LEY
DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE SUJETOS OBLIGADOS DE LA CIUDAD
DE MÉXICO
Publicada en la Gaceta Oficial de la Ciudad de México
el 10 de abril de 2018
Ultima reforma publicada en la Gaceta
Oficial de la Ciudad de México
el 11 de febrero de 2021
TÍTULO PRIMERO
DISPOSICIONES GENERALES
Capítulo I
Del Objeto de la Ley
Artículo
1. La
presente Ley es de orden público y de observancia general en la Ciudad de
México, en materia de protección de datos personales en posesión de sujetos
obligados.
Todas las
disposiciones de esta Ley, según corresponda, y en el ámbito de su competencia,
son de aplicación y observancia directa para los sujetos obligados de la Ciudad
de México.
El
Instituto ejercerá las atribuciones y facultades que le otorga esta Ley,
independientemente de las otorgadas en las demás disposiciones aplicables.
Tiene por
objeto establecer las bases, principios y procedimientos para garantizar el
derecho que tiene toda persona al tratamiento lícito de sus datos personales, a
la protección de los mismos, así como al ejercicio de los Derechos de Acceso,
Rectificación, Cancelación y Oposición de sus datos personales en posesión de
sujetos obligados.
Son
sujetos obligados por esta Ley, cualquier autoridad, entidad, órgano y
organismo de los Poderes Ejecutivo, Legislativo y Judicial, Órganos Autónomos,
partidos políticos, fideicomisos y fondos públicos.
Artículo
2. Son
objetivos de la presente Ley:
I. Establecer las bases mínimas y
condiciones homogéneas que regirán el tratamiento lícito de los datos
personales, la protección de datos personales y el ejercicio de los Derechos de
Acceso, Rectificación, Cancelación y Oposición, mediante procedimientos
sencillos y expeditos;
II. Garantizar que el tratamiento de
los datos personales de toda persona física por parte de los sujetos obligados
de la Ciudad de México sea lícito;
III. Garantizar que los Sujetos
Obligados de la Ciudad de México protejan los datos personales de las personas
físicas en el debido cumplimiento de sus funciones y facultades;
IV. Garantizar de manera expresa y
expedita el ejercicio de los derechos de acceso, rectificación, cancelación y
oposición de las personas físicas;
V. Promover, fomentar y difundir una
cultura de protección de datos personales; y
VI. Establecer los mecanismos para
garantizar el cumplimiento y la efectiva aplicación de las medidas de apremio
que correspondan para aquellas conductas que contravengan las disposiciones
previstas en esta Ley.
Artículo
3. Para los
efectos de la presente Ley se entenderá por:
I. Áreas:
Instancias
de los sujetos obligados previstas en los respectivos reglamentos interiores,
estatutos orgánicos o instrumentos equivalentes, que cuentan o puedan contar,
dar tratamiento, y ser responsables o encargadas de los datos personales;
II. Aviso
de privacidad: Documento
a disposición del titular de los datos personales, generado por el responsable,
de forma física, electrónica o en cualquier formato, previo a la recabación y
tratamiento de sus datos, con el objeto de informarle sobre la finalidad del
tratamiento, los datos recabados, así como la posibilidad de acceder,
rectificar, oponerse o cancelar el tratamiento de los mismos;
III.
Bases de datos: Conjunto
ordenado de datos personales referentes a una persona física identificada o
identificable, condicionados a criterios determinados, con independencia de la
forma o modalidad de su creación, tipo de soporte, procesamiento,
almacenamiento y organización;
IV.
Bloqueo: La
identificación y conservación de datos personales una vez cumplida la finalidad
para la cual fueron recabados, con el único propósito de determinar posibles
responsabilidades en relación con su tratamiento, hasta el plazo de
prescripción legal o contractual de éstas. Durante dicho periodo, los datos
personales no podrán ser objeto de tratamiento y transcurrido éste, se procederá
a su cancelación o supresión en la base de datos o sistema de datos personales
que corresponda;
V. Comité
de Transparencia: Instancia
a la que hace referencia la Ley de Transparencia, Acceso a la Información
Pública y Rendición de Cuentas de la Ciudad de México;
VI.
Cómputo en la nube: Modelo de
provisión externa de servicios de cómputo bajo demanda, que implica el
suministro de infraestructura, plataforma o programa informático, distribuido
de modo flexible, mediante procedimientos virtuales, en recursos compartidos
dinámicamente;
VII.
Consejo Nacional: Consejo
Nacional de Transparencia, Acceso a la Información y Protección de Datos
Personales a que se refiere el artículo 32 de la Ley General de Transparencia y
Acceso a la Información Pública;
VIII.
Consentimiento: Manifestación
de la voluntad libre, específica, informada e inequívoca del titular de los
datos a través de la cual autoriza mediante declaración o acción afirmativa,
que sus datos personales puedan ser tratados por el responsable;
IX. Datos
personales: Cualquier
información concerniente a una persona física identificada o identificable.
Se
considera que una persona física es identificable cuando su identidad pueda
determinarse directa o indirectamente a través de cualquier información como
puede ser nombre, número de identificación, datos de localización,
identificador en línea o uno o varios elementos de la identidad física,
fisiológica, genética, psíquica, patrimonial, económica, cultural o social de
la persona;
X. Datos
personales sensibles: Aquellos que se refieran a la esfera más íntima de su titular, o cuya
utilización indebida pueda dar origen a discriminación o conlleve un riesgo
grave para éste. De manera enunciativa más no limitativa, se consideran
sensibles los datos personales que puedan revelar aspectos como origen racial o
étnico, estado de salud presente o futuro, información genética, información
biométrica, creencias religiosas, filosóficas y morales, opiniones políticas y
preferencia sexual;
XI.
Derechos ARCO: Los derechos
de Acceso, Rectificación, Cancelación y Oposición al tratamiento de datos
personales;
XII.
Días: Días
hábiles;
XIII.
Disociación: El
procedimiento mediante el cual los datos personales no pueden asociarse al
titular ni permitir, por su estructura, contenido o grado de desagregación, la
identificación del mismo;
XIV.
Documento de seguridad: Instrumento que describe y da cuenta de manera general sobre las medidas
de seguridad técnicas, físicas y administrativas adoptadas por el responsable
para garantizar la confidencialidad, integridad y disponibilidad de los datos
personales que posee;
XV.
Encargado: La
persona física o jurídica, pública o privada, ajena a la organización del
responsable, que sola o conjuntamente con otras trate datos personales a nombre
y por cuenta del responsable;
XVI.
Evaluación de impacto en la protección de datos personales: Documento mediante el cual los sujetos
obligados que pretendan poner en operación o modificar políticas públicas,
programas, sistemas o plataformas informáticas, aplicaciones electrónicas o
cualquier otra tecnología que implique el tratamiento intensivo o relevante de
datos personales, valoran los impactos reales respecto de determinado
tratamiento de datos personales, a efecto de identificar y mitigar posibles
riesgos que comprometan el cumplimiento de los principios, deberes y derechos
de los titulares, así como los deberes de los responsables y encargados,
previstos en la normativa aplicable;
XVII.
Fuentes de acceso público: Aquellas bases de datos, sistemas o archivos en poder de los sujetos
obligados, que por disposición de ley puedan ser consultadas públicamente;
XVIII.
Instituto: Instituto
de Transparencia, Acceso a la Información Pública, Protección de Datos
Personales y Rendición de Cuentas de la Ciudad de México;
XIX.
Instituto Nacional: Instituto
Nacional de Transparencia, Acceso a la Información y Protección de Datos
Personales;
XX. Ley
General: Ley
General de Protección de Datos Personales en Posesión de Sujetos Obligados;
XXI.
Medidas compensatorias: Mecanismos alternos para dar a conocer a los titulares el aviso de
privacidad, a través de su difusión por medios masivos de comunicación u otros
de amplio alcance, cuando no se haya podido recabar el consentimiento previo al
tratamiento de los datos personales de una persona física, sea por emergencias
de salud pública, seguridad o desastres naturales;
XXII.
Medidas de seguridad: Conjunto de acciones, actividades, controles o mecanismos
administrativos, técnicos y físicos que permitan proteger los datos personales
y los sistemas de datos personales;
XXIII.
Medidas de seguridad administrativas: Políticas y procedimientos para la gestión, soporte
y revisión de la seguridad de la información a nivel organizacional, la
identificación, clasificación y borrado seguro de la información, así como la
sensibilización y capacitación del personal, en materia de protección de datos
personales;
XXIV.
Medidas de seguridad físicas: Conjunto de acciones y mecanismos para proteger el
entorno físico de los datos personales y de los recursos involucrados en su
tratamiento. De manera enunciativa más no limitativa, se consideran las
siguientes actividades:
a) Prevenir el acceso no autorizado
al perímetro de la organización, sus instalaciones físicas, áreas críticas,
recursos e información;
b) Prevenir el daño o interferencia
a las instalaciones físicas, áreas críticas de la organización, recursos e
información;
c) Proteger los recursos móviles,
portátiles y cualquier soporte físico o electrónico que pueda salir de la
organización, y
d) Proveer a los equipos que
contienen o almacenan datos personales de un mantenimiento eficaz, que asegure
su disponibilidad e integridad;
XXV.
Medidas de seguridad técnicas: Conjunto de acciones y mecanismos que se valen de
la tecnología relacionada con hardware y software para proteger el entorno
digital de los datos personales y los recursos involucrados en su tratamiento.
De manera enunciativa más no limitativa, se consideran las siguientes
actividades:
a) Prevenir que el acceso a las
bases de datos o a la información, así como a los recursos, sea por usuarios
identificados y autorizados;
b) Generar un esquema de privilegios
para que el usuario lleve a cabo las actividades que requiere con motivo de sus
funciones;
c) Revisar la configuración de
seguridad en la adquisición, operación, desarrollo y mantenimiento del software
y hardware, y
d) Gestionar las comunicaciones,
operaciones y medios de almacenamiento de los recursos informáticos en el
tratamiento de datos personales;
XXVI.
Plataforma Nacional: La
Plataforma Nacional de Transparencia a que hace referencia el artículo 49 de la
Ley General de Transparencia y Acceso a la Información Pública;
XXVII.
Programa Nacional de Protección de Datos Personales: Programa Nacional de Protección
de Datos Personales;
XXVII. (sic)
Remisión: Toda
comunicación de datos personales realizada exclusivamente entre el responsable
y encargado, dentro o fuera del territorio mexicano;
XXVIII.
Responsable: Cualquier
autoridad, entidad, órgano y organismo de los Poderes Ejecutivo, Legislativo y
Judicial, Órganos Autónomos, Partidos Políticos, Fideicomisos y Fondos
Públicos, que decida y determine finalidad, fines, medios, medidas de seguridad
y demás cuestiones relacionadas con el tratamiento de datos personales;
XXIX.
Sistema de Datos Personales: Conjunto de organizado de archivos, registros, ficheros, bases o banco
de datos personales en posesión de los sujetos obligados, cualquiera sea la
forma o modalidad de su creación, almacenamiento, organización y acceso;
XXX.
Sistema Nacional: El
Sistema Nacional de Transparencia, Acceso a la Información y Protección de
Datos Personales;
XXXI.
Supresión: La
eliminación, borrado o destrucción de los Sistemas de Datos Personales o de
datos personales de una persona física bajo las medidas de seguridad
previamente establecidas por el responsable, una vez que se ha cumplido la
finalidad y el dato personal ha cumplido su ciclo de vida;
XXXII.
Titular: La
persona física a quien corresponden los datos personales;
XXXIII.
Transferencia: Toda
comunicación de datos personales dentro o fuera del territorio mexicano,
realizada a persona distinta del titular, del responsable o del encargado;
XXXIV.
Tratamiento: Cualquier
operación o conjunto de operaciones efectuadas sobre datos personales o
conjunto de datos personales, mediante procedimientos manuales o automatizados
relacionadas con la obtención, uso, registro, organización, estructuración,
conservación, elaboración, utilización, comunicación, difusión, almacenamiento,
posesión o cualquier otra forma de habilitación de acceso, cotejo,
interconexión, manejo, aprovechamiento, divulgación, transferencia, supresión,
destrucción o disposición de datos personales;
XXXV.
Unidad de Transparencia: Instancia a la que hace referencia la Ley de Transparencia, Acceso a la
Información Pública y Rendición de Cuentas de la Ciudad de México; y
XXXVI.
Usuario: Persona
autorizada por el responsable, y parte de la organización del sujeto obligado,
que dé tratamiento y/o tenga acceso a los datos y/o a los sistemas de datos
personales.
Artículo
4. La
presente Ley será aplicable a cualquier tratamiento de datos personales que
obren en soportes físicos o electrónicos, con independencia de la forma o
modalidad de su creación, tipo de soporte, procesamiento, almacenamiento y
organización.
Artículo
5. Para los
efectos de la presente Ley, se considerarán como fuentes de acceso público, las
bases de datos, sistemas o archivos de los sujetos obligados, que por
disposición de ley puedan ser consultadas públicamente cuando no exista
impedimento legal o restricción; sin más exigencia que el pago de una
contraprestación, tarifa o contribución, según sea el caso. No se considerará
fuente de acceso público cuando la información contenida en la misma tenga una
procedencia ilícita o no sea obtenida de conformidad con las disposiciones establecidas
por la presente Ley y demás normatividad aplicable.
Artículo
6. El
Gobierno de la Ciudad garantizará la protección de Datos Personales de las
personas y deberá velar porque terceras personas no incurran en conductas que
puedan afectarla arbitrariamente.
Artículo
7. La
aplicación e interpretación de la presente Ley se realizará conforme a lo
dispuesto en la Constitución Política de los Estados Unidos Mexicanos, los
Tratados Internacionales de los que el Estado mexicano sea parte, la
Constitución Política de la Ciudad de México, la Ley General de Protección de
Datos Personales en posesión de sujetos obligados así como las resoluciones,
sentencias, determinaciones, decisiones, criterios y opiniones vinculantes que
emitan los órganos nacionales e internacionales especializados, favoreciendo en
todo momento, la protección de datos personales y a las personas la protección
más amplia.
