o
IV.Por estrados, cuando la persona a quien deba notificarse no sea localizable en su domicilio, se ignore este o el de su representante.
Artículo 95. El cómputo de los plazos señalados en el presente Título comenzará a correr a partir del día siguiente a aquél en que haya surtido efectos la notificación correspondiente.
Concluidos los plazos fijados a las partes, se tendrá por perdido el derecho que dentro de ellos debió ejercitarse, sin necesidad de acuse de rebeldía por parte de la Secretaría.
Artículo 96. La persona titular, el responsable o cualquier autoridad deberá atender los requerimientos de información en los plazos y términos que la Secretaría y las Autoridades garantes, según corresponda, establezcan.
Artículo 97. Cuando la persona titular, el responsable o cualquier autoridad se niegue a atender o cumplimentar los requerimientos, solicitudes de información y documentación, emplazamientos, citaciones o diligencias notificadas por la Secretaría y las Autoridades garantes, según corresponda, o facilitar la práctica de las diligencias que hayan sido ordenadas, o entorpezca sus actuaciones, según corresponda, tendrán por perdido su derecho para hacerlo valer en algún otro momento del procedimiento y la Secretaría y las Autoridades garantes, según corresponda, tendrán por ciertos los hechos materia del procedimiento y resolverán con los elementos que dispongan.
Artículo 98. En la sustanciación de los recursos de revisión, las partes podrán ofrecer las siguientes pruebas:
I.La documental pública;
II.La documental privada;
III.La inspección;
IV.La pericial;
V.La testimonial;
VI.La confesional, excepto tratándose de autoridades;
VII.Las imágenes fotográficas, páginas electrónicas, escritos y demás elementos aportados por la ciencia y tecnología, y
VIII.La presuncional legal y humana.
La Secretaría y las Autoridades garantes, según corresponda, podrán allegarse de los medios de prueba que consideren necesarios, sin más limitación que las establecidas en la legislación aplicable.
Artículo 99. Transcurrido el plazo previsto en el artículo 45 de la presente Ley para dar respuesta a una solicitud para el ejercicio de los derechos ARCO sin que se haya emitido ésta, la persona titular o, en su caso, su representante podrá interponer el recurso de revisión dentro de los quince días siguientes a aquel en que haya vencido el plazo para dar respuesta.
Artículo 100. El recurso de revisión procederá en los siguientes supuestos:
I.Se clasifiquen como confidenciales los datos personales sin que se cumplan las características señaladas en las disposiciones jurídicas aplicables;
II.Se declare la inexistencia de los datos personales;
III.Se declare la incompetencia por el responsable;
IV.Se entreguen datos personales incompletos;
V.Se entreguen datos personales que no correspondan con lo solicitado;
VI.Se niegue el acceso, rectificación, cancelación u oposición de datos personales;
VII.No se dé respuesta a una solicitud para el ejercicio de los derechos ARCO dentro de los plazos establecidos en la presente Ley y demás disposiciones aplicables en la materia;
VIII.Se entregue o ponga a disposición datos personales en una modalidad o formato distinto al solicitado, o en un formato incomprensible;
IX.La persona titular se inconforme con los costos de reproducción, envío o tiempos de entrega de los datos personales;
X.Se obstaculice el ejercicio de los derechos ARCO, a pesar de que fue notificada la procedencia de los mismos;
XI.No se dé trámite a una solicitud para el ejercicio de los derechos ARCO, y
XII.En los demás casos que disponga la legislación aplicable.
Artículo 101. Los únicos requisitos exigibles en el escrito de interposición del recurso de revisión serán los siguientes:
I.El área responsable ante quien se presentó la solicitud para el ejercicio de los derechos ARCO;
II.El nombre de la persona titular que recurre o su representante y, en su caso, del tercero interesado, así como el domicilio o medio que señale para recibir notificaciones;
III.La fecha en que fue notificada la respuesta a la persona titular, o bien, en caso de falta de respuesta la fecha de la presentación de la solicitud para el ejercicio de los derechos ARCO;
IV.El acto que se recurre y los puntos petitorios, así como las razones o motivos de inconformidad;
V.En su caso, copia de la respuesta que se impugna y de la notificación correspondiente, y
VI.Los documentos que acrediten la identidad de la persona titular y, en su caso, la personalidad e identidad de su representante.
