LEY FEDERAL DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE LOS PARTICULARES

 

Publicada en el Diario Oficial de la Federación

el 20 de marzo de 2025

 

Capítulo I

Disposiciones Generales

 

Artículo 1. La presente Ley es de orden público y de observancia general en todo el territorio nacional y tiene por objeto la protección de los datos personales en posesión de los particulares, con la finalidad de regular su tratamiento legítimo, controlado e informado, a efecto de garantizar la privacidad y el derecho a la autodeterminación informativa de las personas.

 

Quedan exceptuados de la aplicación de la presente Ley:

 

I.          Las sociedades de información crediticia en los supuestos de la Ley para Regular las Sociedades de Información Crediticia y demás disposiciones aplicables, y

 

II.         Las personas que lleven a cabo la recolección y almacenamiento de datos personales, que sea para uso exclusivamente personal, y sin fines de divulgación o utilización comercial.

 

Artículo 2. Para los efectos de esta Ley, se entenderá por:

 

I.          Aviso de Privacidad: Documento a disposición de la persona titular de la información de forma física, electrónica o en cualquier otro formato generado por el responsable, a partir del momento en el cual se recaben sus datos personales, con el objeto de informarle los propósitos del tratamiento de los mismos, de conformidad con el artículo 14 de la presente Ley;

 

II.         Bases de datos: Conjunto ordenado de datos personales referentes a una persona identificada o identificable condicionados a criterios determinados, con independencia de la forma o modalidad de su creación, tipo de soporte, procesamiento, almacenamiento y organización;

 

III.        Bloqueo: Identificación y conservación de datos personales una vez cumplida la finalidad para la cual fueron recabados, con el único propósito de determinar posibles responsabilidades en relación con su tratamiento, hasta el plazo de prescripción legal o contractual de éstas. Durante dicho periodo, los datos personales no podrán ser objeto de tratamiento y, transcurrido este, se procederá a su cancelación en la base de datos que corresponda;

 

IV.       Consentimiento: Manifestación de la voluntad libre, específica e informada de la persona titular de los datos mediante la cual se efectúa el tratamiento de los mismos;

 

V.        Datos personales: Cualquier información concerniente a una persona identificada o identificable. Se considera que una persona es identificable cuando su identidad pueda determinarse directa o indirectamente a través de cualquier información;

 

VI.       Datos personales sensibles: Aquellos datos personales que afecten a la esfera más íntima de la persona titular, o cuya utilización indebida pueda dar origen a discriminación o conlleve un riesgo grave para esta. De manera enunciativa más no limitativa se consideran sensibles los datos personales que puedan revelar aspectos como origen racial o étnico, estado de salud presente o futuro, información genética, creencias religiosas, filosóficas y morales, opiniones políticas y preferencia sexual;

 

VII.      Derechos ARCO: Derechos de acceso, rectificación, cancelación y oposición al tratamiento de datos personales;

 

VIII.     Días: Días hábiles;

 

IX.       Disociación: Procedimiento mediante el cual los datos personales no pueden asociarse a la persona titular ni permitir, por su estructura, contenido o grado de desagregación, la identificación de la misma;

 

X.        Fuente de acceso público: Aquellas bases de datos, sistemas o archivos que por disposición de ley puedan ser consultadas públicamente cuando no exista impedimento por una norma limitativa, y sin más exigencia que, en su caso, el pago de una contraprestación, tarifa o contribución. No se considerará fuente de acceso público cuando la información contenida en la misma sea obtenida o tenga una procedencia ilícita, conforme a las disposiciones establecidas por la presente Ley y demás disposiciones jurídicas aplicables;

 

XI.       Ley: Ley Federal de Protección de Datos Personales en Posesión de los Particulares;

 

XII.      Persona encargada: Persona física o jurídica que sola o conjuntamente con otras trate datos personales por cuenta del responsable;

 

XIII.     Reglamento: Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares;

 

XIV.     Responsable: Sujetos regulados a que se refiere la fracción XVI de este artículo;

 

XV.      Secretaría: Secretaría Anticorrupción y Buen Gobierno;

 

XVI.     Sujetos regulados: Personas físicas o morales de carácter privado que llevan a cabo el tratamiento de datos personales;

 

XVII.    Tercero: Persona física o moral, nacional o extranjera, distinta de la persona titular o del responsable de los datos;

 

XVIII.   Titular: Persona a quien corresponden los datos personales;

 

XIX.     Tratamiento: Cualquier operación o conjunto de operaciones efectuadas mediante procedimientos manuales o automatizados aplicados a los datos personales, relacionadas con la obtención, uso, registro, organización, conservación, elaboración, utilización, comunicación, difusión, almacenamiento, posesión, acceso, manejo, aprovechamiento, divulgación, transferencia o disposición de datos personales, y

 

XX.      Transferencia: Toda comunicación de datos personales dentro o fuera del territorio mexicano, realizada a persona distinta de la titular, del responsable o de la persona encargada del tratamiento.

 

Artículo 3. Los principios y derechos previstos en esta Ley, tendrán como límite en cuanto a su observancia y ejercicio, la protección de la seguridad nacional, el orden, la seguridad y la salud públicos, así como los derechos de terceros.

 

Artículo 4. A falta de disposición expresa en esta Ley, se aplicarán de manera supletoria las disposiciones del Código Federal de Procedimientos Civiles y de la Ley Federal de Procedimiento Administrativo.

 

Para la substanciación de los procedimientos de protección de derechos, de verificación e imposición de sanciones se observarán las disposiciones contenidas en la Ley Federal de Procedimiento Administrativo.

 

Capítulo II

De los Principios de Protección de Datos Personales

 

Artículo 5. El responsable deberá observar los principios de licitud, finalidad, lealtad, consentimiento, calidad, proporcionalidad, información y responsabilidad en el tratamiento de datos personales.

 

Artículo 6. Los datos personales deberán recabarse y tratarse de manera lícita conforme a lo previsto por esta Ley y demás disposiciones jurídicas aplicables.

 

El responsable no deberá obtener y tratar datos personales a través de medios engañosos o fraudulentos, y deberá privilegiar la protección de los intereses de la persona titular y la expectativa razonable de privacidad, entendida como la confianza que deposita cualquier persona en otra, respecto de que los datos personales proporcionados serán tratados conforme a lo que acordaron en los términos establecidos por esta Ley.

 

Artículo 7. Todo tratamiento de datos personales estará sujeto al consentimiento de la persona titular, salvo las excepciones previstas por la presente Ley.

 

El consentimiento podrá manifestarse de forma expresa o tácita. Se deberá entender que el consentimiento es expreso cuando la voluntad de la persona titular se manifieste verbalmente, por escrito, por medios electrónicos, ópticos, signos inequívocos o por cualquier otra tecnología.

 

El consentimiento será tácito cuando habiéndose puesto a disposición de la persona titular el aviso de privacidad, esta no manifieste su voluntad en sentido contrario.

 

Por regla general será válido el consentimiento tácito, salvo que las disposiciones jurídicas aplicables exijan que la voluntad de la persona titular se manifieste expresamente.