Artículo
8. A falta
de disposición expresa en la presente Ley, se aplicarán de manera supletoria
las disposiciones de la Ley de Transparencia, Acceso a la Información Pública y
Rendición de Cuentas de la Ciudad de México, la Ley de Procedimiento
Administrativo local, el Código de Procedimientos Civiles local y demás
normatividad aplicable.
TÍTULO SEGUNDO
PRINCIPIOS Y DEBERES
Capítulo I
De los Principios
Artículo
9. El
responsable del tratamiento de Datos Personales deberá observar los principios
de:
1. Calidad:
Los datos personales deben ser ciertos, adecuados, pertinentes y
proporcionales, no excesivos, en relación con el ámbito y la finalidad para la
que fueron recabados.
2. Confidencialidad:
El Responsable garantizará que exclusivamente el titular pueda acceder a
sus datos, o en su caso, el mismo Responsable y el usuario a fin de cumplir con
las finalidades del tratamiento. En cualquier caso, se deberá garantizar la
secrecía y la no difusión de los mismos. Sólo el titular podrá autorizar la
difusión de sus datos personales.
3. Consentimiento: Toda manifestación previa, de
voluntad libre, específica, informada e inequívoca por la que el titular
acepta, mediante declaración o acción afirmativa, el tratamiento de sus datos
personales.
4. Finalidad: Los datos personales recabados y
tratados tendrán fines determinados, explícitos y legítimos y no podrán ser
tratados ulteriormente con fines distintos para los que fueron recabados. Los
datos personales con fines de archivo de interés público, investigación
científica e histórica, o estadísticos no se considerarán incompatibles con la
finalidad inicial.
5. La
Finalidad incluirá el ciclo de vida del dato personal, de tal manera, que
concluida ésta, los datos puedan ser suprimidos, cancelados o destruidos.
6. Información:
El Responsable deberá informar al titular de los datos sobre las
características principales del tratamiento, la finalidad y cualquier cambio
del estado relacionados con sus datos personales.
7. Lealtad:
El tratamiento de datos personales se realizará sin que medie dolo, engaño
o medios fraudulentos, tengan un origen lícito, y no vulneren la confianza del
titular.
8. Licitud.
El tratamiento de datos personales será lícito cuando el titular los
entregue, previo consentimiento, o sea en cumplimiento de una atribución u
obligación legal aplicable al sujeto obligado; en este caso, los datos
personales recabados u obtenidos se tratarán por los medios previstos en el
presente ordenamiento, y no podrán ser utilizados para finalidades distintas o
incompatibles con aquellas que motivaron su obtención.
9. Proporcionalidad:
El Responsable tratara sólo aquellos datos personales que resulten
necesarios, adecuados y relevantes en relación con la finalidad o finalidades,
para lo cual se obtuvieron.
10. Transparencia:
La información relacionada con el tratamiento de datos será accesible y
fácil de entender, y siempre a disposición del titular.
11. Temporalidad:
Los datos personales tendrán un ciclo de vida o una temporalidad vinculada
a la finalidad para la cual fueron recabados y tratados. Una vez concluida su
finalidad o hayan dejado de ser necesarios, pertinentes o lícitos, pueden ser
destruidos, cancelados o suprimidos.
Artículo
10. Todo
tratamiento de datos personales que efectúe el responsable deberá sujetarse a
los principios, facultades o atribuciones, además de estar justificado por
finalidades concretas, lícitas, explícitas y legítimas, relacionadas con las
atribuciones que la normatividad aplicable les confiera.
El
responsable podrá tratar datos personales para finalidades distintas a aquéllas
que dieron origen al tratamiento, siempre y cuando cuente con atribuciones
conferidas en la ley y medie el consentimiento expreso y previo del titular,
salvo en aquellos casos donde la persona sea reportada como desaparecida, en
los términos previstos en la presente Ley y demás disposiciones que resulten
aplicables.
Artículo
11. El
responsable no deberá obtener y tratar datos personales, a través de medios
engañosos o fraudulentos, privilegiando la protección de los intereses del
titular y la expectativa razonable de protección de datos personales.
Artículo
12. El
responsable deberá contar con el consentimiento previo del titular para el
tratamiento de los datos personales, el cual deberá otorgarse de forma:
I. Libre: Sin que
medie error, mala fe, violencia o dolo que puedan afectar la manifestación de
voluntad del titular;
II. Específica: Referida
a finalidades concretas, lícitas, explícitas y legítimas que justifiquen el
tratamiento;
III. Informada: Que el
titular sea informado y tenga conocimiento del tratamiento de sus datos
personales, a través del aviso de privacidad, previo al tratamiento; e
IV. Inequívoca: Que el
titular manifieste con una acción o declaración afirmativa su aceptación del
tratamiento de sus datos personales.
El
silencio o la inacción no pueden considerarse por ningún motivo consentimiento
por parte del titular.
El
titular de los datos personales podrá revocar el consentimiento en cualquier
momento, en ese caso, el tratamiento cesará, y no podrá tener efectos
retroactivos.
Artículo
13. En el
tratamiento de datos personales de menores de edad siempre se deberá contar con
el consentimiento del padre, la madre o el tutor, privilegiando el interés
superior de la niña, el niño y el adolescente, en términos de las disposiciones
legales aplicables.
En la
obtención del consentimiento de personas que se encuentren en estado de
interdicción o incapacidad declarada conforme a la ley, se estará a lo
dispuesto en las reglas de representación previstas en la legislación civil que
resulte aplicable.
Artículo
14. Por regla
general no podrán tratarse datos personales sensibles, salvo que se cuente con
el consentimiento previo, expreso, informado e inequívoco de su titular, a
través de su firma autógrafa, firma electrónica o cualquier mecanismo de
autenticación que al efecto se establezca o, en su caso, se trate de las
excepciones establecidas en la presente Ley.
Artículo
15. Se
deroga.[1]
Artículo
16. El
responsable no estará obligado a recabar el consentimiento del titular para el
tratamiento de sus datos personales en los siguientes casos y excepciones
siguientes:
I. Cuando una ley así lo disponga o
cuando se recaben para el ejercicio de las atribuciones legales conferidas a
los sujetos obligados, debiendo dichos supuestos ser acordes con las bases,
principios y disposiciones establecidos en esta Ley, en ningún caso, podrán
contravenirla;
II. Cuando las transferencias que se
realicen entre sujetos obligados se encuentre de manera expresa en una ley o
tenga por objeto el tratamiento posterior de los datos con fines históricos,
estadísticos o científicos;
III. Cuando exista una orden judicial;
IV. Para el reconocimiento o defensa
de derechos del titular ante autoridad competente;
V. Cuando se refieran a las partes
de un convenio, a la relación contractual, laboral o administrativa y sean
necesarios para su mantenimiento o cumplimiento;
VI. Cuando los datos personales se
requieran para ejercer un derecho o cumplir obligaciones derivadas de una
relación jurídica entre el titular y el responsable;
VII. Cuando exista una situación de
emergencia que potencialmente pueda dañar a un individuo en su persona o en sus
bienes;
VIII. Cuando el titular no esté en
posibilidad de otorgar su consentimiento por motivos de salud y el tratamiento
de sus datos resulte necesario para el diagnóstico médico y quien trate los
datos personales esté sujeto al secreto profesional u obligación equivalente;
IX. Cuando los datos personales sean
necesarios para efectuar un tratamiento para la prevención, diagnóstico, o la
prestación de asistencia sanitaria;
X. Cuando los datos personales se
sometan a un procedimiento previo de disociación;
XI. Cuando los datos personales
figuren en registros públicos y su tratamiento sea necesario, siempre que no se
vulneren los derechos y las libertades fundamentales de la persona; o
XII. Cuando el titular de los datos
personales sea una persona reportada como desaparecida en los términos de la
ley en la materia.
Artículo
17. El
responsable deberá adoptar las medidas necesarias para mantener exactos, completos,
correctos y actualizados los datos personales en su posesión, a fin de que no
se altere la calidad de éstos.
Los datos
personales deberán ser suprimidos, previo bloqueo de ser necesario el caso, una
vez que concluya el ciclo de vida de los mismos. El ciclo de vida de los datos
personales concluye, cuando los datos han dejado de ser necesarios para el
cumplimiento de la finalidad o finalidades previstas y el tratamiento que de
ésta se deriva.
La
conservación de los datos personales o sistemas de datos personales no deberá
exceder el cumplimiento de las finalidades que justificaron su tratamiento, y
deberán atender a las disposiciones aplicables en la materia de que se trate y
considerar los aspectos administrativos, contables, fiscales, jurídicos e
históricos de los datos personales, para tratamientos ulteriores, que pueden
ser disociación, minimización o supresión, entre otros.
Artículo
18. El
responsable deberá establecer y documentar los procedimientos para la
conservación y, en su caso, bloqueo y supresión de los datos personales o
sistemas de datos personales que lleve a cabo, en los cuales se incluyan el
ciclo de vida vinculado a la finalidad de los mismos, de conformidad con lo
dispuesto en la presente Ley.
En el
procedimiento anterior, el responsable deberá incluir mecanismos que le
permitan cumplir con los plazos fijados para la supresión de los datos
personales o sistemas de datos personales, así como realizar una revisión
periódica sobre el ciclo de vida de los datos o sistemas datos personales y su
conservación.
Artículo
19. El
responsable sólo deberá tratar los datos personales que resulten adecuados,
relevantes y estrictamente necesarios para la finalidad que justifica su
tratamiento.
Artículo
20. El
responsable deberá informar al titular, a través del aviso de privacidad, la
existencia y características principales del tratamiento previo a que sus datos
personales sean sometidos a tratamiento, a fin de que pueda tomar decisiones
informadas al respecto.
Por regla
general, el aviso de privacidad deberá ser puesto a disposición del titular
previo a la obtención y recabación de los datos personales y difundido por los
medios electrónicos y físicos con que cuente el responsable.
Para que
el aviso de privacidad cumpla de manera eficiente con su función de informar,
deberá estar redactado y estructurado de manera clara, sencilla y comprensible.
Cuando
resulte imposible dar a conocer al titular el aviso de privacidad, de manera
directa o ello exija esfuerzos desproporcionados, el responsable podrá
instrumentar medidas compensatorias de comunicación masiva de acuerdo con los
criterios establecidos para tal efecto.
Artículo
21. El aviso
de privacidad se pondrá a disposición del titular en dos modalidades:
simplificado e integral. El aviso simplificado deberá contener la siguiente
información:
I. La denominación del responsable;
II. Las finalidades del tratamiento
para las cuales se obtienen los datos personales, distinguiendo aquéllas que
requieran el consentimiento del titular;
III. cuando se realicen
transferencias de datos personales que requieran consentimiento, se deberá
informar:
a) Las
autoridades, poderes, entidades, órganos y organismos gubernamentales de los
tres órdenes de gobierno y las personas físicas o morales a las que se
transfieren los datos personales, y
b) Las
finalidades de estas transferencias;
IV. Los mecanismos y medios
disposiciones para que el titular, en su caso, pueda manifestar su negativa
para el tratamiento de sus datos personales para finalidades y transferencias
de datos personales que requieren el consentimiento del titular, y
V. El sitio donde se podrá
consultar el aviso de privacidad integral.
La puesta
a disposición del aviso de privacidad al que refiere este artículo no exime al responsable
de su obligación de proveer los mecanismos para que el titular pueda conocer el
contenido del aviso de privacidad integral.
Los
mecanismos y medios a los que se refiere la fracción IV de este artículo,
deberán estar disponibles para que el titular pueda manifestar su negativa al
tratamiento de sus datos personales para las finalidades o transferencias que
requieran el consentimiento del titular previo a que ocurra dicho tratamiento. [2]
Artículo
21 Bis. El responsable deberá poner a disposición del
titular el aviso de privacidad simplificado en los siguientes momentos:
I. Previo
a la obtención de los mismos, cuando los datos personales se obtengan de manera
directa del titular; y
II. Previo
al uso o aprovechamiento, cuando los datos personales se obtienen de manera
directa del titular.
Las reglas anteriores, no eximen al responsable de
proporcionar al titular el aviso de privacidad integral en momento posterior,
conforme a las disposiciones aplicables de la presente Ley. [3]
Artículo
21 Ter. El aviso de privacidad integral además de lo
dispuesto en las fracciones del artículo 21, al que refiere la fracción V de
dicho precepto, deberá contener, al menos, la siguiente información:[4]
I. El
domicilio del responsable;
II. Los
datos personales que serán sometidos a tratamiento, identificando aquéllos que
son sensibles;
III. El
fundamento legal que faculta al responsable para llevar a cabo el tratamiento;
IV. Las
finalidades del tratamiento para las cuales se obtienen los datos personales,
distinguiendo aquéllas que requieren el consentimiento del titular;
V. Los
mecanismos, medios y procedimientos disponibles para ejercer los derechos ARCO;
VI. El
domicilio de la Unidad de Transparencia, y
VII. Los
medios a través de los cuales el responsable comunicará a los titulares los
cambios al aviso de privacidad. [5]
Artículo
22. El
responsable deberá implementar los mecanismos previstos en la presente Ley para
acreditar el cumplimiento de los principios, deberes y obligaciones, así como
rendir cuentas sobre el tratamiento de datos personales y de los sistemas de
datos personales en su posesión, tanto al titular como al Instituto, según
corresponda, para lo cual deberá observar la Constitución y los Tratados
Internacionales en los que el Estado mexicano sea parte; en lo que no se
contraponga con la normativa mexicana podrá valerse de estándares o mejores
prácticas nacionales o internacionales para tales fines.