Al recurso de revisión se podrán acompañar las pruebas y demás elementos que considere la persona titular procedentes someter a juicio de la Secretaría o, en su caso, de las Autoridades garantes.
En ningún caso será necesario que la persona titular ratifique el recurso de revisión interpuesto.
Artículo 102. Una vez admitido el recurso de revisión, la Secretaría o, en su caso, las Autoridades garantes podrán buscar una conciliación entre la persona titular y el responsable.
De llegar a un acuerdo, este se hará constar por escrito y tendrá efectos vinculantes. El recurso de revisión quedará sin materia y la Secretaría o, en su caso, las Autoridades garantes, deberán verificar el cumplimiento del acuerdo respectivo.
Artículo 103. Admitido el recurso de revisión y sin perjuicio de lo dispuesto por el artículo 59 de la presente Ley, la Secretaría o la Autoridad garante promoverá la conciliación entre las partes, de conformidad con el siguiente procedimiento:
I.Requerirá a las partes que manifiesten, por cualquier medio, su voluntad de conciliar, en un plazo no mayor a siete días, contados a partir de la notificación de dicho acuerdo, mismo que contendrá un resumen del recurso de revisión y de la respuesta del responsable si la hubiere, señalando los elementos comunes y los puntos de controversia.
La conciliación podrá celebrarse presencialmente, por medios remotos, electrónicos o por cualquier otro medio que determine, según corresponda. En cualquier caso, la conciliación habrá de hacerse constar por el medio que permita acreditar su existencia.
Queda exceptuado de la etapa de conciliación, cuando la persona titular sea menor de edad y se haya vulnerado alguno de los derechos contemplados en la Ley General de los Derechos de Niñas, Niños y Adolescentes y demás disposiciones jurídicas aplicables, salvo que cuente con representación legal debidamente acreditada;
II.Recibida la manifestación de la voluntad de conciliar por ambas partes, la Secretaría o la Autoridad garante, según corresponda, señalarán el lugar o medio, día y hora para la celebración de una audiencia de conciliación en la que se procurará avenir los intereses entre la persona titular y el responsable, la cual deberá realizarse dentro de los diez días siguientes en que se reciba la manifestación antes mencionada.
La Secretaría o la Autoridad garante en su calidad de conciliadora podrá, en todo momento en la etapa de conciliación, requerir a las partes que presenten en un plazo máximo de cinco días, los elementos de convicción que estime necesarios para la conciliación.
La conciliadora podrá suspender cuando lo estime pertinente o a instancia de ambas partes la audiencia por una ocasión. En caso de que se suspenda la audiencia, la conciliadora señalará día y hora para su reanudación dentro de los cinco días siguientes.
De toda audiencia de conciliación se levantará el acta respectiva, en la que conste el resultado de la misma. En caso de que el responsable o la persona titular o sus respectivos representantes no firmen el acta, ello no afectará su validez, debiéndose hacer constar dicha negativa;
III.Si alguna de las partes no acude a la audiencia de conciliación y justifica su ausencia en un plazo de tres días, será convocada a una segunda audiencia de conciliación, en el plazo de cinco días. En caso de que no acuda a esta última, se continuará con el recurso de revisión. Cuando alguna de las partes no acuda a la audiencia de conciliación sin justificación alguna, se continuará con el procedimiento;
IV.De no existir acuerdo en la audiencia de conciliación, se continuará con el recurso de revisión;
V.De llegar a un acuerdo, este se hará constar por escrito y tendrá efectos vinculantes. El recurso de revisión quedará sin materia y la Secretaría o, en su caso, las Autoridades garantes, deberán verificar el cumplimiento del acuerdo respectivo, y
VI.El cumplimiento del acuerdo dará por concluida la sustanciación del recurso de revisión, en caso contrario, la Secretaría o la Autoridad garante, reanudará el procedimiento.