 

Los datos financieros o patrimoniales requerirán el consentimiento expreso de la persona titular, salvo las excepciones a que se refieren los artículos 9 y 36 de la presente Ley.

 

El consentimiento podrá ser revocado en cualquier momento sin que se le atribuyan efectos retroactivos. Para revocar el consentimiento, el responsable deberá, en el aviso de privacidad, establecer los mecanismos y procedimientos para ello.

 

Artículo 8. Tratándose de datos personales sensibles, el responsable deberá obtener el consentimiento expreso y por escrito de la persona titular para su tratamiento, a través de su firma autógrafa, firma electrónica, o cualquier mecanismo de autenticación que al efecto se establezca.

 

No podrán crearse bases de datos que contengan datos personales sensibles, sin que se justifique la creación de las mismas para finalidades legítimas, concretas y acordes con las actividades o fines explícitos que persigue el sujeto regulado.

 

Artículo 9. El responsable no estará obligado a recabar el consentimiento de la persona titular para el tratamiento de los datos personales cuando:

 

I.          Una disposición jurídica así lo disponga;

 

II.         Los datos personales figuren en fuentes de acceso público;

 

III.        Los datos personales se sometan a un procedimiento previo de disociación;

 

IV.       Los datos personales se requieran para ejercer un derecho o cumplir obligaciones derivadas de una relación jurídica entre la persona titular y el responsable;

 

V.        Exista una situación de emergencia que potencialmente pueda dañar a un individuo en su persona o en sus bienes;

 

VI.       Los datos personales sean indispensables para efectuar un tratamiento para atención médica, la prevención, diagnóstico, la prestación de asistencia sanitaria, o la gestión de servicios sanitarios, mientras la persona titular no esté en condiciones de otorgar el consentimiento, en los términos que establece la Ley General de Salud y demás disposiciones jurídicas aplicables y que dicho tratamiento de datos se realice por una persona sujeta al secreto profesional u obligación equivalente, o

 

VII.      Exista una orden judicial, resolución o mandato fundado y motivado de autoridad competente.

 

Artículo 10. El responsable procurará que los datos personales contenidos en las bases de datos sean exactos, completos, correctos y actualizados para los fines para los cuales fueron recabados.

 

Cuando los datos personales hayan dejado de ser necesarios para el cumplimiento de las finalidades previstas en el aviso de privacidad y que motivaron su tratamiento conforme a las disposiciones legales aplicables, deberán ser suprimidos previo bloqueo, en su caso, y una vez que concluya el plazo de conservación de los mismos.

 

El responsable estará obligado a eliminar los datos relativos al incumplimiento de obligaciones contractuales, una vez que transcurra un plazo de setenta y dos meses, contado a partir de la fecha calendario en que se presente el mencionado incumplimiento.

 

Artículo 11. El tratamiento de datos personales deberá limitarse al cumplimiento de las finalidades previstas en el aviso de privacidad, sin embargo, si el responsable pretende tratar los datos para una finalidad distinta a las establecidas en el aviso de privacidad, se requerirá obtener nuevamente el consentimiento de la persona titular.

 

Artículo 12. El tratamiento de datos personales será el que resulte necesario, adecuado y relevante en relación con las finalidades previstas en el aviso de privacidad, para los datos personales sensibles, el responsable deberá realizar esfuerzos razonables para limitar el periodo de tratamiento de los mismos a efecto de que sea el mínimo indispensable.

 

Artículo 13. El responsable velará por el cumplimiento de los principios de protección de datos personales establecidos por esta Ley, debiendo adoptar las medidas necesarias y suficientes para su aplicación, así como para garantizar que el aviso de privacidad dado a conocer a la persona titular, sea respetado en todo momento por él o por terceros con los que guarde alguna relación jurídica.

 

Artículo 14. El responsable tendrá la obligación de informar a la persona titular, a través del aviso de privacidad, la existencia y características principales del tratamiento al que serán sometidos sus datos personales, a fin de que pueda tomar decisiones informadas al respecto.

 

Artículo 15. El aviso de privacidad deberá contener, al menos, la siguiente información:

I.          La identidad y domicilio del responsable;

 

II.         Los datos personales que serán sometidos a tratamiento, identificando aquéllos que son sensibles;

 

III.        Las finalidades del tratamiento de datos personales, distinguiendo aquéllas que requieren el consentimiento de la persona titular;

 

IV.       Las opciones y medios que el responsable ofrezca a las personas titulares para limitar el uso o divulgación de los datos;

 

V.        Los mecanismos, medios y procedimientos para ejercer los derechos ARCO, de conformidad con lo dispuesto en esta Ley, y

 

VI.       El procedimiento y medio por el cual el responsable comunicará a las personas titulares de cambios al aviso de privacidad, de conformidad con lo previsto en esta Ley.

 

Artículo 16. El responsable debe poner a disposición de las personas titulares el aviso de privacidad, a través de formatos impresos, digitales, visuales, sonoros o cualquier otra tecnología de la siguiente manera:

 

I.          Cuando los datos personales sean obtenidos personalmente a través de formatos impresos, deberá ser dado a conocer en ese momento, salvo que se hubiera facilitado el aviso con anterioridad, y

 

II.         Cuando los datos personales sean obtenidos por cualquier medio electrónico, óptico, sonoro, visual, o a través de cualquier otra tecnología, deberá ser proporcionado en su modalidad simplificada la que deberá contener al menos la información a que se refieren las fracciones I a IV del artículo anterior, y señalar el sitio donde se podrá consultar el aviso de privacidad integral.

 

Artículo 17. Cuando los datos no hayan sido obtenidos directamente de la persona titular, el responsable deberá darle a conocer el cambio en el aviso de privacidad.

 

No resulta aplicable lo establecido en el párrafo anterior, cuando el tratamiento sea con fines históricos, estadísticos o científicos.

 

Cuando resulte imposible dar a conocer el aviso de privacidad a la persona titular de manera directa o ello exija esfuerzos desproporcionados, el responsable podrá instrumentar medidas compensatorias en términos del Reglamento de esta Ley.

 

Artículo 18. Todo responsable deberá establecer y mantener medidas de seguridad administrativas, técnicas y físicas que permitan proteger los datos personales contra daño, pérdida, alteración, destrucción o el uso, acceso o tratamiento no autorizado.

 

Los responsables no adoptarán medidas de seguridad menores a aquellas que mantengan para el manejo de su información. Asimismo, se tomará en cuenta el riesgo existente, las posibles consecuencias para las personas titulares, la sensibilidad de los datos y el desarrollo tecnológico.

 

Artículo 19. Las vulneraciones de seguridad ocurridas en cualquier fase del tratamiento de datos personales que afecten de forma significativa los derechos patrimoniales o morales de las personas titulares le serán informadas de forma inmediata por el responsable, a fin de que pueda tomar las medidas correspondientes a la defensa de sus derechos.

 

Artículo 20. El responsable o tercero deberá establecer controles o mecanismos que tengan por objeto que todas aquellas personas que intervengan en cualquier fase del tratamiento de datos personales, guarden confidencialidad respecto de estos, obligación que subsistirá aun después de finalizar sus relaciones con el mismo.