Capítulo II
De los Deberes
Artículo
23. El
responsable para cumplir con el tratamiento lícito, transparente y responsable
de los datos personales, tendrá al menos los siguientes deberes:
I. Destinar recursos autorizados
para la instrumentación de programas y políticas de protección de datos personales;
II. Elaborar políticas y programas de
protección de datos personales, obligatorios y exigibles al interior del sujeto
obligado;
III. Poner en práctica un programa de
capacitación y actualización del personal sobre las obligaciones y demás deberes
en materia de protección de datos personales;
IV. Revisar periódicamente las
políticas y programas de seguridad de datos personales para determinar las
modificaciones que se requieran;
V. Establecer un sistema de
supervisión y vigilancia interna y/o externa, incluyendo auditorías, para
comprobar el cumplimiento de las políticas de protección de datos personales;
VI. Garantizar a las personas, el
ejercicio de los derechos de Acceso, Rectificación, Cancelación y Oposición;
VII. Diseñar, desarrollar e
implementar políticas públicas, programas, servicios, sistemas o plataformas
informáticas, aplicaciones electrónicas o cualquier otra tecnología que
implique el tratamiento de datos personales, de conformidad con las
disposiciones previstas en la presente Ley y las demás que resulten aplicables
en la materia;
VIII. Garantizar que sus políticas
públicas, programas, servicios, sistemas o plataformas informáticas,
aplicaciones electrónicas o cualquier otra tecnología que implique el
tratamiento de datos personales, cumplan con la protección de datos personales
y las obligaciones previstas en la presente Ley y las demás que resulten
aplicables en la materia;
IX. Cumplir con las políticas y
lineamientos, así como las normas y principios aplicables para el tratamiento
lícito y la protección de los datos personales;
X. Adoptar las medidas de seguridad
necesarias para la protección de datos personales y los sistemas de datos
personales, así como comunicarlas al Instituto para su registro, en los
términos de la presente Ley;
XI. Elaborar y presentar al Instituto
un Informe correspondiente sobre las obligaciones previstas en la presente Ley,
a más tardar en la segunda semana del mes de enero de cada año. La omisión de
dicho informe será motivo de responsabilidad;
XII. Informar al titular previo a
recabar sus datos personales, la existencia y finalidad de los sistemas de
datos personales;
XIII. Registrar ante el Instituto los
Sistemas de Datos Personales, así como la modificación o supresión de los
mismos;
XIV. Establecer los criterios
específicos sobre el manejo, mantenimiento, seguridad y protección de los
sistemas de datos personales; y
XV. Coordinar y supervisar la
adopción de medidas de seguridad a que se encuentren sometidos los sistemas de
datos personales.
Artículo
24. Con
independencia del tipo de sistema de datos personales en el que se encuentren
los datos o el tipo de tratamiento que se efectúe, el responsable deberá
establecer y mantener las medidas de seguridad de carácter administrativo,
físico y técnico para la protección de los datos personales, que permitan
protegerlos contra daño, pérdida, alteración, destrucción o su uso, acceso o
tratamiento no autorizado, así como garantizar su confidencialidad, integridad
y disponibilidad.
Artículo
25. Las
medidas de seguridad adoptadas por el responsable deberán considerar:
I. El riesgo inherente a los datos
personales tratados;
II. La sensibilidad de los datos
personales tratados;
III. El desarrollo tecnológico;
IV. Las posibles consecuencias de una
vulneración para los titulares;
V. Las transferencias de datos
personales que se realicen;
VI. El número de titulares;
VII. Las vulneraciones previas
ocurridas en los sistemas de datos; y
VIII. El riesgo por el valor potencial cuantitativo
o cualitativo que pudieran tener los datos personales tratados para una tercera
persona no autorizada para su posesión.
Estas
medidas tendrán al menos los siguientes niveles de seguridad:
I. Básico:
relativas a las medidas generales de seguridad cuya aplicación será obligatoria
para el tratamiento y protección de todos los sistemas de datos personales en
posesión de los sujetos obligados.
II. Medio: se
refiere a las medidas de seguridad requeridas para aquellos sistemas de datos
relativos a la comisión de infracciones administrativas o penales, hacienda
pública, servicios financieros, datos patrimoniales, así como los sistemas que
contengan datos con los que se permita obtener evaluación de personalidad o
perfiles de cualquier tipo en el presente pasado o futuro.
III. Alto:
corresponde a las medidas de seguridad aplicables a sistemas de datos
concernientes a ideología, religión, creencias, afiliación política, origen
racial o étnico, salud, biométricos, genéticos o vida sexual, así como los que
contengan datos recabados para fines policiales, de seguridad, prevención,
investigación y persecución de delitos.
Las
medidas de seguridad que adopten los sujetos obligados para mayores garantías
en la protección y resguardo de los sistemas de datos personales, únicamente se
comunicarán al Instituto, para su registro, el nivel de seguridad aplicable.
Artículo
26. Para
establecer y mantener las medidas de seguridad para la protección de los datos
personales, el responsable deberá realizar, al menos, las siguientes
actividades interrelacionadas:
I. Crear políticas internas para la
gestión y tratamiento de los datos personales, que tomen en cuenta el contexto
en el que ocurren los tratamientos y el ciclo de vida de los datos personales,
es decir, su obtención, uso y posterior supresión;
II. Definir las funciones y
obligaciones del personal involucrado en el tratamiento de datos personales;
III. Elaborar un inventario de datos
personales contenidos en los sistemas de datos;
IV. Realizar un análisis de riesgo de
los datos personales, considerando las amenazas y vulnerabilidades existentes
para los datos personales y los recursos involucrados en su tratamiento, como
pueden ser, de manera enunciativa más no limitativa, hardware, software,
personal del responsable, entre otros;
V. Realizar un análisis de brecha,
comparando las medidas de seguridad existentes contra las faltantes en la
organización del responsable;
VI. Elaborar un plan de trabajo para
la implementación de las medidas de seguridad faltantes, así como las medidas
para el cumplimiento cotidiano de las políticas de gestión y tratamiento de los
datos personales;
VII. Monitorear y revisar de manera
periódica las medidas de seguridad implementadas, así como las amenazas y
vulneraciones a las que están sujetos los datos personales; y
VIII. Diseñar y aplicar diferentes
niveles de capacitación del personal bajo su mando, dependiendo de sus roles y
responsabilidades respecto del tratamiento de los datos personales.
Artículo
27. Las
acciones relacionadas con las medidas de seguridad para el tratamiento de los
datos personales deberán estar documentadas y contenidas en un sistema de
gestión denominado documento de seguridad.
Artículo
28. El responsable
deberá elaborar el documento de seguridad que contendrá, al menos, lo
siguiente:
I. El inventario de datos personales
en los sistemas de datos;
II. Las funciones y obligaciones de
las personas que intervengan en el tratamiento datos personales, usuarios y
encargados, en el caso de que los hubiera;
III. Registro de incidencias;
IV. Identificación y autentificación;
V. Control de acceso; gestión de
soportes y copias de respaldo y recuperación;
VI. El análisis de riesgos;
VII. El análisis de brecha;
VIII. Responsable de seguridad;
IX. Registro de acceso y
telecomunicaciones;
X. Los mecanismos de monitoreo y
revisión de las medidas de seguridad;
XI. El plan de trabajo; y
XII. El programa general de
capacitación.
Artículo
29. El
responsable deberá actualizar el documento de seguridad cuando ocurran los
siguientes eventos:
I. Se produzcan modificaciones
sustanciales al tratamiento de datos personales que deriven en un cambio en el
nivel de riesgo;
II. Como resultado de un proceso de
mejora continua, derivado del monitoreo y revisión del sistema de gestión;
III. Como resultado de un proceso de
mejora para mitigar el impacto de una vulneración a la seguridad ocurrida;
IV. Implementación de acciones
correctivas y preventivas ante una vulneración de seguridad; y
V. Por recomendación del Instituto.
Artículo
30. En caso
de que ocurra una vulneración a la seguridad, el responsable deberá analizar
las causas por las cuales se presentó e implementar en su plan de trabajo las
acciones preventivas y correctivas para adecuar las medidas de seguridad y el
tratamiento de los datos personales, si fuese el caso a efecto de evitar que la
vulneración se repita.
Artículo
31. Además de
las que señalen las leyes respectivas y la normatividad aplicable, se
considerarán como vulneraciones de seguridad, en cualquier fase del tratamiento
de datos, al menos, las siguientes:
I. La pérdida o destrucción no
autorizada;
II. El robo, extravío o copia no
autorizada;
III. El uso, acceso o tratamiento no
autorizado; o
IV. El daño, la alteración o
modificación no autorizada.
Artículo
32. El
responsable deberá llevar una bitácora de las vulneraciones a la seguridad en
la que se describa ésta, la fecha en la que ocurrió, el motivo de ésta y las
acciones correctivas implementadas de forma inmediata y definitiva.
Artículo
33. El
responsable deberá informar sin dilación alguna al titular, y al Instituto, en
cuanto se confirme que ocurrió la vulneración. El responsable realizará las acciones
necesarias para la revisión exhaustiva de la magnitud de la afectación, a fin
de que los titulares afectados tomen las medidas correspondientes para la
defensa de sus derechos. El Instituto podrá verificar las medidas de
mitigación, niveles de seguridad y documento de gestión, para recomendar las
medidas pertinentes para la protección de los datos del titular.
Artículo
34. El
responsable deberá informar al titular al menos lo siguiente:
I. La naturaleza del incidente;
II. Los datos personales comprometidos;
III. Los derechos del titular que
pueda adoptar para proteger sus datos;
IV. Las acciones correctivas
realizadas de forma inmediata; y
V. Los medios donde puede obtener
más información al respecto.
Lo
anterior sin demérito de que el Instituto pueda realizar una inspección o
verificación sobre las medidas adoptadas para mitigar el impacto en los datos
personales de las personas, así como emitir las recomendaciones que se
solventarán en el tiempo establecido por el Instituto.
Artículo 35.
El
responsable deberá establecer controles o mecanismos que tengan por objeto que
todas aquellas personas que intervengan en cualquier fase del tratamiento de
los datos personales, guarden confidencialidad respecto de éstos, obligación
que subsistirá aún después de finalizar sus relaciones con el mismo.
Capítulo III
De los Sistemas de Datos Personales
Artículo
36. El
titular de los sujetos obligados en su función de responsable del tratamiento
de datos personales, conforme a su respectivo ámbito de competencia,
determinará la creación, modificación o supresión de los sistemas de datos
personales.
Los
sistemas de datos personales tienen como finalidad cumplir con la
transparencia, responsabilidad y licitud en el tratamiento de datos personales.
Artículo
37. La
integración, tratamiento y protección de los datos personales se realizará con
base en lo siguiente:
I. Cada sujeto obligado publicará
en la Gaceta Oficial de la Ciudad de México el Aviso relativo a la creación,
modificación o supresión de sus sistemas de datos personales.
Dicho
Aviso deberá indicar las ligas electrónicas donde se podrán consultar los
Acuerdos de creación, modificación o supresión correspondientes, los requisitos
señalados en la fracción II del presente artículo, así como los lineamientos
que, en
su caso,
determine el Instituto. Asimismo, dichos Acuerdos y los propios sistemas serán
enviados en versión física con firma autógrafa en original y una versión
digitalizada de los mismos al Instituto a efecto de su resguardo y su publicación
en
el
Registro Electrónico de Sistemas de Datos Personales;[6]
II. En caso de creación o
modificación de los sistemas de datos personales, se deberá indicar al menos lo
siguiente:
a) La finalidad o finalidades de los
sistemas de datos personales; así como los usos y transferencias previstos;
b) Las personas físicas o grupos de
personas sobre las que se recaben o traten datos personales;
c) La estructura básica del sistema
de datos personales y la descripción de los tipos de datos incluidos;
d) Las instancias responsables del
tratamiento del sistema de datos personales: titular del sujeto obligado,
usuarios y encargados, si los hubiera;
e) Las áreas ante las que podrán
ejercerse los derechos de acceso, rectificación, cancelación y oposición;
f) El procedimiento a través del
cual se podrán ejercerse los derechos de acceso, rectificación, cancelación y
oposición; y
g) El nivel de seguridad y los
mecanismos de protección exigibles.
III. Las disposiciones que se dicten
para la supresión de los sistemas de datos personales, considerando el ciclo
vital del dato personal, la finalidad, y los destinos de los datos contenidos
en el mismo o, en su caso, las previsiones adoptadas para su destrucción.
IV. De la destrucción de los datos
personales podrán ser excluidos aquellos que no se opongan a las finalidades
originales como son los procesos de disociación, las finalidades ulteriores
estadísticas, históricas o científicas, entre otras.
Artículo
38. El
Instituto habilitará un registro de sistemas de datos personales, donde los
sujetos obligados inscribirán los sistemas bajo su custodia y protección.
El
registro debe contemplar como mínimo lo siguiente:
I. Nombre y cargo del titular del
sujeto obligado como responsable del tratamiento y los usuarios;
II. Finalidad o finalidades del
tratamiento;
III. Naturaleza de los datos
personales contenidos en cada sistema;
IV. Formas de recabación,
pertinencia, proporcionalidad y calidad de los datos;
V. Las posibles transferencias;
VI. Modo de interrelacionar la
información registrada;
VII. Ciclo de vida de los datos
personales y tiempos de conservación; y
VIII. Medidas de seguridad.
Artículo
39. Queda
prohibida la creación de sistemas de datos personales que tengan como finalidad
exclusiva tratar datos personales sensibles, tal y como son de manera
enunciativa más no limitativa: el origen étnico o racial, características
morales o emocionales, ideología y opiniones políticas, creencias, convicciones
religiosas, filosóficas y preferencia sexual.
Los datos
considerados sensibles sólo podrán ser tratados cuando medien razones de
interés general, así lo disponga una ley, haya el consentimiento expreso,
inequívoco libre e informado del titular o con fines estadísticos o históricos,
siempre y cuando se hubiera realizado previamente el procedimiento de
disociación o minimización.
Tratándose
de estudios científicos o de salud pública el procedimiento de disociación no
será necesario.
Artículo
40. Los
sistemas de datos personales o archivos creados con fines administrativos por
las dependencias, instituciones o cuerpos de seguridad y administración y
procuración de justicia que traten datos personales, quedan sujetos al régimen
de protección previstos en la presente Ley.