Artículo 104. La Secretaría o las Autoridades garantes, resolverán el recurso de revisión en un plazo que no podrá exceder de cuarenta días, el cual podrá ampliarse hasta por veinte días por una sola vez.
El plazo a que se refiere el párrafo anterior será suspendido durante el periodo de cumplimiento del acuerdo de conciliación.
Artículo 105. Durante el procedimiento a que se refiere el presente Capítulo, la Secretaría o las Autoridades garantes, según corresponda, deberán aplicar la suplencia de la queja a favor de la persona titular, siempre y cuando no altere el contenido original del recurso de revisión, ni modifique los hechos o peticiones expuestas en el mismo, así como garantizar que las partes puedan presentar los argumentos y constancias que funden y motiven sus pretensiones.
Artículo 106. Si en el escrito de interposición del recurso de revisión la persona titular no cumple con alguno de los requisitos previstos en el artículo 101 de la presente Ley y la Secretaría y las Autoridades garantes, según corresponda, no cuenten con elementos para subsanarlos, estas últimas deberán requerir a la persona titular, por una sola ocasión, la información que subsane las omisiones en un plazo que no podrá exceder de cinco días, contados a partir del día siguiente de la presentación del escrito.
La persona titular contará con un plazo que no podrá exceder de cinco días, contados a partir del día siguiente al de la notificación de la prevención, para subsanar las omisiones, con el apercibimiento de que, en caso de no cumplir con el requerimiento, se desechará el recurso de revisión.
La prevención tendrá el efecto de interrumpir el plazo que tienen la Secretaría y las Autoridades garantes para resolver el recurso, por lo que comenzará a computarse a partir del día siguiente a su desahogo.
Artículo 107. Las resoluciones de la Secretaría o, en su caso, de las Autoridades garantes podrán:
I.Sobreseer o desechar el recurso de revisión por improcedente;
II.Confirmar la respuesta del responsable;
III.Revocar o modificar la respuesta del responsable, o
IV.Ordenar la entrega de los datos personales, en caso de omisión del responsable.
Las resoluciones establecerán, en su caso, los plazos y términos para su cumplimiento y los procedimientos para asegurar su ejecución. Los responsables deberán informar a la Secretaría o, en su caso, a las Autoridades garantes el cumplimiento de sus resoluciones.
Ante la falta de resolución por parte de la Secretaría, o en su caso, de las Autoridades garantes, se entenderá confirmada la respuesta del responsable.
Cuando la Secretaría o, en su caso, las Autoridades garantes determinen durante la sustanciación del recurso de revisión que se pudo haber incurrido en una probable responsabilidad por el incumplimiento a las obligaciones previstas en la presente Ley y demás disposiciones jurídicas aplicables en la materia, deberán hacerlo del conocimiento del órgano interno de control o de la instancia competente para que ésta inicie, en su caso, el procedimiento de responsabilidad respectivo.
Artículo 108. El recurso de revisión podrá ser desechado por improcedente cuando:
I.Sea extemporáneo por haber transcurrido el plazo establecido en el artículo 86 de la presente Ley;
II.La persona titular o su representante no acrediten debidamente su identidad y personalidad de este último;
III.La Secretaría o, en su caso, las Autoridades garantes hayan resuelto anteriormente en definitiva sobre la materia del mismo;
IV.No se actualice alguna de las causales del recurso de revisión previstas en el artículo 100 de la presente Ley;
V.Se esté tramitando ante los tribunales competentes algún recurso o medio de defensa interpuesto por la persona recurrente o, en su caso, por el tercero interesado, en contra del acto recurrido ante la Secretaría o las Autoridades garantes, según corresponda;
VI.La persona recurrente modifique o amplíe su petición en el recurso de revisión, únicamente respecto de los nuevos contenidos, o
VII.La persona recurrente no acredite interés jurídico.
El desechamiento no implica la preclusión del derecho de la persona titular para interponer ante la Secretaría o las Autoridades garantes, según corresponda, un nuevo recurso de revisión.
Artículo 109. El recurso de revisión solo podrá ser sobreseído cuando:
I.La persona recurrente se desista expresamente;
II.La persona recurrente fallezca;
III.Una vez admitido se actualice alguna causal de improcedencia en los términos de la presente Ley;
IV.El responsable modifique o revoque su respuesta de tal manera que el mismo quede sin materia, o
V.Quede sin materia.
