Ley de Protección de Datos Personales en Posesión de...

H. CONGRESO DEL ESTADO DE YUCATN

LEY DE PROTECCIN DE DATOS

PERSONALES EN POSESIN DE

SUJETOS OBLIGADOS DEL

ESTADO DE YUCATN

SECRETARA GENERAL

DEL PODER LEGISLATIVO

UNIDAD DE SERVICIOS TCNICO-LEGISLATIVOS

Nueva Publicacin: 17-julio-2017

LEY DE PROTECCIN DE DATOS PERSONALES EN POSESIN DE

SUJETOS OBLIGADOS DEL ESTADO DE YUCATN

H. Congreso del Estado de Yucatn Secretara General del Poder Legislativo Unidad de Servicios Tcnico-Legislativos

Nueva Publicacin en el D.O. 17-julio-2017

2

LEY DE PROTECCIN DE DATOS PERSONALES EN POSESIN DE SUJETOS OBLIGADOS DEL ESTADO DE YUCATN

TTULO PRIMERO DISPOSICIONES GENERALES

CAPTULO NICO Artculo 1. Objeto Artculo 2. Objetivos Artculo 3. Definiciones Artculo 4. Datos personales Artculo 5. Interpretacin Artculo 6. Supletoriedad Artculo 7. Alcance Artculo 8. Fuentes de acceso pblico Artculo 9. Lmites al derecho a la proteccin de datos personales Artculo 10. Datos personales sensibles

TTULO SEGUNDO PRINCIPIOS Y DEBERES

CAPTULO I Principios

Artculo 11. Principios Artculo 12. Tratamiento de datos personales Artculo 13. Finalidades Artculo 14. Obtencin engaosa o fraudulenta Artculo 15. Consentimiento previo Artculo 16. Elementos del consentimiento Artculo 17. Consentimiento expreso Artculo 18. Consentimiento tcito Artculo 19. Consentimiento sobre datos personales sensibles Artculo 20. Casos de excepcin Artculo 21. Calidad de los datos personales Artculo 22. Eliminacin de los datos personales Artculo 23. Procedimientos para la conservacin Artculo 24. Tratamiento exclusivo Artculo 25. Informe sobre el tratamiento Artculo 26. Aviso de privacidad Artculo 27. Contenido del aviso de privacidad Artculo 28.Aviso de privacidad simplificado Artculo 29. Aviso de privacidad integral Artculo 30. Puesta a disposicin Artculo 31. Actualizacin del aviso de privacidad Artculo 32. Implementacin de mecanismos Artculo 33.Mecanismos para el cumplimiento





3

CAPTULO II Deberes

Artculo 34. Implementacin de medidas de seguridad Artculo 35. Medidas de seguridad Artculo 36. Actividades interrelacionadas Artculo 37. Documento de seguridad Artculo 38.Actualizacin del documento de seguridad Artculo 39. Anlisis de las causas de vulneracin a la seguridad Artculo 40. Vulneraciones de seguridad Artculo 41. Informe de las vulneraciones de seguridad Artculo 42. Contenido del informa de las vulneraciones de seguridad Artculo 43. Investigacin previa Artculo 44. Controles o mecanismos Artculo 45. Publicacin de directrices, recomendaciones y mejores prcticas

TTULO TERCERO DERECHOS DE LOS TITULARES Y SU EJERCICIO

CAPTULO I Derechos de acceso, rectificacin, cancelacin y oposicin

Artculo 46. Solicitud de acceso, rectificacin, cancelacin u oposicin Artculo 47. Derecho de acceso Artculo 48. Derecho de rectificacin Artculo 49. Derecho de cancelacin Artculo 50. Derecho de oposicin

CAPTULO II Ejercicio de los derechos de acceso, rectificacin, cancelacin y oposicin

Artculo 51. Recepcin y trmite de solicitudes Artculo 52. Ejercicio de los derechos ARCO Artculo 53. Acreditacin Artculo 54. Solicitud del ejercicio de los derechos ARCO Artculo 55.Gratuidad Artculo 56. Auxilio y orientacin Artculo 57. Incompetencia Artculo 58. Reencauzamiento Artculo 59. Requisitos para el ejercicio de los derechos ARCO Artculo 60. Prevencin Artculo 61. Resolucin en caso de inexistencia Artculo 62. Trmite o procedimiento especfico Artculo 63. Improcedencia del ejercicio de los derechos ARCO Artculo 64. Recurso de revisin

CAPTULO III Portabilidad de los datos personales

Artculo 65. Portabilidad





4

TTULO CUARTO COMUNICACIONES DE DATOS PERSONALES

CAPTULO NICO Artculo 66. Transferencia Artculo 67. Formalizacin de la transferencia Artculo 68. Transferencia nacional Artculo 69. Transferencia internacional Artculo 70. Solicitud de opinin para la transferencia internacional