 

Capítulo III

De los Derechos de las Personas Titulares de Datos Personales

 

Artículo 21. Cualquier persona titular o, en su caso, su representante legal, podrá ejercer los derechos ARCO previstos en la presente Ley.

 

El ejercicio de cualquiera de los derechos ARCO no es requisito previo ni impide el ejercicio de otro.

 

Los datos personales deben ser resguardados de tal manera que permitan el ejercicio sin dilación de estos derechos.

 

Artículo 22. La persona titular tendrá derecho a acceder a sus datos personales que obren en posesión del responsable, así como conocer la información relacionada con las condiciones y generalidades de su tratamiento, a través del aviso de privacidad.

 

Artículo 23. La persona titular tendrá derecho a solicitar la rectificación o corrección de sus datos personales, cuando resulten ser inexactos, incompletos o no se encuentren actualizados.

 

Artículo 24. La persona titular tendrá en todo momento el derecho a solicitar la cancelación de sus datos personales de los archivos, registros, expedientes y sistemas del responsable, a fin de que los mismos ya no estén en posesión del responsable.

 

La cancelación de datos personales dará lugar a un periodo de bloqueo tras el cual se procederá a la supresión del dato, el responsable podrá conservarlos exclusivamente para efectos de las responsabilidades nacidas del tratamiento.

 

El periodo de bloqueo será equivalente al plazo de prescripción de las acciones derivadas de la relación jurídica que funda el tratamiento en los términos de la Ley aplicable en la materia, y una vez cancelado el dato se dará aviso a la persona titular.

 

Cuando los datos personales hubiesen sido transmitidos con anterioridad a la fecha de rectificación o cancelación y sigan siendo tratados por terceros, el responsable deberá hacer de su conocimiento dicha solicitud de rectificación o cancelación, para que proceda a efectuarla también.

 

Artículo 25. El responsable no estará obligado a cancelar los datos personales cuando:

 

I.          Se refiera a las partes de un contrato privado, social o administrativo y sean necesarios para su desarrollo y cumplimiento;

 

II.         Deban ser tratados por disposición legal;

 

III.        Obstaculice las actuaciones judiciales o administrativas vinculadas a obligaciones fiscales, la investigación y persecución de delitos o la actualización de sanciones administrativas;

 

IV.       Sean necesarios para proteger los intereses jurídicamente tutelados de la persona titular;

 

V.        Sean necesarios para realizar una acción en función del interés público;

 

VI.       Sean necesarios para cumplir con una obligación legalmente adquirida por la persona titular, y

 

VII.      Sean objeto de tratamiento para la prevención o para el diagnóstico médico o la gestión de servicios de salud, siempre que dicho tratamiento se realice por un profesional de la salud sujeto a un deber de secreto.

 

Artículo 26. La persona titular tendrá derecho en todo momento y por causa legítima a oponerse al tratamiento de sus datos o exigir que se cese en el mismo cuando:

 

I.          Exista causa legítima y su situación específica así lo requiera, lo cual debe justificar que aun siendo lícito el tratamiento, el mismo debe cesar para evitar que su persistencia le cause un daño o perjuicio, o

 

II.         Sus datos personales sean objeto de un tratamiento automatizado, el cual le produzca efectos jurídicos no deseados o afecte de manera significativa sus intereses, derechos o libertades, y estén destinados a evaluar, sin intervención humana, determinados aspectos personales de la misma o analizar o predecir, en particular, su rendimiento profesional, situación económica, estado de salud, preferencias sexuales, fiabilidad o comportamiento.

 

No procederá el ejercicio del derecho de oposición en aquellos casos en los que el tratamiento sea necesario para el cumplimiento de una obligación legal impuesta al responsable.

 

Capítulo IV

Del Ejercicio de los Derechos de Acceso, Rectificación, Cancelación y Oposición

 

Artículo 27. La persona titular o su representante legal podrán solicitar al responsable en cualquier momento el ejercicio de los derechos ARCO, respecto de los datos personales que le conciernen.

 

Artículo 28. La solicitud para el ejercicio de los derechos ARCO deberá contener y acompañar lo siguiente:

 

I.          El nombre de la persona titular y su domicilio o cualquier otro medio para recibir notificaciones;

 

II.         Los documentos que acrediten la identidad de la persona titular o, en su caso, la personalidad e identidad de su representante;

 

III.        La descripción clara y precisa de los datos personales respecto de los que se busca ejercer alguno de los derechos ARCO, salvo que se trate del derecho de acceso;

 

IV.       La descripción del derecho ARCO que se pretende ejercer, o bien, lo que solicita la persona titular, y

 

V.        Cualquier otro elemento o documento que facilite la localización de los datos personales.

Artículo 29. Todo responsable fomentará la protección de datos personales al interior de la organización y designará a una persona, o departamento de datos personales, quien dará trámite a las solicitudes de las personas titulares, para el ejercicio de los derechos a que se refiere la presente Ley.

 

Artículo 30. En el caso de solicitudes para el ejercicio del derecho de rectificación de datos personales, la persona titular deberá indicar, además de lo señalado en el artículo 29 de esta Ley, las modificaciones a realizarse y aportar la documentación que sustente su petición.

 

Artículo 31. El responsable comunicará a la persona titular, en un plazo máximo de veinte días, contados desde la fecha en que se recibió la solicitud para el ejercicio de los derechos ARCO, la determinación adoptada, a efecto de que, si resulta procedente, se haga efectiva la misma dentro de los quince días siguientes a la fecha en que se comunica la respuesta. Tratándose de solicitudes para el ejercicio del derecho de acceso a datos personales, procederá la entrega previa acreditación de la identidad del titular o representante legal, según corresponda.

 

Los plazos antes referidos podrán ser ampliados una sola vez por un periodo igual, siempre y cuando así lo justifiquen las circunstancias del caso.

 

Artículo 32. La obligación de acceso a los datos personales se dará por cumplida cuando se pongan a disposición de la persona titular los mismos; o bien, mediante la expedición de copias simples, documentos electrónicos o cualquier otro medio que determine el responsable en el aviso de privacidad.

 

En el caso de que la persona titular solicite el acceso a los datos a una persona que presume es el responsable y ésta resulta no serlo, bastará con que así se le indique a la persona titular por cualquiera de los medios a que se refiere el párrafo anterior, para tener por cumplida la solicitud.

 

Artículo 33. Las causas en las que el ejercicio de los derechos ARCO no serán procedentes y por tanto el responsable podrá negar los mismos son:

 

I.          Cuando la persona titular o el representante legal no estén debidamente acreditados para ello;

 

II.         Cuando los datos personales no se encuentren en posesión del responsable;

 

III.        Cuando se lesionen derechos de un tercero;

 

IV.       Cuando exista un impedimento legal, o la resolución de una autoridad competente, que restrinja el acceso a los datos personales, o no permita la rectificación, cancelación u oposición de los mismos, y

 

V.        Cuando la rectificación, cancelación u oposición haya sido previamente realizada.

La negativa a que se refiere este artículo podrá ser parcial cuando alguno de los requerimientos descritos en la solicitud para el ejercicio de los derechos ARCO de la persona titular o de su representante no se encuentren en alguna de las causas antes referidas, en cuyo caso el responsable efectuará el acceso, rectificación, cancelación u oposición requerida.