TÍTULO TERCERO
DERECHOS DE LOS TITULARES Y SU EJERCICIO
Capítulo I
De los Derechos de Acceso, Rectificación,
Cancelación y Oposición
Artículo
41. Toda
persona por sí o a través de su representante, podrá ejercer los derechos de
Acceso, Rectificación, Cancelación y/u Oposición al tratamiento de sus datos
personales en posesión de los sujetos obligados, siendo derechos
independientes, de tal forma que no pueda entenderse que el ejercicio de alguno
de ellos sea requisito previo o impida el ejercicio de otro.
Artículo 42.
El
derecho de acceso se ejercerá por el titular o su representante, para obtener y
conocer la información relacionada con el uso, registro, fines, organización,
conservación, categorías, elaboración, utilización, disposición, comunicación,
difusión, almacenamiento, posesión, acceso, manejo, aprovechamiento,
divulgación, transferencia o disposición de sus datos personales.
Artículo
43. El
titular tendrá derecho a solicitar por sí o por su representante, la
rectificación o corrección de sus datos personales, cuando estos resulten ser
inexactos, incompletos, sean erróneos o no se encuentren actualizados.
Cuando se
trate de datos que reflejen hechos constatados en un procedimiento
administrativo o en un proceso judicial, aquellos se consideraran exactos siempre
que coincidan con éstos.
Artículo
44. El
titular tendrá derecho a solicitar la cancelación de sus datos personales de
los archivos, registros, expedientes y sistemas del responsable, a fin de que
los mismos ya no estén en su posesión y dejen de ser tratados.[7]
Se deroga
el segundo párrafo. [8]
Se deroga
el tercer párrafo. [9]
Artículo
45. El
titular podrá oponerse al tratamiento de sus datos personales o exigir que se
cese en el mismo, cuando:
I. Aun siendo lícito el tratamiento,
el mismo debe cesar para evitar que su persistencia cause un daño o perjuicio
al titular, y
II. Sus datos personales sean objeto
de un tratamiento automatizado, el cual le produzca efectos jurídicos no
deseados o afecte de manera significativa sus intereses, derechos o libertades,
y estén destinados a evaluar, sin intervención humana, determinados aspectos
personales del mismo o analizar o predecir, en particular, su rendimiento
profesional, situación económica, estado de salud, preferencias sexuales,
fiabilidad o comportamiento.
III. (sic).
Capítulo II
Del Ejercicio de los Derechos de Acceso,
Rectificación, Cancelación y Oposición
Artículo
46. La
recepción y trámite de las solicitudes para el ejercicio de los derechos de
acceso, rectificación, cancelación u oposición que se formulen a los sujetos
obligados, se sujetará al procedimiento establecido en el presente Título y
demás disposiciones que resulten aplicables en la materia.
Artículo
47. Para el
ejercicio de los derechos ARCO será necesario acreditar la identidad del
titular y, en su caso, la identidad y personalidad con la que actúe el
representante, a través de carta poder simple suscrita ante dos testigos
anexando copia de las identificaciones de los suscriptores.
El
ejercicio de los derechos ARCO por persona distinta a su titular o a su
representante, será posible, excepcionalmente, en aquellos supuestos previstos
por disposición legal, o en su caso, por mandato judicial.
El
ejercicio de los derechos ARCO de menores de edad se hará a través del padre,
madre o tutor y en el caso de personas que se encuentren en estado de
interdicción o incapacidad, de conformidad con las leyes civiles, se estará a
las reglas de representación dispuestas en la legislación de la materia.
Tratándose
de datos personales concernientes a personas fallecidas, la protección de datos
personales no se extingue, por tanto el ejercicio de Derechos ARCO lo podrá
realizar, la persona que acredite tener un interés jurídico o legítimo, el
heredero o el albacea de la persona fallecida, de conformidad con las leyes
aplicables, o bien exista un mandato judicial para dicho efecto.
Artículo
48. El
ejercicio de los derechos ARCO deberá ser gratuito. Sólo podrán realizarse
cobros para recuperar los costos de reproducción, certificación o envío,
conforme a la normatividad que resulte aplicable.
Para
efectos de acceso a datos personales, las leyes que establezcan los costos de
reproducción y certificación deberán considerar en su determinación que los
montos permitan o faciliten el ejercicio de este derecho.
Cuando el
titular proporcione el medio magnético, electrónico o el mecanismo necesario
para reproducir los datos personales, los mismos deberán ser entregados sin
costo a éste.
La
información deberá ser entregada sin costo, cuando implique la entrega de hasta
sesenta hojas simples. Las unidades de transparencia podrán exceptuar el pago
de reproducción y envío atendiendo a las circunstancias socioeconómicas del
titular.
El
responsable no podrá establecer para la presentación de las solicitudes del
ejercicio de los derechos ARCO algún servicio o medio que implique un costo al
titular.
Artículo
49. Se
deberán establecer procedimientos sencillos que permitan el ejercicio de los
derechos ARCO, cuyo plazo de respuesta no deberá exceder de quince días
contados a partir de la recepción de la solicitud.
Excepcionalmente,
el plazo referido en el párrafo anterior podrá ampliarse hasta por quince días
más, siempre y cuando existan razones fundadas y motivadas. En su caso, el
sujeto obligado deberá comunicar, antes del vencimiento del plazo, las razones
por las cuales hará uso de la ampliación excepcional.
En caso
de resultar procedente el ejercicio de los derechos ARCO, el responsable deberá
hacerlo efectivo en un plazo que no podrá exceder de diez días contados a
partir del día siguiente en que se haya notificado la respuesta al titular.
Artículo
50. En la
solicitud para el ejercicio de los derechos ARCO no podrán imponerse mayores
requisitos que los siguientes:
I. El nombre del titular y su
domicilio o cualquier otro medio para recibir notificaciones;
II. Los documentos que acrediten la
identidad del titular y, en su caso, la personalidad e identidad de su
representante;
III. De ser posible, el área
responsable que trata los datos personales;
IV. La descripción clara y precisa de
los datos personales respecto de los que se busca ejercer alguno de los
derechos ARCO;
V. La descripción del derecho ARCO
que se pretende ejercer, o bien, lo que solicita el titular; y
VI. Cualquier otro elemento o
documento que facilite la localización de los datos personales, en su caso.
Tratándose
de una solicitud de acceso a datos personales, el titular deberá señalar la
modalidad en la que prefiere que éstos se reproduzcan. El responsable deberá
atender la solicitud en la modalidad requerida por el titular, salvo que exista
una imposibilidad física o jurídica que lo limite a reproducir los datos
personales en dicha modalidad, en este caso deberá ofrecer otras modalidades de
entrega de los datos personales fundando y motivando dicha actuación.
Procederá
el derecho de rectificación de datos del titular, en los sistemas de datos
personales, cuando tales datos resulten inexactos o incompletos, inadecuados o
excesivos, siempre y cuando no resulte imposible o exija esfuerzos
desproporcionados.
Con
relación a una solicitud de cancelación, el titular deberá señalar las causas
que lo motiven a solicitar la cancelación o supresión de sus datos personales
en los archivos, expedientes, registros, bases de datos o sistemas de datos
personales en posesión del sujeto obligado.
En el
caso de la solicitud de oposición, el titular deberá manifestar las causas o la
situación específica que lo llevan a solicitar el cese en el tratamiento, así
como el daño o perjuicio que le causaría la persistencia del tratamiento, o en
su caso, las finalidades específicas respecto de las cuales requiere ejercer el
derecho de oposición.
Las
solicitudes para el ejercicio de los derechos ARCO deberán presentarse ante la
Unidad de Transparencia del sujeto obligado, que el titular considere
competente, a través de escrito libre, formatos, medios electrónicos o
cualquier otro medio que al efecto establezca el Instituto en el ámbito de sus
respectivas competencias.
El
responsable deberá dar trámite a toda solicitud para el ejercicio de los
derechos ARCO y entregar el acuse de recibo que corresponda.
El
Instituto podrá establecer formularios, sistemas y otros métodos simplificados
para facilitar a los titulares el ejercicio de los derechos ARCO.
Los
medios y procedimientos habilitados por el responsable para atender las
solicitudes para el ejercicio de los derechos ARCO deberán ser de fácil acceso
y con la mayor cobertura posible considerando el perfil de los titulares y la
forma en que mantienen contacto cotidiano o común con el responsable.
En caso
de que la solicitud de Derechos ARCO no satisfaga alguno de los requisitos a
que se refiere este artículo, y el responsable no cuente con elementos para
subsanarla, se prevendrá al titular de los datos dentro de los cinco días
siguientes a la presentación de la solicitud de ejercicio de los derechos ARCO,
por una sola ocasión, para que subsane las omisiones dentro de un plazo de diez
días contados a partir del día siguiente al de la notificación.
Si
transcurrido el plazo no se ha desahogado la prevención, se tendrá por no
presentada la solicitud de ejercicio de los Derechos ARCO.
La
prevención tendrá el efecto de interrumpir los plazos establecidos para dar
respuesta a la solicitud de ejercicio de los derechos ARCO.
Artículo
51. Cuando el
sujeto obligado no sea competente para atender la solicitud para el ejercicio
de los derechos ARCO, deberá hacer del conocimiento del titular fundando y
motivando dicha situación dentro de los tres días siguientes a la presentación
de la solicitud, y en su caso, orientarlo hacia el sujeto obligado competente.
En caso
de que el responsable declare inexistencia de los datos personales en sus
archivos, registros, expediente, base de datos o sistemas de datos personales
dicha declaración deberá constar en una resolución del Comité de Transparencia
que confirme la inexistencia de los datos personales.
En caso
de que el responsable advierta que la solicitud para el ejercicio de los
derechos ARCO corresponda a un derecho diferente de los previstos en la
presente Ley, deberá reconducir la vía haciéndolo del conocimiento al titular.
Artículo
52. Cuando
las disposiciones aplicables a determinados tratamientos de datos personales
establezcan un trámite o procedimiento específico para solicitar el ejercicio
de los derechos ARCO, el responsable deberá informar al titular sobre la
existencia del mismo, en un plazo no mayor a cinco días siguientes a la
presentación de la solicitud para el ejercicio de los derechos ARCO, a efecto
de que este último decida si ejerce sus derechos a través del trámite
específico, o bien, por medio del procedimiento que el responsable haya
institucionalizado para la atención de solicitudes para el ejercicio de los
derechos ARCO conforme a las disposiciones establecidas en este Capítulo.
Artículo
53. El
titular que se considere agraviado por la resolución a su solicitud de
ejercicio de Derechos ARCO, podrá interponer un recurso de revisión ante el
Instituto.
Capítulo III
De la Portabilidad de los Datos
Artículo
54. Cuando se
traten datos personales por vía electrónica en un formato estructurado y
comúnmente utilizado, el titular tendrá derecho a obtener del responsable una
copia de los datos objeto de tratamiento en un formato electrónico estructurado
y comúnmente utilizado que le permita seguir utilizándolos.
Cuando el
titular haya facilitado los datos personales y el tratamiento se base en el
consentimiento o en un contrato, tendrá derecho a transferir dichos datos
personales y cualquier otra información que haya facilitado y que se conserve
en un sistema de tratamiento automatizado a otro sistema en un formato
electrónico comúnmente utilizado, sin impedimentos por parte del responsable
del tratamiento de quien se retiren los datos personales.
TÍTULO CUARTO
RELACIÓN DEL RESPONSABLE Y ENCARGADO
Capítulo Único
Responsable y Encargado
Artículo
55. Si en
algún caso el tratamiento de datos personales es realizado a través de una
persona pública o privada, física o jurídica ajena a los sujetos obligados, el
encargado deberá realizar las actividades de tratamiento de los datos
personales sin modificar las finalidades o decidir sobre el alcance y contenido
del tratamiento, sus actuaciones estarán limitadas a los términos fijados por
el responsable.
Artículo
56. La
relación entre el responsable y el encargado deberá estar formalizada mediante
contrato o cualquier otro instrumento jurídico, de conformidad con la normativa
que le resulte aplicable, y que permita acreditar su existencia, alcance y
contenido.
En el
contrato o instrumento jurídico que decida el responsable se deberán prever, al
menos, las siguientes cláusulas generales relacionadas con los servicios que
preste el encargado:
I. Realizar el tratamiento de los datos
personales conforme a las instrucciones del responsable;
II. Abstenerse de tratar los datos
personales para finalidades distintas a las instruidas por el responsable;
III. Implementar las medidas de
seguridad conforme a los instrumentos jurídicos aplicables establecidos en la
presente Ley y la naturaleza de los datos;
IV. Informar al responsable cuando
ocurra una vulneración a los datos personales que trata por sus instrucciones;
V. Guardar confidencialidad respecto
de los datos personales tratados; y
VI. Suprimir o devolver los datos
personales objeto de tratamiento una vez cumplida la relación jurídica con el
responsable, siempre y cuando no exista una previsión legal que exija la
conservación de los datos personales.
Los
acuerdos entre el responsable y el encargado relacionados con el tratamiento de
datos personales no deberán contravenir la presente Ley y demás disposiciones
aplicables.
Artículo
57. Si el
responsable del tratamiento de datos personales contrata o se adhiere a
servicios, aplicaciones e infraestructura de cómputo en la nube, y otros
servicios que impliquen el tratamiento de datos personales, el proveedor
externo estará obligado a garantizar la protección de datos personales con los
principios y deberes establecidos en la presente Ley y demás disposiciones que
resulten aplicables en la materia.
En su
caso, el responsable deberá delimitar el tratamiento de los datos personales
por parte del proveedor externo a través de cláusulas contractuales u otros
instrumentos jurídicos.
Artículo
58. El
responsable podrá utilizar servicios, aplicaciones e infraestructura de cómputo
en la nube, de aquellos servicios en los que el proveedor:
I. Cumpla, al menos, con lo
siguiente:
a) Aplique políticas de protección
de datos personales con base en los principios y deberes aplicables que
establece la presente Ley y demás normativa aplicable;
b) Transparente y limite las
subcontrataciones que involucren el tratamiento de datos personales;
c) Se abstenga de incluir
condiciones en la prestación del servicio que le autoricen o permitan asumir la
titularidad o propiedad de la información sobre la que preste el servicio, y
d) Guarde confidencialidad respecto
de los datos personales sobre los que se preste el servicio.