TTULO QUINTO ACCIONES PREVENTIVAS EN MATERIA DE PROTECCIN DE DATOS PERSONALES

CAPTULO I Esquemas de mejores prcticas

Artculo 71. Mejores prcticas

CAPTULO II Evaluacin de impacto

Artculo 72. Evaluacin de impacto Artculo 73. Tratamiento intensivo o relevante Artculo 74. Presentacin de la evaluacin de impacto Artculo 75. Recomendaciones sobre la evaluacin de impacto Artculo 76. Excepciones a la realizacin de la evaluacin de impacto Artculo 77. Evaluacin de impacto de oficio

CAPTULO II Bases de datos en posesin de instancias de seguridad, procuracin y administracin de

justicia Artculo 78. Lmites a la obtencin y tratamiento Artculo 79. Medidas de seguridad de nivel alto

TTULO SEXTO COMIT DE TRANSPARENCIA Y UNIDAD DE TRANSPARENCIA

CAPTULO I Comit de Transparencia

Artculo 80. Comit de transparencia Artculo 81. Atribuciones del comit de transparencia

CAPTULO II Unidad de Transparencia

Artculo 82. Unidad de transparencia Artculo 83. Oficial de proteccin de datos personales Artculo 84. Atribuciones del oficial de proteccin de datos personales





5

Artculo 85. Ejercicio de los derechos por personas discapacitadas o vulnerables

TTULO SPTIMO INSTITUTO ESTATAL DE TRANSPARENCIA, ACCESO A LA INFORMACIN Y PROTECCIN DE

DATOS PERSONALES

CAPTULO I Atribuciones del instituto

Artculo 86. Marco jurdico aplicable Artculo 87. Atribuciones del instituto Artculo 88. Aplicacin de criterios y lineamientos

CAPTULO II Coordinacin y promocin del derecho a la proteccin de datos personales

Artculo 89. Capacitacin Artculo 90. Atribuciones en materia de promocin

TTULO OCTAVO PROCEDIMIENTOS DE IMPUGNACIN EN MATERIA DE PROTECCIN DE DATOS

PERSONALES EN POSESIN DE LOS RESPONSABLES

CAPTULO I Recurso de revisin

Artculo 91. Interposicin del recurso de revisin Artculo 92. Acreditacin de la identidad Artculo 93. Acreditacin de la personalidad Artculo 94. Interposicin del recurso de revisin a favor de personas fallecidas Artculo 95. Notificaciones Artculo 96. Pruebas Artculo 97. Procedencia del recurso de revisin Artculo 98. Requisitos Artculo 99. Conciliacin Artculo 100. Procedimiento de conciliacin Artculo 101. Resolucin Artculo 102. Suplencia de la queja Artculo 103. Prevencin Artculo 104. Resoluciones Artculo 105. Causas de desechamiento Artculo 106. Causas de sobreseimiento Artculo 107. Notificacin y publicacin de las resoluciones Artculo 108. Obligatoriedad de las resoluciones Artculo 109. Recurso de inconformidad

CAPTULO II Recurso de inconformidad ante el Instituto Nacional de Transparencia, Acceso a la Informacin

y Proteccin de Datos Personales Artculo 110. Interposicin del recurso de inconformidad





6

TTULO NOVENO FACULTAD DE VERIFICACIN DEL INSTITUTO

CAPTULO NICO Artculo 111. Vigilancia y verificacin Artculo 112. Inicio de la verificacin Artculo 113. Requisitos de la denuncia Artculo 114. Procedimiento de verificacin Artculo 115. Conclusin del procedimiento de verificacin Artculo116. Auditorias voluntarias

TTULO DCIMO MEDIDAS DE APREMIO Y RESPONSABILIDADES

CAPTULO I Medidas de apremio

Artculo 117. Marco jurdico Artculo 118. Medidas de apremio Artculo 119. Requerimiento de cumplimiento Artculo 120. Aplicacin de las medidas de apremio Artculo 121. Cobro de multas Artculo 122. Calificacin de las medidas de apremio Artculo 123. Reincidencia Artculo 124. Plazo para la aplicacin de las medidas de apremio Artculo 125. Amonestacin pblica Artculo 126. Requerimiento de informacin Artculo 127. Recurso contra las medidas de apremio

CAPTULO II Sanciones

Artculo 128. Causas de sancin Artculo 129. Vista Artculo 130. Responsabilidades Artculo 131. Incumplimiento de partidos polticos, fideicomisos o fondos Artculo 132. Incumplimiento de servidores pblicos Artculo 133. Incumplimiento que implique la presunta comisin de un delito

Artculos transitorios Primero. Entrada en vigor Segundo. Derogacin Tercero. Avisos de privacidad Cuarto. Implementacin Quinto. Obligacin normativa Sexto. Procedimientos en trmite Sptimo. Previsiones presupuestales