 

En todos los casos anteriores, el responsable deberá informar el motivo de su decisión y comunicarla a la persona titular, o en su caso, al representante legal, en los plazos establecidos para tal efecto, por el mismo medio por el que se llevó a cabo la solicitud para el ejercicio de los derechos ARCO, acompañando, en su caso, las pruebas que resulten pertinentes.

 

Artículo 34. El ejercicio de los derechos ARCO es gratuito, solo podrán realizarse cobros para recuperar los costos de reproducción, copias o envío.

 

Cuando la persona titular proporcione el medio magnético, electrónico o el mecanismo necesario para reproducir los datos personales, los mismos deberán ser entregados sin costo a esta.

 

Cuando una misma persona titular o su representante reitera su solicitud en un periodo menor a doce meses, los costos no serán mayores a tres veces la Unidad de Medida y Actualización vigente, a menos que existan modificaciones sustanciales al aviso de privacidad que motiven nuevas consultas.

 

Capítulo V

De la Transferencia de Datos

 

Artículo 35. Cuando el responsable pretenda transferir los datos personales a terceros nacionales o extranjeros, distintos de la persona encargada deberá comunicar a éstos el aviso de privacidad y las finalidades a las que la persona titular sujetó su tratamiento.

 

El tratamiento de los datos se hará conforme a lo convenido en el aviso de privacidad, el cual contendrá una cláusula en la que se indique si la persona titular acepta o no la transferencia de sus datos, de igual manera, el tercero receptor, asumirá las mismas obligaciones que correspondan al responsable que transfirió los datos.

 

Artículo 36. Las transferencias nacionales o internacionales de datos podrán llevarse a cabo sin el consentimiento de la persona titular cuando se ubiquen en alguno de los supuestos siguientes:

 

I.          La transferencia esté prevista en una Ley o Tratado en los que México sea parte;

 

II.         La transferencia sea necesaria para la prevención o el diagnóstico médico, la prestación de asistencia sanitaria, tratamiento médico o la gestión de servicios sanitarios;

 

III.        La transferencia sea efectuada a sociedades controladoras, subsidiarias o afiliadas bajo el control común del responsable, o a una sociedad matriz o a cualquier sociedad del mismo grupo del responsable que opere bajo los mismos procesos y políticas internas;

 

IV.       La transferencia sea necesaria por virtud de un contrato celebrado o por celebrar en interés de la persona titular, por el responsable y un tercero;

 

V.        La transferencia sea necesaria o legalmente exigida para la salvaguarda de un interés público, o para la procuración o administración de justicia;

 

VI.       La transferencia sea precisa para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial, y

 

VII.      La transferencia sea precisa para el mantenimiento o cumplimiento de una relación jurídica entre el responsable y la persona titular.

 

Capítulo VI

De la Autorregulación

 

Artículo 37. Las personas físicas o morales podrán convenir entre ellas o con organizaciones civiles o gubernamentales, nacionales o extranjeras, esquemas de autorregulación vinculante en la materia, que complementen lo dispuesto por la presente Ley. Dichos esquemas deberán contener mecanismos para medir su eficacia en la protección de los datos, consecuencias y medidas correctivas eficaces en caso de incumplimiento.

 

Los esquemas de autorregulación podrán traducirse en códigos deontológicos o de buena práctica profesional, sellos de confianza u otros mecanismos y contendrán reglas o estándares específicos que permitan armonizar los tratamientos de datos efectuados por los adheridos y facilitar el ejercicio de los derechos de las personas titulares. Dichos esquemas serán notificados de manera simultánea a las autoridades correspondientes y a la Secretaría.

 

Capítulo VII

De la Secretaría

 

Artículo 38. La Secretaría, para efectos de esta Ley, tendrá por objeto difundir el conocimiento del derecho a la protección de datos personales en la sociedad mexicana, promover su ejercicio y vigilar por la debida observancia de las disposiciones previstas en la presente Ley y que deriven de la misma; en particular aquellas relacionadas con el cumplimiento de obligaciones por parte de los sujetos regulados por este ordenamiento.

 

Artículo 39. La Secretaría tiene las siguientes atribuciones:

 

I.          Vigilar y verificar el cumplimiento de las disposiciones contenidas en esta Ley, en el ámbito de su competencia, con las excepciones previstas por la legislación;

 

II.         Interpretar en el ámbito administrativo la presente Ley;

 

III.        Proporcionar apoyo técnico a los responsables que lo soliciten, para el cumplimiento de las obligaciones establecidas en la presente Ley;

 

IV.       Emitir los criterios y recomendaciones, de conformidad con las disposiciones aplicables de esta Ley, para efectos de su funcionamiento y operación;

 

V.        Divulgar estándares y mejores prácticas internacionales en materia de seguridad de la información, en atención a la naturaleza de los datos; las finalidades del tratamiento, y las capacidades técnicas y económicas del responsable;

 

VI.       Conocer y resolver los procedimientos de protección de derechos y de verificación señalados en esta Ley e imponer las sanciones según corresponda;

 

VII.      Cooperar con otras autoridades de supervisión y organismos nacionales e internacionales, a efecto de coadyuvar en materia de protección de datos;

 

VIII.     Acudir a foros internacionales en el ámbito de la presente Ley;

 

IX.       Elaborar estudios de impacto sobre la privacidad previos a la puesta en práctica de una nueva modalidad de tratamiento de datos personales o a la realización de modificaciones sustanciales en tratamientos ya existentes;

 

X.        Difundir el conocimiento de las obligaciones en torno a la protección de datos personales y brindar capacitación a los sujetos obligados, y

 

XI.       Las demás que le confieran esta Ley y demás ordenamientos aplicables.

 

Capítulo VIII

Del Procedimiento de Protección de Derechos

 

Artículo 40. El procedimiento se iniciará a instancia de la persona titular de los datos o de su representante legal, expresando con claridad el contenido de su reclamación y de los preceptos de esta Ley que se consideran vulnerados. La solicitud de protección de datos deberá presentarse ante la Secretaría dentro de los quince días siguientes a la fecha en que se comunique la respuesta a la persona titular por parte del responsable.

 

En el caso de que la persona titular de los datos no reciba respuesta por parte del responsable, la solicitud de protección de datos podrá ser presentada a partir de que haya vencido el plazo de respuesta previsto para el responsable. En este caso, bastará que la persona titular de los datos acompañe a su solicitud de protección de datos el documento que pruebe la fecha en que presentó la solicitud de acceso, rectificación, cancelación u oposición.

 

La solicitud de protección de datos también procederá en los mismos términos cuando el responsable no entregue a la persona titular los datos personales solicitados, o lo haga en un formato incomprensible, se niegue a efectuar modificaciones o correcciones a los datos personales, la persona titular no esté conforme con la información entregada por considerar que es incompleta o no corresponda a la información requerida.