Artículo 110. La Secretaría y las Autoridades garantes deberán notificar a las partes y publicar las resoluciones, en versión pública, a más tardar al tercer día siguiente de su emisión.
Artículo 111. Las resoluciones de la Secretaría y las Autoridades garantes serán vinculantes, definitivas e inatacables para los responsables.
Las personas titulares podrán impugnar dichas resoluciones ante los jueces y tribunales especializados en materia de datos personales establecidos por el Poder Judicial de la Federación mediante el juicio de amparo.
Capítulo II
De los Criterios de Interpretación
Artículo 112. Una vez que hayan causado ejecutoria las resoluciones dictadas con motivo de los recursos que se sometan a su competencia, la Secretaría podrá emitir los criterios de interpretación que estime pertinentes y que deriven de lo resuelto en los mismos.
La Secretaría podrá emitir criterios de carácter orientador para las Autoridades garantes, que se establecerán por reiteración al resolver tres casos análogos de manera consecutiva en el mismo sentido, derivados de resoluciones que hayan causado estado.
Artículo 113. Los criterios se compondrán de un rubro, un texto y el precedente o precedentes que, en su caso, hayan originado su emisión.
Todo criterio que emita la Secretaría deberá contener una clave de control para su debida identificación.
TÍTULO DECIMO
DE LA VERIFICACIÓN DEL ORGANISMO GARANTE
CAPÍTULO ÚNICO
DISPOSICIONES GENERALES
Artículo 114. La Secretaría y las autoridades Garantes deberán vigilar y verificar el cumplimiento de las disposiciones contenidas en la presente Ley y demás ordenamientos que se deriven de esta. La verificación podrá iniciarse de oficio o a petición de parte.
En el ejercicio de esas funciones, el personal de la Secretaría estará obligado a guardar confidencialidad sobre la información a la que tenga acceso.
Artículo 115. En el procedimiento de verificación la Secretaría tendrá acceso a la información y documentación que considere necesarias, de acuerdo a la resolución que lo motive.
Las personas servidoras públicas estarán obligadas a guardar confidencialidad sobre la información que conozcan derivada de la verificación correspondiente.
La verificación podrá iniciarse:
I. De oficio: procederá cuando se dé el incumplimiento a resoluciones dictadas con motivo del recurso de revisión a que se refiere el Capítulo anterior o se presuma fundada y motivadamente la existencia de violaciones a la presente Ley.
II. Por denuncia:
a) Del titular, cuando considere que ha sido afectado por actos del responsable que contravengan lo dispuesto por la presente Ley y demás normatividad aplicable.
b) De cualquier persona, cuando tenga conocimiento de presunto incumplimiento a las obligaciones previstas en la presente Ley y demás disposiciones aplicables.
El derecho a presentar una denuncia precluye en el término de un año contado a partir del día siguiente en que se realicen los hechos u omisiones materia de la misma. Cuando los hechos u omisiones sean de tracto sucesivo, el término empezará a contar a partir del día hábil siguiente al último hecho realizado
Una vez recibida la denuncia, la Secretaría o las Autoridades garantes acusará recibo de la misma y notificará al denunciante el acuerdo recaído.
No se dará curso a la verificación, cuando se actualicen los supuestos de procedencia del recurso de revisión.
Artículo 116. El procedimiento de verificación se sustanciará en un plazo no mayor a cincuenta días y conforme a lo siguiente:
I. La Secretaría y las Autoridades garantes, expedirá una orden escrita en la que funde y motive la procedencia de su actuación.
II. El objeto de dicha orden será:
a) Requerir al responsable la documentación e información vinculada con la presunta violación.
b) En su caso, realizar visitas a las oficinas o instalaciones del responsable, o en el lugar donde estén ubicadas las bases de datos personales respectivas.
IV. La Secretaría, podrá ordenar medidas cautelares, si durante la verificación se advierte un daño inminente o irreparable en materia de protección de datos personales.