II. Cuente con mecanismos, al menos,
para:
a) Dar a conocer cambios en sus
políticas de protección de datos personales, privacidad o condiciones del
servicio que presta;
b) Permita al responsable limitar el
tipo de tratamiento de los datos personales sobre los que se presta el
servicio;
c) Establezca y mantenga medidas de
seguridad adecuadas y verificables para la protección de los datos personales
sobre los que se preste el servicio;
d) Garantice la supresión de los
datos personales una vez que haya concluido el servicio prestado al
responsable, e
e) Impida el acceso a los datos
personales a personas ajenas, o bien, en caso de que sea a solicitud fundada y
motivada de autoridad competente, informar de ese hecho al responsable.
En
cualquier caso, el responsable no podrá adherirse a servicios que no garanticen
la debida protección de los datos personales, conforme a la presente Ley y
demás disposiciones que resulten aplicables en la materia.
TÍTULO QUINTO
COMUNICACIONES DE DATOS PERSONALES
Capítulo Único
De las Transferencias y Remisiones de Datos Personales
Artículo
59. Toda
transferencia de datos personales, sea ésta nacional o internacional, se
encuentra sujeta al consentimiento de su titular, salvo las excepciones
previstas en esta Ley.
Artículo
60. Toda
transferencia deberá formalizarse mediante la suscripción de cláusulas
contractuales, convenios de colaboración o cualquier otro instrumento jurídico,
de conformidad con la normatividad que le resulte aplicable al responsable, que
permita demostrar el alcance del tratamiento de los datos personales, así como
las obligaciones y responsabilidades asumidas por las partes.
Lo
dispuesto en el párrafo anterior, no será aplicable en los siguientes casos:
I. Cuando la transferencia sea
nacional y se realice entre responsables en virtud del cumplimiento de una
disposición legal o en el ejercicio de atribuciones expresamente conferidas a
éstos, atendiendo las finalidades establecidas; o
II. Cuando la transferencia sea
internacional y se encuentre prevista en una ley o tratado suscrito y
ratificado por México, o bien, se realice a petición de una autoridad
extranjera u organismo internacional competente en su carácter de receptor,
siempre y cuando las facultades entre el responsable transferente y receptor sean
homólogas, o bien, las finalidades que motivan la transferencia sean análogas o
compatibles respecto de aquéllas que dieron origen al tratamiento del
responsable transferente.
Artículo
61. Cuando la
transferencia sea nacional, el receptor de los datos personales deberá tratar
los datos personales, comprometiéndose a garantizar su confidencialidad y
únicamente los utilizará para los fines que fueron transferidos atendiendo a lo
convenido en el aviso de privacidad que le será comunicado por el responsable
transferente.
Artículo
62. El
responsable sólo podrá transferir o hacer remisión de datos personales fuera
del territorio nacional cuando el tercero receptor o el encargado se obliguen a
proteger los datos personales conforme a los principios y deberes que establece
la presente Ley y las disposiciones que resulten aplicables en la materia.
Artículo
63. En toda
transferencia de datos personales, el responsable deberá comunicar al receptor
de los datos personales las finalidades conforme a las cuales se tratan los
datos personales frente al titular.
Artículo
64. El
responsable podrá realizar transferencias de datos personales sin necesidad de
requerir el consentimiento del titular, en los siguientes supuestos:
I. Cuando la transferencia esté
prevista en esta Ley u otras leyes, convenios o Tratados Internacionales
suscritos y ratificados por México;
II. Cuando la transferencia se
realice entre responsables, siempre y cuando los datos personales se utilicen
para el ejercicio de facultades propias, compatibles o análogas con la
finalidad que motivó el tratamiento de los datos personales;
III. Cuando la transferencia sea
legalmente exigida para la investigación y persecución de los delitos, así como
la procuración o administración de justicia;
IV. Cuando la transferencia sea
precisa para el reconocimiento, ejercicio o defensa de un derecho ante
autoridad competente, siempre y cuando medie el requerimiento de esta última;
V. Cuando la transferencia sea
necesaria para la prevención o el diagnóstico médico, la prestación de
asistencia sanitaria, tratamiento médico o la gestión de servicios sanitarios,
siempre y cuando dichos fines sean acreditados;
VI. Cuando la transferencia sea
precisa para el mantenimiento o cumplimiento de una relación jurídica entre el
responsable y el titular;
VII. Cuando la transferencia sea
necesaria por virtud de un contrato celebrado o por celebrar en interés del
titular, por el responsable y un tercero; y
VIII. Cuando se trate de los casos en
los que el responsable no esté obligado a recabar el consentimiento del titular
para el tratamiento y transmisión de sus datos personales, conforme a lo
dispuesto en el artículo 16 de la presente Ley.
TÍTULO SEXTO
ACCIONES PREVENTIVAS EN MATERIA DE PROTECCIÓN DE
DATOS PERSONALES
Capítulo I
De las Mejores Prácticas
Artículo
65. Para el
cumplimiento de las obligaciones previstas en la presente Ley, el responsable
podrá desarrollar o adoptar, en lo individual o en acuerdo con otros
responsables, encargados u organizaciones, esquemas de mejores prácticas que
tengan por objeto:
I. Elevar el nivel de protección de
los datos personales;
II. Armonizar el tratamiento de datos
personales en un sector específico;
III. Facilitar el ejercicio de los
derechos ARCO;
IV. Complementar las disposiciones
previstas en la normatividad que resulte aplicable en materia de protección de
datos personales; y
V. Demostrar ante el Instituto el
cumplimiento de la normatividad que resulte aplicable en materia de protección
de datos personales.
Artículo
66. Todo
esquema de mejores prácticas que busque la validación o reconocimiento por
parte del Instituto deberá:
I. Cumplir con los parámetros que
para tal efecto emita el Instituto de acuerdo al Programa Nacional de
Protección de Datos Personales; y
II. Ser notificado de conformidad con
el procedimiento establecido en los parámetros señalados en la fracción
anterior, a fin de que sean evaluados y, en su caso, validados y reconocidos e
inscritos en el registro que para tal efecto se habilite.
El
Instituto deberán emitir las reglas de operación de los registros en los que se
inscribirán aquellos esquemas de mejores prácticas validados o reconocidos.
El
Instituto podrán inscribir los esquemas de mejores prácticas que hayan
reconocido o validado en el registro administrado por el Instituto Nacional, de
acuerdo con las reglas que fije este último.
Artículo
67. Cuando el
responsable pretenda poner en operación o modificar políticas públicas, sistemas
o plataformas informáticas, aplicaciones electrónicas o cualquier otra
tecnología que a su juicio y de conformidad con esta Ley impliquen el
tratamiento intensivo o relevante de datos personales, deberá presentar ante el
Instituto una evaluación de impacto en la protección de datos personales, para
que éste emita recomendaciones especializadas, cuyo contenido tendrá como guía
las disposiciones que para tal efecto emita el Sistema Nacional.
Artículo
68. Para
efectos de esta Ley se considerará que se está en presencia de un tratamiento
intensivo o relevante de datos personales, el cual amerite una manifestación de
impacto a la protección de datos personales, en función de los siguientes
factores:
I. El número de titulares;
II. El público objetivo;
III. El desarrollo de la tecnología
utilizada;
IV. La relevancia del tratamiento de
datos personales en atención al impacto social o, económico del mismo, o bien,
del interés público que se persigue;
V. Existan riesgos inherentes a los
datos personales a tratar;
VI. Se traten de datos personales
sensibles;
VII. Se traten de datos personales de
forma masiva y continua; o
VIII. Se efectúen o pretenda hacer
transferencias de datos.
Artículo
69. Los
sujetos obligados que realicen una Evaluación de impacto en la protección de
datos personales, deberán presentarla ante el Instituto cuando menos treinta
días antes a la fecha en que se pretenda poner en operación o modificar
políticas públicas, sistemas o plataformas informáticas, aplicaciones
electrónicas o cualquier otra tecnología, ante el Instituto a efecto de que se
emita el dictamen correspondiente.
Artículo
70. El
Instituto deberá emitir un dictamen sobre la evaluación de impacto a la
protección de datos personales en un plazo de treinta días a partir del
siguiente día de presentada la evaluación. El dictamen deberá contener
recomendaciones que permitan mitigar y reducir la generación de los impactos y
riesgos que se detecten en materia de protección de datos personales.
Artículo
71. Cuando a
juicio del responsable se puedan comprometer los efectos que se pretenden
lograr con la posible puesta en operación o modificación de políticas públicas,
sistemas o plataformas informáticas, aplicaciones electrónicas o cualquier otra
tecnología que implique el tratamiento intensivo o relevante de datos
personales o se trate de situaciones de emergencia o urgencia, la Evaluación de
Impacto en la protección de datos personales se deberá presentar veinte días después
de su puesta en operación.
Capítulo II
De las Bases de Datos en Posesión de Instancias de
Seguridad, Procuración y Administración de Justicia
Artículo
72. Los datos
obtenidos para fines policiales y de administración o procuración de justicia podrán
ser recabados sin consentimiento, pero están limitados a aquellos supuestos y
categorías de datos que resulten necesarios, pertinentes y proporcionales para
la prevención de un peligro para la seguridad pública o para la prevención o
persecución de delitos, debiendo ser tratados en sistemas de datos específicos
establecidos para tal efecto.
Las
autoridades que accedan a los datos personales almacenados por particulares en
cumplimiento de las disposiciones legales correspondientes, deberán cumplir con
las disposiciones señaladas en la presente Ley.
Artículo
73. Las
comunicaciones privadas son inviolables. Exclusivamente la autoridad judicial,
podrá autorizar la intervención de cualquier comunicación privada.
Artículo
74. Los
responsables de los sistemas de datos personales específicos en seguridad y
administración y procuración de justicia, deberán establecer medidas de
seguridad de nivel alto que permitan proteger los datos personales contra daño,
pérdida, alteración, destrucción o el uso, acceso o tratamiento no autorizado y
para garantizar la integridad, disponibilidad y confidencialidad de los mismos.
TÍTULO SÉPTIMO
RESPONSABLES EN MATERIA DE PROTECCIÓN DE DATOS
PERSONALES EN POSESIÓN DE LOS SUJETOS OBLIGADOS
Capítulo I
Comité de Transparencia
Artículo
75. Para los
efectos de la presente Ley y sin perjuicio de otras atribuciones que le sean
conferidas en la normatividad que le resulte aplicable, el Comité de
Transparencia tendrá las siguientes funciones:
I. Coordinar, supervisar y realizar
las acciones necesarias para garantizar el derecho a la protección de los datos
personales en la organización de cada sujeto obligado, de conformidad con las
disposiciones previstas en la presente Ley y en aquellas disposiciones que
resulten aplicables en la materia;
II. Instituir procedimientos internos
para asegurar la mayor eficiencia en la gestión de las solicitudes para el
ejercicio de los derechos ARCO;
III. Confirmar, modificar o revocar
las solicitudes de derechos ARCO en las que se declare la inexistencia de los
datos personales;
IV. Establecer y supervisar la
aplicación de criterios específicos que resulten necesarios para una mejor
observancia de la presente Ley y en aquellas disposiciones que resulten
aplicables en la materia;
V. Supervisar, en coordinación con
las áreas o unidades administrativas competentes, el cumplimiento de las
medidas, controles y acciones previstas en el documento de seguridad;
VI. Establecer programas de
capacitación y actualización para los servidores públicos en materia de
protección de datos personales; y
VII. Dar vista al órgano interno de
control o instancia equivalente en aquellos casos en que tenga conocimiento, en
el ejercicio de sus atribuciones, de una presunta irregularidad respecto de
determinado tratamiento de datos personales; particularmente en casos
relacionados con la declaración de inexistencia que realicen los responsables.
Capítulo II
De las atribuciones de la Unidad de Transparencia
Artículo
76. La Unidad
de Transparencia tendrá las siguientes atribuciones:
I. Auxiliar y orientar al titular
que lo requiera con relación al ejercicio del derecho a la protección de datos
personales;
II. Gestionar las solicitudes para el
ejercicio de los derechos ARCO;
III. Establecer mecanismos para
asegurar que los datos personales sólo se entreguen a su titular o su
representante debidamente acreditados;
IV. Informar al titular o su
representante el monto de los costos a cubrir por la reproducción y envío de
los datos personales, con base en lo establecido en las disposiciones
normativas aplicables;
V. Proponer al Comité de
Transparencia los procedimientos internos que aseguren y fortalezcan mayor
eficiencia en la gestión de las solicitudes para el ejercicio de los derechos
ARCO;
VI. Aplicar instrumentos de
evaluación de calidad sobre la gestión de las solicitudes para el ejercicio de
los derechos ARCO;
VII. Asesorar a las áreas del sujeto
obligado en materia de protección de datos personales;
VIII. Registrar ante el Instituto los sistemas
de datos personales, así como su modificación y supresión; y
IX. Hacer las gestiones necesarias
para el manejo, mantenimiento, seguridad y protección de los sistemas de datos
personales en posesión del responsable.
Los
responsables que en el ejercicio de sus funciones sustantivas lleven a cabo
tratamientos de datos personales relevantes o intensivos, podrán designar a un
oficial de protección de datos personales, especializado en la materia, quien
realizará las atribuciones mencionadas en este artículo y formará parte de la
Unidad de Transparencia.
Los
sujetos obligados promoverán acuerdos con instituciones públicas especializadas
que pudieran auxiliarles a la recepción, trámite y entrega de las respuestas a
solicitudes de información, en la lengua indígena, braille o cualquier formato
accesible correspondiente, en forma más eficiente.
Artículo
77. El
responsable garantizará que las personas con algún tipo de discapacidad o
grupos vulnerables, puedan ejercer, en igualdad de circunstancias su derecho a
la protección de datos personales.[10]
TÍTULO OCTAVO
Capítulo I
Del Instituto de Transparencia, Acceso a la
Información Pública, Protección de Datos Personales y Rendición de Cuentas de
la Ciudad de México
Artículo
78. El
Instituto de Transparencia, Acceso a la Información Pública, Protección de
Datos Personales y Rendición de Cuentas de la Ciudad de México es el órgano
encargado de dirigir y vigilar el cumplimiento de la presente Ley, así como de
las normas que de ella deriven; será la autoridad encargada de garantizar la
protección y el tratamiento correcto y lícito de datos personales.