 

Recibida la solicitud de protección de datos ante la Secretaría, se dará traslado de la misma al responsable, para que, en el plazo de quince días, emita respuesta, ofrezca las pruebas que estime pertinentes y manifieste por escrito lo que a su derecho convenga.

 

La Secretaría admitirá las pruebas que estime pertinentes y procederá a su desahogo. Asimismo, podrá solicitar del responsable las demás pruebas que estime necesarias.

Concluido el desahogo de las pruebas, la Secretaría notificará al responsable el derecho que le asiste para que, de considerarlo necesario, presente sus alegatos dentro de los cinco días siguientes a su notificación.

 

Para el debido desahogo del procedimiento, la Secretaría resolverá sobre la solicitud de protección de datos formulada, una vez analizadas las pruebas y demás elementos de convicción que estime pertinentes, como pueden serlo aquéllos que deriven de la o las audiencias que se celebren con las partes.

 

El Reglamento de la Ley establecerá la forma, términos y plazos conforme a los que se desarrollará el procedimiento de protección de derechos.

 

Artículo 41. La solicitud de protección de datos podrá interponerse por escrito libre o a través de los formatos, del sistema electrónico que al efecto proporcione la Secretaría y deberá contener la siguiente información:

 

I.          El nombre de la persona titular o, en su caso, el de su representante legal, así como del tercero interesado, si lo hay;

 

II.         El nombre del responsable ante el cual se presentó la solicitud de acceso, rectificación, cancelación u oposición de datos personales;

 

III.        El domicilio para oír y recibir notificaciones;

 

IV.       La fecha en que se le dio a conocer la respuesta del responsable, salvo que el procedimiento inicie con base en lo previsto en el artículo 45 de la presente Ley;

 

V.        Los actos que motivan su solicitud de protección de datos, y

 

VI.       Los demás elementos que se considere procedente hacer del conocimiento de la Secretaría.

 

La forma y términos en que deba acreditarse la identidad de la persona titular o bien, la representación legal, se establecerán en el Reglamento.

 

Asimismo, a la solicitud de protección de datos deberá acompañarse la solicitud y la respuesta que se recurre o, en su caso, los datos que permitan su identificación.

 

En el caso de falta de respuesta sólo será necesario presentar la solicitud.

 

En el caso de que la solicitud de protección de datos se interponga a través de medios que no sean electrónicos, deberá acompañarse de las copias de traslado suficientes.

 

Artículo 42. El plazo máximo para dictar la resolución en el procedimiento de protección de derechos será de cincuenta días, contados a partir de la fecha de presentación de la solicitud de protección de datos. Cuando haya causa justificada, la Secretaría podrá ampliar por una vez y hasta por un período igual este plazo.

 

Artículo 43. En caso que la resolución de protección de derechos resulte favorable a la persona titular de los datos, se requerirá al responsable para que, en el plazo de diez días siguientes a la notificación o cuando así se justifique, uno mayor que fije la propia resolución, haga efectivo el ejercicio de los derechos objeto de protección, debiendo dar cuenta por escrito de dicho cumplimiento a la Secretaría dentro de los siguientes diez días.

 

Artículo 44. En caso de que la solicitud de protección de datos no satisfaga alguno de los requisitos a que se refiere el artículo 41 de esta Ley, y la Secretaría no cuente con elementos para subsanarlo, se prevendrá a la persona titular de los datos dentro de los veinte días siguientes a la presentación de la solicitud de protección de datos, por una sola ocasión, para que subsane las omisiones dentro de un plazo de cinco días. Transcurrido el plazo sin desahogar la prevención se tendrá por no presentada la solicitud de protección de datos. La prevención tendrá el efecto de interrumpir el plazo que tiene la Secretaría para resolver la solicitud de protección de datos.

 

Artículo 45. La Secretaría suplirá las deficiencias de la queja en los casos que así se requiera, siempre y cuando no altere el contenido original de la solicitud de acceso, rectificación, cancelación u oposición de datos personales, ni se modifiquen los hechos o peticiones expuestos en la misma o en la solicitud de protección de datos.

 

Artículo 46. Las resoluciones de la Secretaría podrán:

 

I.          Sobreseer o desechar la solicitud de protección de datos por improcedente;

 

II.         Confirmar, revocar o modificar la respuesta del responsable, o

 

III.        Ordenar la entrega de los datos personales, en caso de omisión del responsable.

 

Artículo 47. La solicitud de protección de datos será desechada por improcedente cuando:

 

I.          La Secretaría no sea competente;

 

II.         La persona titular o su representante no acrediten debidamente su identidad y personalidad de este último;

 

III.        La Secretaría haya conocido anteriormente de la solicitud de protección de datos contra el mismo acto y resuelto en definitiva respecto del mismo recurrente;

 

IV.       Se esté tramitando ante los tribunales competentes algún recurso o medio de defensa interpuesto por la persona titular o, en su caso, por el tercero interesado, en contra del acto recurrido ante la Secretaría;

 

V.        Se trate de una solicitud de protección de datos ofensiva o irracional, o

 

VI.       Sea extemporánea por haber transcurrido el plazo establecido en el artículo 40 de la presente Ley.

 

Artículo 48. La solicitud de protección de datos será sobreseída cuando:

 

I.          La persona titular fallezca;

 

II.         La persona titular se desista de manera expresa;

 

III.        Admitida la solicitud de protección de datos, sobrevenga una causal de improcedencia, y

 

IV.       Por cualquier motivo quede sin materia la misma.

 

Artículo 49. La Secretaría podrá en cualquier momento del procedimiento buscar una conciliación entre la persona titular de los datos y el responsable.

 

De llegarse a un acuerdo de conciliación entre ambos, éste se hará constar por escrito y tendrá efectos vinculantes. La solicitud de protección de datos quedará sin materia y la Secretaría verificará el cumplimiento del acuerdo respectivo.

 

Para efectos de la conciliación a que se alude en el presente ordenamiento, se estará al procedimiento que se establezca en el Reglamento de esta Ley.

 

Artículo 50. Interpuesta la solicitud de protección de datos ante la falta de respuesta a una solicitud en ejercicio de los derechos ARCO por parte del responsable, la Secretaría dará vista al citado responsable para que, en un plazo no mayor a diez días, acredite haber respondido en tiempo y forma la solicitud, o bien dé respuesta a la misma. En caso de que la respuesta atienda a lo solicitado, la solicitud de protección de datos se considerará improcedente y la Secretaría deberá sobreseerlo.

 

En el segundo caso, la Secretaría emitirá su resolución con base en el contenido de la solicitud original y la respuesta del responsable que alude el párrafo anterior.

 

Si la resolución de la Secretaría a que se refiere el párrafo anterior determina la procedencia de la solicitud, el responsable procederá a su cumplimiento, sin costo alguno para la persona titular, debiendo cubrir el responsable todos los costos generados por la reproducción correspondiente y gastos de envío.

 

Artículo 51. Contra las resoluciones de la Secretaría, los particulares podrán promover juicio de amparo. Los juicios de amparo serán sustanciados por jueces y tribunales especializados en los términos del artículo 94 de la Constitución Política de los Estados Unidos Mexicanos.