El establecimiento de medidas cautelares y el aseguramiento de bases de datos del responsable, se hará siempre y cuando no impidan el desarrollo de la verificación.
Asimismo, su finalidad será correctiva y temporal, hasta entonces los responsables lleven a cabo las recomendaciones hechas por la Secretaría.
Artículo 117. El procedimiento de verificación concluirá con la resolución que emita la Secretaría, en la cual se establezcan las medidas que deberá adoptar el responsable en el plazo que la misma determine.
La Secretaría tendrá fe pública, en los actos de verificación que lleve a cabo.
Artículo 118. Los responsables podrán someterse, voluntariamente, a la realización de auditorías que tengan por objeto comprobar la adaptación, adecuación y eficacia de los controles, medidas y mecanismos implementados para el cumplimiento de las disposiciones previstas en la presente Ley y demás normatividad aplicable en la materia.
Artículo 119. La Secretaría, elaborará un informe del resultado de las verificaciones referidas en el artículo anterior, en el que señale las deficiencias y se propongan acciones correctivas complementarias, o las recomendaciones que, en su caso, correspondan.
Artículo 120. El derecho a presentar una denuncia precluye en el término de un año, contado a partir del día siguiente en que se realicen los hechos u omisiones materia de la misma.
Artículo 121. La denuncia podrá presentarse por escrito libre, o a través de los formatos, medios electrónicos o cualquier otro medio que establezca la Secretaría y no podrán exigirse mayores requisitos que los siguientes:
I. El nombre de la persona que denuncia o, en su caso, de su representante.
II. El domicilio o medio para recibir notificaciones.
III. La relación de hechos y los elementos con los que cuente para probar su dicho.
IV. El nombre y domicilio del responsable o, en su caso, los datos para su identificación y/o ubicación.
V. La firma del denunciante o, en su caso, de su representante. En caso de no saber firmar, bastará la huella digital.
Artículo 122. La verificación iniciará mediante una orden escrita que funde y motive la procedencia de la actuación por parte de la Secretaría o las Autoridades garantes, la cual tiene por objeto requerir al responsable la documentación e información necesaria vinculada con la presunta violación y/o realizar visitas a las oficinas o instalaciones del responsable o, en su caso, en el lugar donde estén ubicadas las bases de datos personales respectivas.
Para la verificación en instancias de seguridad nacional y seguridad pública, se requerirá en la resolución una fundamentación y motivación reforzada de la causa del procedimiento, debiéndose asegurar la información sólo para uso exclusivo de la autoridad y para los fines establecidos en la presente Ley.
El procedimiento de verificación deberá tener una duración máxima de cincuenta días.
La Secretaría o las Autoridades garantes podrán ordenar medidas cautelares, si del desahogo de la verificación advierten un daño inminente o irreparable en materia de protección de datos personales, siempre y cuando no impidan el cumplimiento de las funciones ni el aseguramiento de bases de datos de los sujetos obligados.
Estas medidas sólo podrán tener una finalidad correctiva y será temporal hasta entonces los sujetos obligados lleven a cabo las recomendaciones hechas por la Secretaría o las Autoridades garantes según corresponda.
Artículo 123. El procedimiento de verificación concluirá con la resolución que emita la Secretaría o las Autoridades garantes, en la cual se establecerán las medidas que deberá adoptar el responsable en el plazo que la misma determine.
Artículo 124. Los responsables podrán voluntariamente someterse a la realización de auditorías por parte de la Secretaría o las Autoridades garantes, según corresponda, que tengan por objeto verificar la adaptación, adecuación y eficacia de los controles, medidas y mecanismos implementados para el cumplimiento de la presente Ley y demás disposiciones jurídicas aplicables.
El informe de auditoría deberá dictaminar sobre la adecuación de las medidas y controles implementados por el responsable, identificar sus deficiencias, así como proponer acciones correctivas complementarias, o bien, recomendaciones que en su caso correspondan.
TÍTULO DECIMO PRIMERO
DE LAS MEDIDAS DE APREMIO, RESPONSABILIDADES, Y SANCIONES
CAPÍTULO I
DISPOSICIONES GENERALES.