Artículo
79. El
Instituto tendrá las siguientes atribuciones:
I. Conocer, sustanciar y resolver
los recursos de revisión interpuestos por los titulares, en términos de lo
dispuesto en la presente Ley y demás disposiciones que resulten aplicables en
la materia;
II. Presentar petición fundada al
Instituto Nacional, para que conozca de los recursos de revisión que por su
interés y trascendencia así lo ameriten, en términos de lo previsto en la
presente Ley y demás disposiciones que resulten aplicables en la materia;
III. Imponer las medidas de apremio
para asegurar el cumplimiento de sus resoluciones;
IV. Promover y difundir el ejercicio
del derecho a la protección de datos personales;
V. Coordinarse con las autoridades
competentes para que las solicitudes para el ejercicio de los derechos y los
recursos de revisión que se presenten en lenguas indígenas, sean atendidas en
la misma lengua; [11]
VI. Garantizar, en el ámbito de sus
respectivas competencias, condiciones de accesibilidad para que los titulares
que pertenecen a grupos vulnerables puedan ejercer, en igualdad de
circunstancias, su derecho a la protección de datos personales;
VII. Elaborar y publicar estudios e
investigaciones para difundir y ampliar el conocimiento sobre la materia de la
presente Ley;
VIII. Hacer del conocimiento de las
autoridades competentes, la probable responsabilidad derivada del
incumplimiento de las obligaciones previstas en la presente Ley y en las demás
disposiciones que resulten aplicables;
IX. Vigilar, en el ámbito de su
competencia, el cumplimiento de la presente Ley y demás disposiciones que
resulten aplicables en la materia;
X. Llevar a cabo acciones y
actividades que promuevan el conocimiento del derecho a la protección de datos
personales, así como de sus prerrogativas;
XI. Aplicar indicadores y criterios
para evaluar el desempeño de los responsables respecto del cumplimiento de la
presente Ley y demás disposiciones que resulten aplicables;
XII. Promover la capacitación y
actualización en materia de protección de datos personales entre los
responsables;
XIII. Cooperar con otras autoridades de
supervisión y organismos nacionales e internacionales, a efecto de coadyuvar en
materia de protección de datos personales, de conformidad con las disposiciones
previstas en la presente Ley y demás normatividad aplicable;
XIV. Administrar, en el ámbito de sus
competencias, la Plataforma Nacional de Transparencia;
XV. Emitir, en su caso, las
recomendaciones correspondientes a la Evaluación de impacto en protección de
datos personales que le sean presentadas;
XVI. Realizar el registro de los
sistemas de datos personales en posesión de los sujetos obligados de la Ciudad
de México;
XVII. Establecer en su ámbito de
competencia, políticas y lineamientos para el manejo, tratamiento y protección
de los sistemas de datos personales que estén en posesión de sujetos obligados,
así como expedir aquellas normas que resulten necesarias para el cumplimiento
de esta Ley;
XVIII. Diseñar y aprobar los formatos de
solicitudes de acceso, rectificación, cancelación y oposición a datos
personales;
XIX. Verificar el registro y los
mecanismos para garantizar los niveles de seguridad aplicables a los sistemas
de datos personales en posesión de los sujetos obligados;
XX. Solicitar y evaluar los informes
presentados por los sujetos obligados respecto de la protección de datos
personales y del ejercicio de los Derechos previstos en la presente Ley. Este
informe se incluirá en el informe que el Instituto presentará al Congreso de la
Ciudad de México según lo establece la norma e incluirá al menos lo siguiente:
a) Número de solicitudes de acceso,
rectificación, cancelación y oposición de datos personales presentadas ante
cada responsable, así como su resultado;
b) El tiempo de respuesta a la
solicitud;
c) El estado de las medidas de
apremio promovidas por el Instituto;
d) El usos de recursos públicos en
el ejercicio de los Derechos materia de la presente Ley;
e) Las acciones desarrolladas;
f) Los indicadores de gestión; y
g) El impacto de su actuación.
XXI. Evaluar las políticas, acciones y
el cumplimiento de los principios de la presente Ley por parte de los
responsables, mediante la verificación periódica;
XXII. Interponer acciones de
inconstitucionalidad en contra de leyes expedidas por el Congreso de la Ciudad
de México que vulneren el derecho a la protección de datos personales; y
XXIII. Las demás que le confiera la
presente Ley y demás ordenamientos aplicables.
Capítulo III (sic)
De la Coordinación y Promoción del Derecho a la
Protección de Datos Personales
Artículo
80. Los
responsables deberán colaborar con el Instituto para capacitar y actualizar de
forma permanente a todos sus servidores públicos en materia de protección de
datos personales, a través de la impartición de cursos, seminarios, talleres y
cualquier otra forma de enseñanza y entrenamiento que se considere pertinente.
Artículo
81. El
Instituto en el ámbito de su competencia, deberá:
I. Promover que en los programas y
planes de estudio, libros y materiales que se utilicen en las instituciones
educativas de todos los niveles y modalidades del Estado, se incluyan
contenidos sobre el derecho a la protección de datos personales, así como una
cultura sobre el ejercicio y respeto de éste;
II. Impulsar en conjunto con
instituciones de educación superior, la integración de centros de investigación,
difusión y docencia sobre el derecho a la protección de datos personales que
promuevan el conocimiento sobre este tema y coadyuven con el Instituto en sus
tareas sustantivas; y
III. Fomentar la creación de espacios
de participación social y ciudadana que estimulen el intercambio de ideas entre
la sociedad, los órganos de representación ciudadana y los responsables.
TÍTULO NOVENO
DE LOS PROCEDIMIENTOS DE IMPUGNACIÓN EN MATERIA DE
PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE SUJETOS OBLIGADOS
Capítulo I
Del Recurso de Revisión
Artículo
82. El
recurso de revisión podrá interponerse, de manera directa, por correo
certificado o por medios electrónicos, ante el Instituto, o ante la Unidad de
Transparencia del sujeto obligado que haya dado respuesta a la solicitud de
acceso, rectificación, cancelación u oposición a datos personales.
La Unidad
de Transparencia al momento de dar respuesta a una solicitud de acceso,
rectificación, cancelación u oposición a datos personales orientará al particular
sobre su derecho de interponer el recurso de revisión y el modo de hacerlo.
En el
caso de que el recurso de revisión se interponga ante la Unidad de
Transparencia, ésta deberá remitirlo al Instituto a más tardar al día siguiente
de haberlo recibido.
Cuando el
recurso de revisión se presente ante la Unidad de Transparencia o por correo
certificado, para el cómputo de los plazos de presentación, se tomará la fecha
en que el recurrente lo presente; para el cómputo de los plazos de resolución,
se tomará la fecha en que el Instituto lo reciba.
Artículo
83. Toda
persona podrá interponer, por sí o a través de su representante legal, el
recurso de revisión, mediante escrito libre o a través de los formatos
establecidos por el Instituto para tal efecto o por medio del sistema
habilitado para tal fin, dentro de los quince días siguientes contados a partir
de:
I. La notificación de la respuesta a
su solicitud de acceso, rectificación, cancelación u oposición a datos
personales; o
II. El vencimiento del plazo para la
entrega de la respuesta de la solicitud de acceso, rectificación, cancelación u
oposición a datos personales, cuando dicha respuesta no hubiere sido entregada.
Artículo
84. El
titular podrá acreditar su identidad a través de cualquiera de los siguientes
medios:
I. Identificación oficial;
II. Firma electrónica avanzada o del
instrumento electrónico que lo sustituya; o
III. Mecanismos de autenticación
autorizados por el Instituto, publicados mediante acuerdo general en Gaceta
Oficial de la Ciudad de México.
La
utilización de la firma electrónica avanzada o del instrumento electrónico que
lo sustituya eximirá de la presentación de la copia del documento de
identificación.
Artículo
85. Cuando el
titular actúe mediante un representante, éste deberá acreditar su personalidad
en los siguientes términos:
I. Si se trata de una persona
física, a través de carta poder simple suscrita ante dos testigos anexando
copia de las identificaciones de los suscriptores, o instrumento público, o
declaración en comparecencia personal del titular y del representante ante el
Instituto; o
II. Si se trata de una persona moral,
mediante instrumento público.
Artículo
86. La
interposición de un recurso de revisión de datos personales concernientes a
personas fallecidas, podrá realizarla la persona que acredite tener un interés
jurídico o legítimo, el heredero o el albacea de la persona fallecida, de
conformidad con las leyes aplicables, o bien exista un mandato judicial para
dicho efecto.
Artículo
87. En la
sustanciación de los recursos de revisión, las notificaciones que emita el
Instituto, surtirán efectos al día siguiente en que se practiquen.
Las
notificaciones podrán efectuarse:
I. Personalmente en los siguientes
casos:
a) En la primera notificación;
b) El requerimiento de un acto a la
parte que deba cumplirlo;
c) La solicitud de informes o
documentos;
d) La resolución que ponga fin al
procedimiento de que se trate, y
e) En los demás casos que disponga
la ley;
II. Por correo certificado con acuse
de recibo o medios digitales o sistemas autorizados por el Instituto, y
publicados mediante acuerdo general en la Gaceta Oficial de la Ciudad de
México, cuando se trate de requerimientos, emplazamientos, solicitudes de informes
o documentos y resoluciones que puedan ser impugnadas;
III. Por correo postal ordinario o por
correo electrónico ordinario cuando se trate de actos distintos de los
señalados en las fracciones anteriores, o
IV. Por estrados, cuando la persona a
quien deba notificarse no sea localizable en su domicilio, se ignore éste o el
de su representante.
Artículo
88. El
cómputo de los plazos señalados en el presente Título comenzará a correr a
partir del día siguiente a aquél en que haya surtido efectos la notificación
correspondiente.
Artículo
89. El
titular y el sujeto obligado deberán atender los requerimientos de información
en los plazos y términos que el Instituto establezca.
Artículo
90. El
recurso de revisión procederá en contra de:
I. La inexistencia de los datos
personales;
II. La declaración de incompetencia
por el sujeto obligado;
III. La entrega de datos personales
incompletos;
IV. La entrega de datos personales
que no correspondan con lo solicitado;
V. La negativa al acceso, rectificación,
cancelación u oposición de datos personales;
VI. La falta de respuesta a una
solicitud de acceso, rectificación, cancelación u oposición de datos
personales, dentro de los plazos establecidos en la presente ley;
VII. La entrega o puesta a disposición
de datos personales en una modalidad o formato distinto al solicitado, o en un
formato incomprensible;
VIII. Los costos de reproducción o
tiempos de entrega de los datos personales;
IX. La obstaculización del ejercicio
de los derechos de acceso, rectificación, cancelación u oposición de datos
personales, a pesar de que fue notificada la procedencia de los mismos; o
X. La falta de trámite a una
solicitud para el ejercicio de los derechos de acceso, rectificación,
cancelación u oposición de datos personales.
Artículo
91. Se
considera que existe falta de respuesta en los supuestos siguientes:
I. Concluido el plazo legal para
atender una solicitud de acceso, rectificación, cancelación u oposición de
datos personales, el sujeto obligado no haya emitido ninguna respuesta;
II. El sujeto obligado haya señalado
que se anexó una respuesta o la información solicitada, en tiempo, sin que lo
haya acreditado;
III. El sujeto obligado, al dar
respuesta, materialmente emita una prevención o ampliación de plazo, y
IV. Cuando el sujeto obligado haya
manifestado al recurrente que por cargas de trabajo o problemas internos no
está en condiciones de dar respuesta a la solicitud de acceso, rectificación,
cancelación u oposición de datos personales.
Artículo
92. El
recurso de revisión deberá contener lo siguiente:
I. El sujeto obligado ante quien se
presentó la solicitud para el ejercicio de los derechos ARCO;
II. El nombre del titular que recurre
o su representante así como el domicilio o medio que señale para recibir
notificaciones;
III. La fecha en que fue notificada la
respuesta al titular, o bien, en caso de falta de respuesta, la fecha de
presentación de la solicitud para el ejercicio de los derechos ARCO;
IV. El acto o resolución que se
recurre, así como las razones o motivos de inconformidad;
V. En su caso, copia de la respuesta
que se impugna y de la notificación correspondiente, y
VI. Los documentos que acrediten la
identidad del titular y, en su caso, la personalidad e identidad de su representante.
Adicionalmente
se podrán anexar las pruebas y demás elementos que se consideren procedentes
hacer de conocimiento del Instituto.
En ningún
caso será necesario que el particular ratifique el recurso de revisión
interpuesto.
Artículo
93. Si en el
escrito de interposición del recurso de revisión el titular no cumple con
alguno de los requisitos previstos en el artículo anterior y el Instituto no
cuente con elementos para subsanarlo, se deberá requerir al titular, por una
sola ocasión, la información que subsane las omisiones en un plazo que no podrá
exceder de tres días, contados a partir del día siguiente de la presentación
del escrito.
El
titular contará con un plazo de cinco días, contados a partir del día siguiente
al de la notificación de la prevención, para subsanar las omisiones, con el
apercibimiento de que en caso de no cumplir con el requerimiento, se desechará
el recurso de revisión.
La
prevención tendrá el efecto de interrumpir el plazo que tienen el Instituto
para resolver el recurso, por lo que comenzará a computarse a partir del día
siguiente a su desahogo.
Cuando el
recurso de revisión sea notoriamente improcedente por haber fenecido el plazo
legal para su presentación, se desechará de plano, debiendo notificarlo al
promovente en un plazo no mayor a cinco días hábiles.
Artículo
94. Una vez
admitido el recurso de revisión, el Instituto podrá buscar una conciliación
entre el titular y el responsable.
De llegar
a un acuerdo, éste se hará constar por escrito y tendrá efectos vinculantes. El
recurso de revisión quedará sin materia y el Instituto deberá verificar el
cumplimiento del acuerdo respectivo.