 

Artículo 52. Todas las resoluciones de la Secretaría serán susceptibles de difundirse públicamente en versiones públicas, eliminando aquellas referencias a la persona titular de los datos que lo identifiquen o lo hagan identificable.

 

Artículo 53. Las personas titulares que consideren que han sufrido un daño o lesión en sus bienes o derechos como consecuencia del incumplimiento a lo dispuesto en la presente Ley por el responsable o la persona encargada, podrán ejercer los derechos que estimen pertinentes para efectos de la indemnización que proceda, en términos de las disposiciones legales correspondientes.

 

Capítulo IX

Del Procedimiento de Verificación

 

Artículo 54. La Secretaría verificará el cumplimiento de la presente Ley y de la normatividad que de ésta derive. La verificación podrá iniciarse de oficio o a petición de parte.

 

La verificación de oficio procederá cuando se dé el incumplimiento a resoluciones dictadas con motivo de procedimientos de protección de derechos a que se refiere el Capítulo anterior o se presuma fundada y motivadamente la existencia de violaciones a la presente Ley.

 

Artículo 55. En el procedimiento de verificación la Secretaría tendrá acceso a la información y documentación que considere necesarias, de acuerdo a la resolución que lo motive.

 

Las personas servidoras públicas estarán obligadas a guardar confidencialidad sobre la información que conozcan derivada de la verificación correspondiente.

 

El Reglamento desarrollará la forma, términos y plazos en que se sustanciará el procedimiento a que se refiere el presente artículo.

 

Capítulo X

Del Procedimiento de Imposición de Sanciones

 

Artículo 56. Si con motivo del desahogo del procedimiento de protección de derechos o del procedimiento de verificación que realice la Secretaría, ésta tuviera conocimiento de un presunto incumplimiento de alguno de los principios o disposiciones de esta Ley, iniciará el procedimiento de imposición de sanciones.

 

Artículo 57. El procedimiento de imposición de sanciones dará comienzo con la notificación que efectúe la Secretaría a la presunta persona infractora, sobre los hechos que motivaron el inicio del procedimiento y le otorgará un término de quince días para que rinda pruebas y manifieste por escrito lo que a su derecho convenga. En caso de no rendirlas, la Secretaría resolverá conforme a los elementos de convicción de que disponga.

 

La Secretaría admitirá las pruebas que estime pertinentes y procederá a su desahogo. Asimismo, podrá solicitar de la presunta persona infractora las demás pruebas que estime necesarias. Concluido el desahogo de las pruebas, la Secretaría notificará a la presunta persona infractora el derecho que le asiste para que, de considerarlo necesario, presente sus alegatos dentro de los cinco días siguientes a su notificación.

 

La Secretaría, una vez analizadas las pruebas y demás elementos de convicción que estime pertinentes, resolverá en definitiva dentro de los cincuenta días siguientes a la fecha en que inició el procedimiento sancionador. Dicha resolución deberá ser notificada a las partes.

 

Cuando haya causa justificada, la Secretaría podrá ampliar por una vez y hasta por un período igual este plazo.

 

El Reglamento desarrollará la forma, términos y plazos en que se sustanciará el procedimiento de imposición de sanciones, incluyendo presentación de pruebas y alegatos, la celebración de audiencias y el cierre de instrucción.

 

Capítulo XI

De las Infracciones y Sanciones

 

Artículo 58. Constituyen infracciones a esta Ley, las conductas llevadas a cabo por el responsable:

 

I.          No cumplir con la solicitud para el ejercicio de los derechos ARCO de la persona titular, sin razón fundada, en los términos previstos en esta Ley;

 

II.         Actuar con negligencia o dolo durante la sustanciación de las solicitudes para el ejercicio de los derechos ARCO;

 

III.        Declarar dolosamente la inexistencia de datos personales, cuando exista total o parcialmente en las bases de datos del responsable;

 

IV.       Dar tratamiento a los datos personales en contravención a los principios establecidos en la presente Ley;

 

V.        Omitir en el aviso de privacidad, alguno o todos los elementos a que se refiere el artículo 15 de esta Ley;

 

VI.       Mantener datos personales inexactos cuando resulte imputable al responsable, o no efectuar las rectificaciones o cancelaciones de los mismos que legalmente procedan cuando resulten afectados los derechos de las personas titulares;

 

VII.      No cumplir con el apercibimiento a que se refiere la fracción I del artículo 59 de la presente Ley;

 

VIII.     Incumplir el deber de confidencialidad establecido en el artículo 20 de esta Ley;

 

IX.       Cambiar sustancialmente la finalidad originaria del tratamiento de los datos, sin observar lo dispuesto por el artículo 11 de esta Ley;

 

X.        Transferir datos a terceros sin comunicar a estos el aviso de privacidad que contiene las limitaciones a que la persona titular sujetó la divulgación de los mismos;

 

XI.       Vulnerar la seguridad de bases de datos, locales, programas o equipos, cuando resulte imputable al responsable;

 

XII.      Llevar a cabo la transferencia o cesión de los datos personales, fuera de los casos en que esté permitida por la Ley;

 

XIII.     Recabar o transferir datos personales sin el consentimiento expreso de la persona titular, en los casos en que éste sea exigible;

 

XIV.     Obstruir los actos de verificación de la autoridad;

 

XV.      Recabar datos en forma engañosa y fraudulenta;

 

XVI.     Continuar con el uso ilegítimo de los datos personales cuando se ha solicitado el cese del mismo por la Secretaría o las personas titulares;

 

XVII.    Tratar los datos personales de manera que se afecte o impida el ejercicio de los derechos ARCO establecidos en el artículo 16 de la Constitución Política de los Estados Unidos Mexicanos;

 

XVIII.   Crear bases de datos en contravención a lo dispuesto por el artículo 8, segundo párrafo de esta Ley, y

 

XIX.     Cualquier incumplimiento del responsable a las obligaciones establecidas a su cargo en términos de lo previsto en la presente Ley.

 

Artículo 59. Las infracciones a la presente Ley serán sancionadas por la Secretaría con:

 

I.          El apercibimiento para que el responsable lleve a cabo los actos solicitados por la persona titular, en los términos previstos por esta Ley, tratándose de los supuestos previstos en la fracción I del artículo anterior;

 

II.         Multa de 100 a 160,000 veces la Unidad de Medida y Actualización, en los casos previstos en las fracciones II a VII del artículo anterior;

 

III.        Multa de 200 a 320,000 veces la Unidad de Medida y Actualización, en los casos previstos en las fracciones VIII a XVIII del artículo anterior, y

 

IV.       En caso de que de manera reiterada persistan las infracciones citadas en los incisos anteriores, se impondrá una multa adicional que irá de 100 a 320,000 veces la Unidad de Medida y Actualización. En tratándose de infracciones cometidas en el tratamiento de datos sensibles, las sanciones podrán incrementarse hasta por dos veces, los montos establecidos.