Artículo 125. Para el cumplimiento de las resoluciones emitidas por la Secretaría o las Autoridades garantes, según corresponda, se deberá observar lo dispuesto en el Capítulo V del Título Octavo de la Ley General de Transparencia y Acceso a la Información Pública.
Artículo 126. Los responsables, deberán informar a la Secretaría, del cumplimiento de sus resoluciones, en un plazo no mayor a tres días hábiles, contados a partir del día siguiente a su notificación.
Excepcionalmente, considerando las circunstancias especiales del caso, los Sujetos Obligados podrán solicitar a la Secretaría, de manera fundada y motivada, una ampliación del plazo para el cumplimiento de la resolución.
Dicha solicitud deberá presentarse, a más tardar, dentro de los primeros tres días hábiles del plazo otorgado para el cumplimiento, a efecto de que la Secretaría resuelva sobre la procedencia de la misma, dentro de los cinco días siguientes.
Artículo 127. La Secretaría, a más tardar al día siguiente de recibir el informe de cumplimiento, dará vista al recurrente para que, dentro de los cinco días siguientes, manifieste lo que a su derecho convenga.
Si dentro del plazo señalado el recurrente manifiesta que el cumplimiento no corresponde a lo ordenado por la Secretaría, deberá expresar las causas específicas por las cuales así lo considera, sin perjuicio de que la Secretaría ejerza sus facultades de comprobación del cumplimento de sus resoluciones.
Artículo 128. La Secretaría, deberá pronunciarse, en un plazo no mayor a cinco días, sobre lo manifestado por el recurrente y el contenido del informe de cumplimiento.
Artículo 129. Si la Secretaría considera que se dio cumplimiento a la resolución, emitirá un acuerdo de cumplimiento y se ordenará el archivo del expediente.
Artículo 130. En caso contrario, la Secretaría:
I. Emitirá un acuerdo de incumplimiento.
Notificará al responsable para que, en un plazo no mayor a los cinco días siguientes, se dé cumplimiento a la resolución.
II. Determinará las medidas de apremio o sanciones, según corresponda, que deberán imponerse o las acciones procedentes que deberán aplicarse, de conformidad con lo señalado en esta Ley.
Artículo 131. La Secretaría, para asegurar el cumplimiento de sus determinaciones, podrá imponer las siguientes medidas de apremio:
I. La amonestación pública.
II. La multa, equivalente a la cantidad de ciento cincuenta hasta mil quinientas veces el valor diario de la Unidad de Medida y Actualización.
Artículo 132. En caso de que el incumplimiento de las resoluciones implique la presunta comisión de un delito o infracciones a la presente Ley, la Secretaría deberá denunciar los hechos ante la autoridad competente.
Las medidas de apremio de carácter económico no podrán ser cubiertas con recursos públicos.
Artículo 133. Si a pesar de la ejecución de las medidas de apremio no se cumpliere con la resolución, se requerirá a la o el servidor público designado por el responsable para que, dentro de los cinco días posteriores a dicha ejecución, dé cumplimiento a la citada resolución.
De persistir el incumplimiento, se dará vista la autoridad competente en materia de responsabilidades.
Artículo 134. Las medidas de apremio se aplicarán por la Secretaría, la cual podrá apoyarse en la autoridad competente, de conformidad con los procedimientos que establezcan las leyes respectivas.
Artículo 135. Las multas que fije la Secretaría de la Función Pública, se harán efectivas por la Secretaría de Hacienda del Estado, a través de los procedimientos que las leyes establezcan.
Artículo 136. Para imponer las medidas de apremio, la Secretaría tomará en cuenta:
I. La gravedad de la falta, atendiendo al daño causado al titular, los indicios de intencionalidad, la afectación al ejercicio de las atribuciones del responsable y la demora en el cumplimiento de las resoluciones.
II. La condición económica del infractor.
III. La reincidencia.
Artículo 137. La Secretaría emitirá los lineamientos para la calificación, imposición y ejecución de las medidas de apremio para el cumplimiento de sus resoluciones.
Artículo 138. En caso de reincidencia, la Secretaría, podrá imponer una multa equivalente hasta el doble de la que se hubiera determinado.