Artículo
95. Admitido
el recurso de revisión, el Instituto promoverá la conciliación entre las
partes, de conformidad con el siguiente procedimiento:
I. El Instituto requerirá a las
partes que manifiesten, por cualquier medio, su voluntad de conciliar, en un
plazo no mayor a siete días, contados a partir de la notificación de dicho
acuerdo, mismo que contendrá un resumen del recurso de revisión y de la
respuesta del responsable si la hubiere, señalando los elementos comunes y los
puntos de controversia.[12]
La
conciliación podrá celebrarse presencialmente, por medios remotos o locales de
comunicación electrónica o por cualquier otro medio que determine el organismo
garante. En cualquier caso, la conciliación habrá que hacerse por el medio que
permita acreditar su existencia. [13]
Queda
exceptuado de la etapa de conciliación, cuando el titular sea menor de edad y
se haya vulnerado alguno de los derechos contemplados en la Ley para la
Protección de los Derechos de Niñas, Niños y Adolescentes, vinculados con la
Ley y el Reglamento, salvo que cuente con representación legal debidamente
acreditada; [14]
II. Aceptada la posibilidad de
conciliar por ambas partes, el organismo garante, señalará el lugar o medio,
día y hora para la celebración de una audiencia de conciliación, la cual deberá
realizarse dentro de los diez días siguientes en que el organismo garante, haya
recibido la manifestación de la voluntad de conciliar de ambas partes, en la
que se procurará avenir los intereses entre el titular y el responsable.[15]
El
conciliador podrá, en todo momento en la etapa de conciliación, requerir a las
partes que presenten en un plazo máximo de cinco días, los elementos de
convicción que estime necesarios para la conciliación.
El
conciliador podrá suspender cuando lo estime pertinente o a instancia de ambas
partes la audiencia por una ocasión. En caso de que se suspenda la audiencia,
el conciliador señalará día y hora para su reanudación dentro de los cinco días
siguientes.
De toda
audiencia de conciliación se levantará el acta respectiva, en la que conste el
resultado de la misma. En caso de que el responsable o el titular o sus
respectivos representantes no firmen el acta, ello no afectará su validez,
debiéndose hacer constar dicha negativa;
III. Si alguna de las partes no acude
a la audiencia de conciliación y justifica su ausencia en un plazo de tres
días, será convocado a una segunda audiencia de conciliación, en el plazo de
cinco días; en caso de que no acuda a esta última, se continuará con el recurso
de revisión. Cuando alguna de las partes no acuda a la audiencia de
conciliación sin justificación alguna, se continuará con el procedimiento;
IV. De no existir acuerdo en la
audiencia de conciliación, se continuará con el recurso de revisión;
V. De llegar a un acuerdo, éste se
hará constar por escrito y tendrá efectos vinculantes. El recurso de revisión
quedará sin materia y el instituto verificará el cumplimiento del acuerdo
respectivo, y[16]
VI. El cumplimiento del acuerdo dará
por concluido la sustanciación del recurso de revisión, en caso contrario, el
organismo garante reanudará el procedimiento. [17]
El plazo
para resolver el recurso de revisión será suspendido durante el periodo de
cumplimiento del acuerdo de conciliación. [18]
Artículo
96. El
Instituto resolverá el recurso de revisión en un plazo que no podrá exceder de
treinta días, contados a partir de la admisión del mismo, en los términos que
establezca la presente Ley, plazo que podrá ampliarse por una sola vez y hasta
por un periodo de diez días.
Artículo
97. Durante
el procedimiento a que se refiere el presente Capítulo, el Instituto deberá
aplicar la suplencia de la queja a favor del titular, siempre y cuando no
altere el contenido original del recurso de revisión, ni modifique los hechos o
agravios expuestos en el mismo, así como garantizar que las partes puedan
presentar los argumentos y constancias que funden y motiven sus pretensiones.
Artículo
98. Interpuesto
el recurso de revisión, el Comisionado Presidente del Instituto, lo turnará a
los Comisionados Ponentes, quienes resolverán conforme a lo siguiente:
I. El acuerdo de admisión,
prevención o de desechamiento se dictará dentro de los tres días siguientes;
II. Admitido el recurso, se integrará
un Expediente y se pondrá a disposición de las partes, para que, en un plazo
máximo de siete días, manifiesten lo que a su derecho convenga y, en su caso,
manifiesten su voluntad de conciliar.
La
posibilidad de conciliación no exime al responsable de rendir sus
manifestaciones;
III. Dentro del plazo mencionado en la
fracción que antecede, las partes podrán ofrecer todo tipo de pruebas o
alegatos excepto la confesional por parte de los sujetos obligados y aquéllas
que sean contrarias a derecho.
IV. En caso de que resulte necesario,
se determinarán las medidas necesarias para el desahogo de las pruebas, y
celebración de audiencias con las partes durante la sustanciación del recurso
de revisión;
V. Una vez desahogadas las pruebas y
formulados o no los alegatos, se decretará el cierre de instrucción;
VI. El Instituto no estará obligado a
atender la información remitida por el sujeto obligado una vez decretado el
cierre de instrucción; y
VII. Decretado el cierre de
instrucción, se elaborará el proyecto de resolución, en un plazo que no podrá
exceder de diez días, el cual que deberá ser presentado por el Comisionado
Ponente a consideración del Pleno del Instituto.
La
atención a los recursos de revisión se hará de conformidad con el procedimiento
establecido por el Instituto para tal efecto.
Artículo
99. Las
resoluciones del Instituto podrán:
I. Sobreseer o desechar el recurso
de revisión;
II. Confirmar la respuesta del
responsable;
III. Revocar o modificar la respuesta
del responsable; o
IV. Ordenar al responsable que atienda
la solicitud de Acceso, Rectificación, Cancelación u Oposición a Datos
Personales, en caso de omisión.
Las
resoluciones establecerán, en su caso, los plazos y términos para su
cumplimiento y los procedimientos para asegurar su ejecución. Los responsables
deberán informar al Instituto el cumplimiento de sus resoluciones.
Cuando el
Instituto determine durante la sustanciación del recurso de revisión que se
pudo haber incurrido en una probable responsabilidad por el incumplimiento a
las obligaciones previstas en la presente Ley y demás disposiciones que
resulten aplicables en la materia, deberá hacerlo del conocimiento del órgano
interno de control o de la instancia competente para que ésta inicie, en su
caso, el procedimiento de responsabilidad respectivo.
Artículo
100. El
recurso de revisión será desechado por improcedente cuando:
I. Sea extemporáneo por haber
transcurrido el plazo establecido en la presente Ley;
II. El titular o su representante no
acrediten debidamente su identidad y personalidad de este último;
III. No se actualice alguno de los
supuestos previstos en la presente Ley;
IV. No se haya desahogado la
prevención en los términos establecidos en la presente ley;
V. El recurrente modifique o amplíe
su solicitud en el recurso de revisión, únicamente respecto de los nuevos
contenidos; o
VI. Se esté tramitando ante los
tribunales competentes algún recurso o medio de defensa interpuesta por el
recurrente.
Artículo
101. El
recurso de revisión será sobreseído cuando se actualicen alguno de los
siguientes supuestos:
I. El recurrente se desista
expresamente;
II. El recurrente fallezca;
III. Admitido el recurso de revisión,
se actualice alguna causal de improcedencia en los términos de la presente Ley;
IV. Cuando por cualquier motivo quede
sin materia el recurso de revisión.
Artículo
102. El
Instituto deberá notificar a las partes y publicar las resoluciones, en versión
pública, a más tardar, al tercer día siguiente de su aprobación.
Artículo
103. Interpuesto
el recurso por cualquiera de las causales consideradas como falta de respuesta
de esta Ley, el Instituto dará vista al sujeto obligado para que alegue lo que
a su derecho convenga en un plazo no mayor a cinco días.
Recibida
su contestación, el Instituto deberá emitir resolución en un plazo no mayor a
cinco días, requiriéndole al sujeto obligado que atienda la solicitud de
Acceso, Rectificación, Cancelación u Oposición de datos Personales, en un plazo
no mayor a tres días cubriendo, en su caso, los costos de reproducción del
material.
Artículo
104. Las
resoluciones del Instituto son vinculantes, definitivas e inatacables para los
sujetos obligados.
Artículo
105. Los
particulares podrán impugnar las determinaciones o resoluciones del Instituto
ante el Instituto Nacional o ante el Poder Judicial de la Federación; pero no
podrán agotar simultáneamente ambas vías.
Capítulo II
Del Cumplimiento de las Resoluciones
Artículo
106. Los
sujetos obligados, a través de la Unidad de Transparencia, darán estricto
cumplimiento a las resoluciones del Instituto y deberán informar a éste sobre
su cumplimiento.
Para
ello, todas las Áreas y colaboradores del sujeto obligado, auxiliarán a la Unidad
de Transparencia, a efecto de que se atiendan puntualmente las resoluciones del
Instituto dentro del tiempo contemplado para ello.
Excepcionalmente,
considerando las circunstancias especiales del caso, los sujetos obligados
podrán solicitar al Instituto, de manera fundada y motivada, una ampliación del
plazo para el cumplimiento de la resolución.
Dicha
solicitud deberá presentarse, a más tardar, dentro de los primeros tres días
del plazo otorgado para el cumplimiento, a efecto de que el Instituto resuelva
sobre la procedencia de la misma dentro de los cinco días siguientes.
En caso
de que el Instituto declare improcedente la solicitud de prórroga, el sujeto
obligado atenderá la resolución de que se trate, en el tiempo originalmente
contemplado para ello.
Artículo
107. Transcurrido
el plazo señalado en el artículo anterior, el sujeto obligado deberá informar
al Instituto sobre el cumplimento de la resolución.
El
Instituto verificará de oficio la calidad de la información y, a más tardar al
día siguiente de recibir el informe, dará vista al recurrente para que, dentro
de los cinco días siguientes, manifieste lo que a su derecho convenga. Si
dentro del plazo señalado el recurrente manifiesta que el cumplimiento no
corresponde a lo ordenado por el Instituto, deberá expresar las causas
específicas por las cuales así lo considera.
Artículo
108. El
Instituto deberá pronunciarse, en un plazo no mayor a cinco días, sobre todas
las causas que el recurrente manifieste así como del resultado de la verificación
realizada. Si el Instituto considera que se dio cumplimiento a la resolución,
emitirá un acuerdo de cumplimiento y se ordenará el archivo del Expediente. En
caso contrario, el Instituto:
I. Emitirá un acuerdo de
incumplimiento;
II. Notificará al superior jerárquico
del responsable de dar cumplimiento, para el efecto de que, en un plazo no
mayor a cinco días, se dé cumplimiento a la resolución, y
III. Determinará las medidas de
apremio o sanciones, según corresponda, que deberán imponerse o las acciones
procedentes que deberán aplicarse.
Capítulo III
Del Recurso de Inconformidad ante el Instituto
Nacional
Artículo
109. El
recurso de inconformidad procede contra las resoluciones emitidas por el
Instituto que:
I. Clasifiquen los datos personales
sin que se cumplan las características señaladas en las leyes que resulten
aplicables;
II. Determinen la inexistencia de
datos personales, o
III. Declaren la negativa de datos
personales, es decir:
a) Se entreguen datos personales
incompletos;
b) Se entreguen datos personales que
no correspondan con los solicitados;
c) Se niegue el acceso,
rectificación, cancelación u oposición de datos personales;
d) Se entregue o ponga a disposición
datos personales en un formato incomprensible;
e) El titular se inconforme con los
costos de reproducción, envío, o tiempos de entrega de los datos personales, o
f) Se oriente a un trámite
específico que contravenga lo dispuesto por el artículo 54 de la presente Ley.
Artículo
110. El
recurso de inconformidad se sustanciará atendiendo a lo dispuesto por la Ley
General.
TÍTULO DÉCIMO
DE LA VERIFICACIÓN
Capítulo Único
Del Procedimiento de Verificación
Artículo
111. El
Instituto tendrá la atribución de vigilar y verificar el cumplimiento de los principios
y las disposiciones contenidas en la presente Ley y demás ordenamientos que se
deriven de ésta.
En el
ejercicio de las funciones de vigilancia y verificación, el personal del
Instituto estará obligado a guardar confidencialidad sobre la información a la
que tengan acceso en virtud de la verificación correspondiente.
El
responsable no podrá negar el acceso a la documentación solicitada con motivo
de una verificación, a sus bases de datos personales o a los sistemas de datos
personales, ni podrá invocar la reserva o la confidencialidad de la
información.
Artículo
112. La
verificación podrá iniciarse:
I. De oficio cuando el Instituto
cuenten con indicios que hagan presumir fundada y motivada la existencia de
violaciones a las leyes correspondientes,
II. Por denuncia del titular cuando
considere que ha sido afectado por actos del responsable que puedan ser
contrarios a lo dispuesto por la presente Ley y demás normativa aplicable,
III. Por cualquier persona cuando
tenga conocimiento de presuntos incumplimientos a las obligaciones previstas en
la presente Ley y demás disposiciones que resulten aplicables en la materia;
IV. Para verificar el cumplimiento de
los principios, el tratamiento de los datos personales y la gestión de los
sistemas de datos personales en posesión del responsable, para tal efecto el
Instituto presentará un programa anual de verificación.
La
denuncia establecida en la fracción II del presente artículo, se resolverá de
conformidad con el Procedimiento que para tal efecto emita el Instituto.
El
derecho a presentar una denuncia precluye en el término de un año contado a
partir del día siguiente en que se realicen los hechos u omisiones materia de
la misma. Cuando los hechos u omisiones deriven de un acto reiterado, el
término empezará a contar a partir del día hábil siguiente al último hecho
realizado.
La
verificación no procederá en los supuestos de procedencia del recurso de
revisión previstos en la presente Ley.
Para el
programa anual de verificación el Instituto presentará en el primer trimestre
de cada año el programa de verificación y los puntos a verificar.
Artículo
113. Para la
presentación de una denuncia los requisitos serán los siguientes:
I. El nombre de la persona que
denuncia, o en su caso, de su representante;
II. El domicilio o medio para recibir
notificaciones de la persona que denuncia;
III. La relación de hechos en que se
basa la denuncia y los elementos con los que cuente para probar su dicho;
IV. El responsable denunciado y su domicilio,
o en su caso, los datos para su identificación y/o ubicación; y
V. La firma del denunciante, o en su
caso, de su representante. En caso de no saber firmar, bastará la huella
digital.