 

Artículo 60. La Secretaría fundará y motivará sus resoluciones, considerando:

 

I.          La naturaleza del dato;

 

II.         La notoria improcedencia de la negativa del responsable, para realizar los actos solicitados por la persona titular, en términos de esta Ley;

 

III.        El carácter intencional o no, de la acción u omisión constitutiva de la infracción;

 

IV.       La capacidad económica del responsable, y

 

V.        La reincidencia.

 

Artículo 61. Las sanciones que se señalan en este Capítulo se impondrán sin perjuicio de la responsabilidad civil o penal que resulte.

 

Capítulo XII

De los Delitos en Materia del Tratamiento Indebido de Datos Personales

 

Artículo 62. Se impondrán de tres meses a tres años de prisión al que, estando autorizado para tratar datos personales, con ánimo de lucro, provoque una vulneración de seguridad a las bases de datos bajo su custodia.

 

Artículo 63. Se sancionará con prisión de seis meses a cinco años al que, con el fin de alcanzar un lucro indebido, trate datos personales mediante el engaño, aprovechándose del error en que se encuentre la persona titular o la persona autorizada para transmitirlos.

 

Artículo 64. Tratándose de datos personales sensibles, las penas a que se refiere este Capítulo se duplicarán.

 

Transitorios

 

Primero.- El presente Decreto entrará en vigor al día siguiente de su publicación en el Diario Oficial de la Federación, con excepción de lo previsto en el transitorio Tercero de este instrumento.

 

Segundo.- A la entrada en vigor del presente Decreto se abrogan las disposiciones siguientes:

 

I.          La Ley Federal de Protección de Datos Personales en Posesión de los Particulares, publicada en el Diario Oficial de la Federación el 5 de julio de 2010;

 

II.         La Ley General de Transparencia y Acceso a la Información Pública, publicada en el Diario Oficial de la Federación el 4 de mayo de 2015 y sus modificaciones posteriores;

 

III.        La Ley Federal de Transparencia y Acceso a la Información Pública, publicada en el Diario Oficial de la Federación el 9 de mayo de 2016 y sus modificaciones posteriores;

 

IV.       La Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados, publicada en el Diario Oficial de la Federación el 26 de enero de 2017, y

 

V.        El Acuerdo mediante el cual se aprueba el Programa Anual de Verificación y Acompañamiento Institucional para el cumplimiento de las obligaciones en materia de acceso a la información y transparencia por parte de los sujetos obligados del ámbito federal, correspondiente al ejercicio 2025, publicado en el Diario Oficial de la Federación el 21 de enero de 2025.

 

Tercero.- Los artículos 71 y 72 de la Ley General de Transparencia y Acceso a la Información Pública entrarán en vigor cuando se extingan la Comisión Federal de Competencia Económica y el Instituto Federal de Telecomunicaciones conforme a lo previsto en los transitorios Décimo y Décimo Primero del “Decreto por el que se reforman, adicionan y derogan diversas disposiciones de la Constitución Política de los Estados Unidos Mexicanos, en materia de simplificación orgánica”, publicado en el Diario Oficial de la Federación el 20 de diciembre de 2024.

 

Para efectos del párrafo anterior, la Comisión Federal de Competencia Económica y el Instituto Federal de Telecomunicaciones deberán poner a disposición del público y actualizar la información a que se refiere el artículo 72, fracciones II y V, respectivamente, de la Ley Federal de Transparencia y Acceso a la Información Pública que se abroga por virtud del presente Decreto.

 

Cuarto.- Las menciones, atribuciones o funciones contenidas en otras leyes, reglamentos y, en general, en cualquier disposición normativa, respecto al Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales se entenderán hechas o conferidas a los entes públicos que adquieren tales atribuciones o funciones, según corresponda.

 

Quinto.- Los derechos laborales de las personas servidoras públicas del Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales, serán respetados, en términos de la legislación aplicable. Los recursos humanos con que cuente el referido Instituto pasarán a formar parte de la Secretaría Anticorrupción y Buen Gobierno y Transparencia para el Pueblo.

 

El Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales transferirá los recursos correspondientes al valor del inventario o plantilla de plazas a la Secretaría de Hacienda y Crédito Público, dentro de los veinte días hábiles siguientes contados a partir de la entrada en vigor del presente Decreto, a fin de que esa dependencia realice las acciones que correspondan, conforme a las disposiciones jurídicas aplicables.

 

Las personas servidoras públicas del Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales que dejen de prestar sus servicios en el mencionado Instituto y que estén obligadas a presentar declaración patrimonial y de intereses, de conformidad con las disposiciones jurídicas aplicables, lo realizarán en los sistemas de la Secretaría Anticorrupción y Buen Gobierno habilitados para tales efectos o en los medios que esta determine y conforme a la normativa aplicable a la Administración Pública Federal. Lo anterior también es aplicable a las personas que se hayan desempeñado como servidoras públicas en el mencionado Instituto y que a la fecha de entrada en vigor del presente Decreto aún tengan pendiente cumplir con dicha obligación.

 

Las personas que dentro de los diez días previos a la entrada en vigor del presente Decreto se hayan desempeñado como personas servidoras públicas del Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales, incluyendo a las personas Comisionadas, deben presentar acta administrativa de entrega-recepción institucional e individual, según corresponda, a la persona servidora pública que la Secretaría Anticorrupción y Buen Gobierno designe y conforme a la normativa aplicable a la Administración Pública Federal, en los sistemas de la referida dependencia habilitados para tales efectos o en los medios que ésta determine, en el entendido que la entrega que se realice no implica liberación alguna de responsabilidades que pudieran llegarse a determinar por la autoridad competente con posterioridad.

 

Sexto.- Los recursos materiales con que cuente el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales serán transferidos a la Secretaría Anticorrupción y Buen Gobierno, dentro de los veinte días hábiles siguientes a la entrada en vigor del presente Decreto.

 

Séptimo.- El Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales transferirá los recursos financieros a la Secretaría de Hacienda y Crédito Público, de conformidad con las disposiciones jurídicas aplicables.

 

Asimismo, el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales deberá entregar a la citada dependencia la información y formatos necesarios para integrar la Cuenta Pública y demás informes correspondientes al primer trimestre, de conformidad con las disposiciones jurídicas aplicables, dentro de los diez días hábiles siguientes a la entrada en vigor del presente Decreto.

 

Octavo.- Los registros, padrones y sistemas, internos y externos, que integran la Plataforma Nacional de Transparencia con los que cuenta el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales, así como los sistemas informáticos utilizados por dicho Instituto, incluso los que ya no se utilicen pero contengan registros históricos, incluida su documentación y titularidad, serán transferidos a la Secretaría Anticorrupción y Buen Gobierno dentro de los quince días hábiles siguientes a la entrada en vigor del presente Decreto.

 

Noveno.- Los procedimientos iniciados con anterioridad a la entrada en vigor de este Decreto ante el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales, en materia de acceso a la información pública, se sustanciarán ante Transparencia para el Pueblo conforme a las disposiciones aplicables vigentes al momento de su inicio.

 

La defensa legal ante autoridades administrativas, jurisdiccionales y judiciales de los actos administrativos y jurídicos emitidos por el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales, en materia de acceso a la información pública, se llevará a cabo por Transparencia para el Pueblo.