Se considerará reincidente al que habiendo incurrido en una infracción que haya sido sancionada, cometa otra del mismo tipo o naturaleza.
Artículo 139. Las medidas de apremio deberán aplicarse e implementarse en un plazo máximo de quince días, contados a partir de que sea notificada la medida de apremio a la o el infractor.
Artículo 140. La amonestación pública será impuesta por la Secretaría y será ejecutada por el superior jerárquico de la o el servidor público designado por el responsable.
Artículo 141. La Secretaría, proveerá lo necesario para determinar la condición económica de la o el infractor y fijar el monto de la multa, incluso requerir a las autoridades competentes proporcionen la documentación que considere indispensable para tal efecto.
Artículo 142. En contra de la imposición de medidas de apremio, procede el recurso ante el Poder Judicial del Estado.
Capítulo II
De las Infracciones y Sanciones
Artículo 143. Constituyen infracciones a esta Ley, las conductas llevadas a cabo por el responsable:
I. No cumplir con la solicitud para el ejercicio de los derechos ARCO de la persona titular, sin razón fundada, en los términos previstos en esta Ley;
II. Actuar con negligencia o dolo durante la sustanciación de las solicitudes para el ejercicio de los derechos ARCO;
III. Declarar dolosamente la inexistencia de datos personales, cuando exista total o parcialmente en las bases de datos del responsable;
IV. Dar tratamiento a los datos personales en contravención a los principios establecidos en la presente Ley;
V. Omitir en el aviso de privacidad, alguno o todos los elementos a que se refiere el artículo 24 de esta Ley;
VI. Mantener datos personales inexactos cuando resulte imputable al responsable, o no efectuar las rectificaciones o cancelaciones de los mismos que legalmente procedan cuando resulten afectados los derechos de las personas titulares;
VII. No cumplir con el apercibimiento a que se refiere la fracción I del artículo 74 de la presente Ley;
VIII. Incumplir el deber de confidencialidad establecido en el artículo 28 de esta Ley;
IX. Cambiar sustancialmente la finalidad originaria del tratamiento de los datos, sin observar lo dispuesto por el artículo 19 de esta Ley;
X. Transferir datos a terceros sin comunicar a estos el aviso de privacidad que contiene las limitaciones a que la persona titular sujetó la divulgación de los mismos;
XI. Vulnerar la seguridad de bases de datos, locales, programas o equipos, cuando resulte imputable al responsable;
XII. Llevar a cabo la transferencia o cesión de los datos personales, fuera de los casos en que esté permitida por la Ley;
XIII. Recabar o transferir datos personales sin el consentimiento expreso de la persona titular, en los casos en que éste sea exigible;
XIV. Obstruir los actos de verificación de la autoridad;
XV. Recabar datos en forma engañosa y fraudulenta;
XVI. Continuar con el uso ilegítimo de los datos personales cuando se ha solicitado el cese del mismo por la Secretaría o las personas titulares;
XVII. Tratar los datos personales de manera que se afecte o impida el ejercicio de los derechos ARCO establecidos en el artículo 16 de la Constitución Política de los Estados Unidos Mexicanos;
XVIII. Crear bases de datos en contravención a lo dispuesto por el artículo 16, segundo párrafo de esta Ley, y
XIX. Cualquier incumplimiento del responsable a las obligaciones establecidas a su cargo en términos de lo previsto en la presente Ley.
XII.Crear bases de datos personales en contravención a lo dispuesto por el artículo 5 de la presente Ley;
XIII.No acatar las resoluciones emitidas por la Secretaría o las Autoridades garantes, y
XIV.Omitir la entrega del informe anual y demás informes a que se refiere el artículo 40, fracción VI de la Ley General de Transparencia y Acceso a la Información Pública, o bien, entregar el mismo de manera extemporánea.
Las causas de responsabilidad previstas en las fracciones I, II, IV, VI, X, XII y XIV del presente artículo, así como la reincidencia en las conductas previstas en el resto de sus fracciones, serán consideradas como graves para efectos de su sanción administrativa.