La
denuncia podrá presentarse por escrito libre, o a través de los formatos,
medios electrónicos o cualquier otro medio que al efecto establezca el
Instituto.
Una vez
recibida la denuncia, el Instituto deberá acusar recibo de la misma. El acuerdo
correspondiente se notificará al denunciante.
Artículo
114. La verificación
iniciará mediante una orden escrita que funde y motive la procedencia de la
actuación por parte del Instituto, la cual tiene por objeto requerir al sujeto
obligado la documentación e información necesaria vinculada con la presunta
violación y/o realizar visitas a las oficinas o instalaciones del responsable,
o en su caso, en el lugar donde estén ubicadas las bases de datos personales o
sistemas de datos personales respectivos.
El
procedimiento de verificación deberá tener una duración máxima de cincuenta
días.
El
Instituto podrá ordenar medidas cautelares, si del desahogo de la verificación
advierten un daño inminente o irreparable en materia de protección de datos
personales, siempre y cuando no impidan el cumplimiento de las funciones ni el aseguramiento
de bases de datos de los sujetos obligados.
Estas
medidas sólo podrán tener una finalidad correctiva y será temporal hasta
entonces el responsable lleve a cabo las recomendaciones hechas por el
Instituto.
Artículo
115. El
procedimiento de verificación concluirá con la resolución que emita el
Instituto, en la que se establecerán las medidas que deberá adoptar el
responsable en el plazo que la misma determine.
Artículo
116. Los
responsables podrán voluntariamente someterse a la realización de auditorías
por parte del Instituto que tengan por objeto verificar la adaptación,
adecuación y eficacia de los controles, medidas y mecanismos implementados para
el cumplimiento de las disposiciones previstas en la presente Ley y demás
normativa que resulte aplicable.
El
informe de auditoría deberá dictaminar sobre la adecuación de las medidas y
controles implementados por el responsable, identificar sus deficiencias, así
como proponer acciones correctivas complementarias, o bien, recomendaciones que
en su caso correspondan.
TÍTULO DÉCIMO PRIMERO
MEDIDAS DE APREMIO Y RESPONSABILIDADES
Capítulo I
De las Medidas de Apremio
Artículo
117. El
Instituto podrá imponer las siguientes medidas de apremio para asegurar el
cumplimiento de sus determinaciones:
I. La amonestación pública; o
II. La multa, equivalente a la
cantidad de ciento cincuenta hasta mil quinientas veces el valor diario de la
Unidad de Medida y Actualización.
El
incumplimiento de los sujetos obligados será difundido en los portales de
obligaciones de transparencia del Instituto y considerados en las evaluaciones
que realicen.
En caso
de que el incumplimiento de las determinaciones del Instituto implique la
presunta comisión de un delito o una de las conductas señaladas en la presente
Ley, deberán denunciar los hechos ante la autoridad competente. Las medidas de
apremio de carácter económico no podrán ser cubiertas con recursos públicos.
Artículo
118. Si a
pesar de la ejecución de las medidas de apremio previstas en el artículo anterior
no se cumpliere con la resolución, se requerirá el cumplimiento al superior
jerárquico para que en el plazo de cinco días lo obligue a cumplir sin demora.
Transcurrido
el plazo, sin que se haya dado cumplimiento, se dará vista la autoridad
competente en materia de responsabilidades.
Artículo
119. Las
medidas de apremio a que se refiere el presente Capítulo, deberán ser aplicadas
por el Instituto, por sí mismo o con el apoyo de la autoridad competente, de
conformidad con los procedimientos que establezcan las leyes respectivas.
Artículo
120. Las
multas que fije el Instituto se harán efectivas por la Secretaría de Finanzas
de la Ciudad de México, a través de los procedimientos que las leyes
establezcan.
Artículo
121. Para
calificar las medidas de apremio establecidas en el presente Capítulo, el
Instituto deberá considerar:
I. La gravedad de la falta del
responsable, determinada por elementos tales como el daño causado, los indicios
de intencionalidad, la duración del incumplimiento de las determinaciones del
Instituto y la afectación al ejercicio de sus atribuciones;
II. La condición económica del
infractor; y
III. La reincidencia.
El
Instituto establecerá mediante lineamientos de carácter general, las
atribuciones de las áreas encargadas de calificar la gravedad de la falta de
observancia a sus determinaciones y de la notificación y ejecución de las
medidas de apremio que apliquen e implementen, conforme a los elementos
desarrollados en este Capítulo.
Artículo
122. En caso
de reincidencia, el Instituto podrá imponer una multa equivalente hasta el
doble de la que se hubiera determinado por el Instituto.
Se
considerará reincidente al que habiendo incurrido en una infracción que haya
sido sancionada, cometa otra del mismo tipo o naturaleza.
Artículo
123. Las
medidas de apremio deberán aplicarse e implementarse en un plazo máximo de
quince días, contados a partir de que sea notificada la medida de apremio al
infractor.
Artículo
124. La
amonestación pública será impuesta por el Instituto y será ejecutada por el
superior jerárquico inmediato del infractor con el que se relacione.
Artículo
125. El
Instituto podrá requerir al infractor la información necesaria para determinar
su condición económica, apercibido de que en caso de no proporcionar la misma,
las multas se cuantificarán con base a los elementos que se tengan a
disposición, entendidos como los que se encuentren en los registros públicos,
los que contengan medios de información o sus propias páginas de Internet y, en
general, cualquiera que evidencie su condición, quedando facultado el Instituto
para requerir aquella documentación que se considere indispensable para tal
efecto a las autoridades competentes.
Artículo
126. En contra
de la imposición de medidas de apremio, procede el recurso correspondiente ante
el Poder Judicial de la Ciudad de México.
Capítulo II
De las Sanciones
Artículo
127. Serán
causas de sanción por incumplimiento de las obligaciones establecidas en la
materia de la presente Ley, las siguientes:
I. Actuar con negligencia, dolo o
mala fe durante la sustanciación de las solicitudes para el ejercicio de los
derechos ARCO;
II. Incumplir los plazos de atención
previstos en la presente Ley para responder las solicitudes para el ejercicio
de los derechos ARCO o para hacer efectivo el derecho de que se trate;
III. Usar, sustraer, divulgar,
ocultar, alterar, mutilar, destruir o inutilizar, total o parcialmente y de
manera indebida datos personales, que se encuentren bajo su custodia o a los
cuales tengan acceso o conocimiento con motivo de su empleo, cargo o comisión;
IV. Dar tratamiento, de manera
intencional, a los datos personales en contravención a los principios y deberes
establecidos en la presente Ley;
V. No recabar el consentimiento del
titular, lo que constituye que el tratamiento sea ilícito, o no contar con el
aviso de privacidad, o bien tratar de manera dolosa o con engaños datos
personales y las demás disposiciones que resulten aplicables en la materia;
VI. Incumplir el deber de
confidencialidad establecido en la presente Ley;
VII. No establecer las medidas de
seguridad en los términos que establece la presente Ley;
VIII. Presentar vulneraciones a los
datos personales por la falta de implementación de medidas de seguridad;
IX. Llevar a cabo la transferencia de
datos personales, en contravención a lo previsto en la presente Ley;
X. Obstruir los actos de
verificación de la autoridad;
XI. Crear bases de datos personales o
sistemas de datos personales en contravención a lo dispuesto por el artículo 5
de la presente Ley;
XII. No acatar las resoluciones
emitidas por el Instituto; y
XIII. Omitir la entrega del informe
anual y demás informes o bien, entregarlo de manera extemporánea.
Las
causas de responsabilidad previstas en las fracciones I, II, IV, IX, XI y XIII,
así como la reincidencia en las conductas previstas en el resto de las
fracciones de este artículo, serán consideradas como graves para efectos de su
sanción administrativa.
En caso
de que la presunta infracción hubiere sido cometida por algún integrante de un
partido político, la investigación y, en su caso, sanción, corresponderán a la
autoridad electoral competente.
Las
sanciones de carácter económico no podrán ser cubiertas con recursos públicos.
Artículo
128. Para las
conductas a que se refiere el artículo anterior se dará vista a la autoridad
competente para que imponga o ejecute la sanción.
Artículo
129. Las
responsabilidades que resulten de los procedimientos administrativos
correspondientes, derivados de la violación a lo dispuesto por el artículo 127
de esta Ley, son independientes de las del orden civil, penal o de cualquier
otro tipo que se puedan derivar de los mismos hechos.
Dichas
responsabilidades se determinarán, en forma autónoma, a través de los
procedimientos previstos en las leyes aplicables y las sanciones que, en su
caso, se impongan por las autoridades competentes, también se ejecutarán de
manera independiente.
Para
tales efectos, el Instituto podrá denunciar ante las autoridades competentes
cualquier acto u omisión violatoria de esta Ley y aportar las pruebas que
consideren pertinentes, en los términos de las leyes aplicables.
Artículo
130. En
aquellos casos en que el presunto infractor tenga la calidad de servidor
público, el Instituto deberá remitir a la autoridad competente, junto con la
denuncia correspondiente, un Expediente en que se contengan todos los elementos
que sustenten la presunta responsabilidad administrativa.
La
autoridad que conozca del asunto, deberá informar de la conclusión del
procedimiento y, en su caso, de la ejecución de la sanción al Instituto.
A efecto
de sustanciar el procedimiento citado en este artículo, el Instituto, deberá
elaborar una denuncia dirigida a la contraloría, órgano interno de control o
equivalente, con la descripción precisa de los actos u omisiones que, a su
consideración, repercuten en la adecuada aplicación de la presente Ley y que
pudieran constituir una posible responsabilidad.
Asimismo,
deberá elaborar un expediente que contenga todos aquellos elementos de prueba
que considere pertinentes para sustentar la existencia de la posible
responsabilidad. Para tal efecto, se deberá acreditar el nexo causal existente
entre los hechos controvertidos y las pruebas presentadas.
La
denuncia y el Expediente deberán remitirse a la contraloría, órgano interno de
control o equivalente dentro de los quince días siguientes a partir de que el
Instituto o el organismo garante correspondiente tenga conocimiento de los
hechos.
TRANSITORIOS
GACETA OFICIAL DE LA CIUDAD DE MÉXICO
10 DE ABRIL DE 2018
PRIMERO. El presente Decreto entrará en
vigor el día siguiente al de su publicación en la Gaceta Oficial de la Ciudad
de México. Para su mayor difusión publíquese en el Diario Oficial de la Federación.
SEGUNDO. La implementación y regulación de
las ponencias establecidas en la presente Ley, se encuentra sujeta a la
disponibilidad presupuestal, humana y material que para tal efecto tenga el
Instituto.
TERCERO. Los asuntos iniciados con
anterioridad a la entrada en vigor del presente decreto, se tramitarán y
resolverán conforme a la Ley de Protección de Datos Personales para el Distrito
Federal y demás normatividad y disposiciones que le sean aplicables anteriores
a la expedición del presente Decreto.
GACETA OFICIAL DE LA CIUDAD DE MÉXICO
24 DE DICIEMBRE DE 2019
PRIMERO.- Publíquese el presente Decreto
en la Gaceta Oficial de la Ciudad de México, y para su mayor difusión
publíquese en el Diario Oficial de la Federación.
SEGUNDO.- El presente Decreto entrará en
vigor al día siguiente de su publicación en la Gaceta Oficial de la Ciudad de
México.
GACETA OFICIAL DE LA CIUDAD DE MÉXICO
18 DE NOVIEMBRE DE 2020
PRIMERO.-
Remítase
a la Jefatura de Gobierno para efectos de su publicación en la Gaceta Oficial
de la Ciudad de México.
SEGUNDO.-
El
presente Decreto entrará en vigor el día siguiente de su publicación en la
Gaceta Oficial de la Ciudad de México
TERCERO.-
El
Instituto de Transparencia, Acceso a la Información Pública, Protección de
Datos Personales y Rendición de Cuentas de la Ciudad de México, contará con un
plazo de 30 días hábiles para la armonización de los lineamientos en materia de
protección de datos personales con las disposiciones del presente Decreto.
GACETA OFICIAL DE LA CIUDAD DE MÉXICO
11 DE FEBRERO DE 2021
PRIMERO.-
Remítase a la
Jefatura de Gobierno para su promulgación y publicación en la Gaceta Oficial de
la Ciudad de México.
SEGUNDO.-
El presente Decreto
entrará en vigor el día siguiente de su publicación en la Gaceta Oficial de la
Ciudad de México.
[1] Reforma publicada en la GOCDMX
el 24 de diciembre de 2019
[2] Reforma publicada en la GOCDMX
el 24 de diciembre de 2019
[3] Adición publicada en la GOCDMX
el 24 de diciembre de 2019
[4] Reforma publicada en
la GOCDMX el 11 de febrero de 2021
[5] Adición publicada en la GOCDMX
el 24 de diciembre de 2019
[6] Adición publicada en la GOCDMX el 18 de noviembre de
2020
[7] Reforma publicada en la GOCDMX
el 24 de diciembre de 2019
[8] Reforma publicada en la GOCDMX
el 24 de diciembre de 2019
[9] Reforma publicada en la GOCDMX
el 24 de diciembre de 2019
[10] Reforma publicada en
la GOCDMX el 11 de febrero de 2021
[11] Reforma publicada en la GOCDMX
el 24 de diciembre de 2019
[12] Reforma publicada en
la GOCDMX el 11 de febrero de 2021
[13] Reforma publicada en
la GOCDMX el 11 de febrero de 2021
[14] Reforma publicada en
la GOCDMX el 11 de febrero de 2021
[15] Reforma publicada en
la GOCDMX el 11 de febrero de 2021
[16] Reforma publicada en
la GOCDMX el 11 de febrero de 2021
[17] Reforma publicada en
la GOCDMX el 11 de febrero de 2021
[18] Reforma publicada en
la GOCDMX el 11 de febrero de 2021