 

Transparencia para el Pueblo podrá remitir a la Autoridad garante competente aquellos asuntos que se mencionan en los párrafos anteriores que le corresponda conforme al ámbito de sus atribuciones para su atención.

 

Décimo.- Los procedimientos iniciados con anterioridad a la entrada en vigor de este Decreto ante el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales, en materia de datos personales o cualquier otra distinta a la mencionada en el transitorio anterior, se sustanciarán conforme a las disposiciones vigentes al momento de su inicio ante la Secretaría Anticorrupción y Buen Gobierno a que se refiere este Decreto.

 

La defensa legal ante autoridades administrativas, jurisdiccionales o judiciales de los actos administrativos y jurídicos emitidos por el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales, en materia de datos personales o cualquier otra distinta a la mencionada en el transitorio anterior, así como el seguimiento de los que se encuentren en trámite, incluso los procedimientos penales y laborales, se llevará a cabo por la Secretaría Anticorrupción y Buen Gobierno.

 

La Secretaría Anticorrupción y Buen Gobierno podrá remitir a la Autoridad garante competente aquellos asuntos que se mencionan en los párrafos anteriores que le corresponda conforme al ámbito de sus atribuciones para su atención.

 

Décimo Primero.- Los municipios podrán cumplir con las obligaciones a su cargo en materia de transparencia y acceso a la información, en términos de lo previsto en el transitorio Décimo de la Ley General de Transparencia y Acceso a la Información Pública que se abroga por virtud de este Decreto.

 

Décimo Segundo.- La persona titular del Ejecutivo Federal deberá expedir las adecuaciones correspondientes a los reglamentos y demás disposiciones aplicables, incluida la emisión del Reglamento Interior de Transparencia para el Pueblo, dentro de los noventa días naturales siguientes a la entrada en vigor del presente Decreto, a fin de armonizarlos a lo previsto en el mismo.

 

Décimo Tercero.- Los expedientes y archivos que a la entrada en vigor del presente Decreto estén a cargo del Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales para el ejercicio de sus facultades sustantivas, competencias o funciones, de conformidad con la Ley General de Archivos y demás disposiciones jurídicas aplicables, serán transferidos a la Secretaría Anticorrupción y Buen Gobierno dentro de los veinte días hábiles siguientes a la entrada en vigor del presente Decreto.

 

La Secretaría Anticorrupción y Buen Gobierno, dentro de los treinta días naturales siguientes contados a partir de que se reciban los expedientes y archivos que se mencionan en el párrafo anterior, podrá transferirlos a la autoridad correspondiente.

 

Décimo Cuarto.- El Órgano Interno de Control del Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales queda extinto y sus asuntos y procedimientos que a la entrada en vigor del presente Decreto estén a su cargo, así como los expedientes y archivos, serán transferidos al Órgano Interno de Control de la Secretaría Anticorrupción y Buen Gobierno dentro de los veinte días hábiles siguientes a su entrada en vigor, y serán tramitados y resueltos por dicho órgano conforme a las disposiciones jurídicas vigentes al momento de su inicio.

 

Décimo Quinto.- Para efectos de lo dispuesto en los transitorios Quinto, Sexto, Séptimo, Octavo y Décimo Tercero del presente Decreto el Pleno del Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales deberá integrar, en la fecha de publicación de este instrumento, un Comité de Transferencia conformado por los Comisionados del mencionado Instituto y once personas servidoras públicas del mismo con al menos el nivel de Dirección de área o equivalente, que tengan conocimiento o que se encuentren a su cargo los asuntos que se mencionan en los propios transitorios.

 

El Comité de Transferencia estará vigente por un periodo de 30 días naturales, en el que sus integrantes participarán con las diversas autoridades competentes para recibir los asuntos que se señalan en los transitorios antes citados y realizar las demás acciones que se consideren necesarias para dichos efectos.

 

Décimo Sexto.- El Consejo del Sistema Nacional de Acceso a la Información Pública deberá instalarse a más tardar en sesenta días naturales, a partir de la entrada en vigor del presente Decreto, previa convocatoria que al efecto emita la Secretaría Anticorrupción y Buen Gobierno.

 

Hasta en tanto las legislaturas de las entidades federativas que correspondan armonizan su marco jurídico en materia de acceso a la información pública en términos de lo previsto en el transitorio Cuarto del Decreto por el que se reforman, adicionan y derogan diversas disposiciones de la Constitución Política de los Estados Unidos Mexicanos, en materia de simplificación orgánica, publicado en el Diario Oficial de la Federación el 20 de diciembre de 2024, la persona titular del poder ejecutivo local de que se trate será integrante del Consejo del Sistema Nacional de Acceso a la Información Pública.

 

Décimo Séptimo.- La persona titular de la Secretaría Ejecutiva del Consejo del Sistema Nacional de Acceso a la Información Pública propondrá las reglas de operación y funcionamiento que se señalan en el artículo 25, fracción XV, de la Ley General de Transparencia y Acceso a la Información Pública, para que sean aprobadas en la instalación de dicho Consejo.

 

Décimo Octavo.- El órgano de control y disciplina del Poder Judicial; los órganos internos de control de los órganos constitucionales autónomos; las contralorías internas del Congreso de la Unión; el Instituto Nacional Electoral; el Centro Federal de Conciliación y Registro Laboral y el Tribunal Federal de Conciliación y Arbitraje en un plazo máximo de treinta días naturales contados a partir de la entrada en vigor del presente Decreto deberán realizar las adecuaciones necesarias a su normativa interna para dar cumplimiento a lo dispuesto en este instrumento.

 

Para efectos de lo previsto en este transitorio, se suspenden por un plazo de noventa días naturales contados a partir de la entrada en vigor de este Decreto todos y cada uno de los trámites, procedimientos y demás medios de impugnación, establecidos en este instrumento y demás normativa aplicable, con excepción de la recepción y atención de las solicitudes de información que se tramitan a través de la Plataforma Nacional de Transparencia por las autoridades que se mencionan en el párrafo anterior.

 

Décimo Noveno.- Hasta en tanto las legislaturas de las entidades federativas, emitan legislación para armonizar su marco jurídico conforme al presente Decreto, los organismos garantes de las mismas continuarán operando y realizarán las atribuciones que le son conferidas a las Autoridades garantes locales, así como a los órganos encargados de la contraloría interna u homólogos de los poderes legislativo y judicial, así como los órganos constitucionales autónomos de las propias entidades federativas en la presente Ley.

 

Vigésimo.- El Poder Judicial de la Federación deberá habilitar juzgados de Distrito y tribunales Colegiados de Circuito especializados en materia de acceso a la información pública y protección de datos personales, en un plazo no mayor a ciento veinte días naturales contados a partir de la entrada en vigor del presente Decreto, a los cuales se remitirán los juicios de amparo en dichas materias que se encuentran en trámite para su resolución.

 

Para efectos de lo previsto en este transitorio, se suspenden por un plazo de ciento ochenta días naturales contados a partir de la entrada en vigor de este Decreto los plazos y términos procesales de los juicios de amparo en materia de acceso a la información pública y protección de datos personales que se encuentran en trámite ante juzgados de Distrito y tribunales Colegiados de Circuito.