En caso de que la presunta infracción hubiere sido cometida por algún integrante de un partido político, la investigación y, en su caso, sanción, corresponderán a la autoridad electoral competente.
Las sanciones de carácter económico no podrán ser cubiertas con recursos públicos.
Artículo 149. Las infracciones a la presente Ley serán sancionadas por la Secretaría o la autoridad garante con:
I. El apercibimiento para que el responsable lleve a cabo los actos solicitados por la persona titular, en los términos previstos por esta Ley, tratándose de los supuestos previstos en la fracción I del artículo anterior;
II. Multa de 100 a 160,000 veces la Unidad de Medida y Actualización, en los casos previstos en las fracciones II a VII del artículo anterior;
III. Multa de 200 a 320,000 veces la Unidad de Medida y Actualización, en los casos previstos en las fracciones VIII a XVIII del artículo anterior, y
IV. En caso de que de manera reiterada persistan las infracciones citadas en los incisos anteriores, se impondrá una multa adicional que irá de 100 a 320,000 veces la Unidad de Medida y Actualización.
Tratándose de infracciones cometidas en el tratamiento de datos sensibles, las sanciones podrán incrementarse hasta por dos veces, los montos establecidos.
Artículo 150. Ante incumplimientos por parte de los partidos políticos, la Secretaría o la Autoridad garante competente dará vista, según corresponda, al Instituto Nacional Electoral o a los organismos públicos locales electorales de las Entidades Federativas competentes para que resuelvan lo conducente, sin perjuicio de las sanciones establecidas para los partidos políticos en las leyes aplicables.
En el caso de probables infracciones relacionadas con fideicomisos o fondos públicos, la Secretaría o la Autoridad garante competente deberá dar vista al órgano interno de control o equivalente del sujeto obligado correspondiente con el fin de que instrumente los procedimientos administrativos a que haya lugar.
Artículo 151. En aquellos casos en que la persona presunta infractora tenga la calidad de persona servidora pública, la Secretaría o la Autoridad garante deberá remitir a la autoridad competente, junto con la denuncia correspondiente, un expediente que contenga todos los elementos que sustenten la presunta responsabilidad administrativa.
La autoridad que conozca del asunto deberá informar de la conclusión del procedimiento y, en su caso, de la ejecución de la sanción a la Secretaría o a la Autoridad garante, según corresponda.
A efecto de sustanciar el procedimiento citado en este artículo, la Secretaría o la Autoridad garante que corresponda deberá elaborar lo siguiente:
I.Denuncia dirigida a la contraloría, órgano interno de control o equivalente, con la descripción precisa de los actos u omisiones que, a su consideración, repercuten en la adecuada aplicación de la presente Ley y que pudieran constituir una posible responsabilidad, y
II.Expediente que contenga todos aquellos elementos de prueba que considere pertinentes para sustentar la existencia de la posible responsabilidad, y que acrediten el nexo causal existente entre los hechos controvertidos y las pruebas presentadas.
La denuncia y el expediente deberán remitirse a la contraloría, órgano interno de control o equivalente dentro de los quince días siguientes a partir de que la Secretaría o la Autoridad garante correspondiente tenga conocimiento de los hechos.
Artículo 152. La Autoridad garante deberá denunciar el incumplimiento de las determinaciones que ésta emita y que impliquen la presunta comisión de un delito ante la autoridad competente.
T R A N S I T O R I O S:
PRIMERO. El presente Decreto entrará en vigor el día siguiente de su publicación en el Periódico Oficial del Estado.
SEGUNDO. En un plazo de 180 días a partir de la entrada en vigor, deberán adecuarse las leyes secundarias a los términos en el presente Decreto.
TERCERO. – Se derogan todas las disposiciones que se opongan a lo dispuesto en el presente Decreto.
Económico. Aprobado que sea, túrnese a la Secretaría de Asuntos Legislativos y Jurídicos para que elabore la minuta de Decreto en los términos que deba publicarse.
D A D O en el Salón de Sesiones del Poder Legislativo, en la Ciudad de Chihuahua, Chih., a los 08 días del mes de octubre del año dos mil veinticinco.
Source: Local