7

Decreto 503 Publicado en el Diario Oficial del gobierno del Estado

el 17 de julio de 2017

Rolando Rodrigo Zapata Bello, gobernador del estado de Yucatn, con fundamento en los artculos 38, 55, fraccin II, y 60 de la Constitucin Poltica del Estado de Yucatn; y 14, fracciones VII y IX, del Cdigo de la Administracin Pblica de Yucatn, a sus habitantes hago saber, que el H. Congreso del Estado de Yucatn se ha servido dirigirme el siguiente decreto: El Congreso Del Estado Libre y Soberano de Yucatn, conforme a lo dispuesto en los Artculos 29 y 30 Fraccin V de la Constitucin Poltica, 18 y 34 Fraccin XIII de la Ley de Gobierno del Poder Legislativo, 117 y 118 del Reglamento de la Ley de Gobierno del Poder Legislativo, todos del Estado de Yucatn, emite la siguiente;

E X P O S I C I N D E M O T I V O S:

PRIMERA. La iniciativa en estudio, encuentra sustento normativo en lo

dispuesto en los artculos 35 fraccin I de la Constitucin Poltica y 16 de la Ley de

Gobierno del Poder Legislativo, ambas del Estado de Yucatn, toda vez que dichas

disposiciones facultan a los diputados para iniciar leyes y decretos.

Asimismo, de conformidad con el artculo 43 fraccin II de la Ley de

Gobierno del Poder Legislativo del Estado de Yucatn, esta Comisin Permanente

de Vigilancia de la Cuenta Pblica y Transparencia, tiene facultad para conocer de

los temas relacionados con la normatividad de transparencia, acceso a la

informacin pblica y proteccin de datos personales, por lo que de la revisin de

la iniciativa en cuestin, se determin que la misma rene los requisitos legales

correspondientes.

SEGUNDA. El desarrollo tecnolgico, las nuevas formas de comunicacin e

informacin sobre todo aquella digitalizada a travs del internet, potencializa el





8

tratamiento, recoleccin y almacenamiento de datos que revelan aspectos de la

vida privada, el honor y la intimidad personal de los ciudadanos y su familia, que sin

su existencia no se habran interconectado.

La sociedad y la cultura se han transformado, la informacin de documentos

de identificacin se halla sujeto a un control electrnico, bajo una vigilancia

informtica continua, universal y permanente.

Por lo anterior, no hay duda que resulta evidentemente necesario plantearse

esquemas compatibles con el respeto a la intimidad personal, reformular su

alcance y redimensionar su contenido como base para impulsar el reconocimiento

de nuevos derechos fundamentales dentro de los que se encuentra la proteccin

de datos personales.

De esta manera, el derecho a la intimidad referido como el espacio

exclusivo del ser humano fuera de la discrecin ajena encontr justificacin y

fundamento como derecho humano de primera generacin de carcter

individualista; siendo que posteriormente, doctrinarios sentaron las bases tcnico-

jurdicas para plantear su reformulacin como de tercera generacin por su

estrecha vinculacin con derechos como la libertad, igualdad, seguridad, as como

con las transformaciones sociales, culturales y tecnolgicas.

Stuart Mill en 1859, Warren y Brandeis sentaron las bases de proteccin de

la persona, su seguridad e independencia, respeto a su vida privada y domstica,

as como la confidencialidad de sus creencias, pensamientos y preferencias;

incluso la Suprema Corte de Estados Unidos en 1890, sostuvo que frente al

gobierno subsista la primaca del derecho personal a la privacidad, la intromisin

indebida a su domicilio y propiedades.





9

Actualmente, el derecho a la intimidad asume una significacin pblica y

colectiva con el objetivo de controlar el conocimiento y acceso de informacin

relevante de cada persona, as como de defensa frente a cualquier invasin

indebida, considerando no solo el reconocimiento como derecho fundamental sino

ms an el establecimiento de mecanismos de proteccin que puedan garantizar

su uso y manejo adoptando el estado su tutela jurdica.

El estado social de derecho debe ser garante del aseguramiento del uso

democrtico de la tecnologa de la informacin, proveyendo las condiciones para

que una persona se desenvuelva en una comunidad social en donde la

comunicacin y la informacin resultan imprescindibles.

TERCERA. En el mbito internacional, encontramos la Declaracin

Universal de los Derechos Humanos en cuyo artculo 12 seala: Nadie ser objeto

de injerencias arbitrarias en su vida privada, su familia, su domicilio o su

correspondencia, ni ataques a su honra o reputacin. Toda persona tiene derecho

a la proteccin de la ley contra tales injerencias o ataques.

Asimismo en Espaa, el derecho a la proteccin de datos personales se

configura como aqul que busca garantizar a una persona el poder de control sobre

sus datos personales, sobre su uso y destino con el propsito de impedir su trfico

ilcito y lesivo para la dignidad y el derecho del afectado. No slo se reduce a sus

datos ms ntimos suyo conocimiento o empleo por tercero pueda afectar a sus

derechos sean o no fundamentales porque su objeto no solo es la intimidad

individual, sino la de carcter personal; por lo que los poderes jurdicos se imponen

deberes jurdicos de limitar el acceso, el derecho a saber y ser informado sobre el





10

destino y uso, acceso, rectificacin y cancelacin de quienes los tienen a su

disposicin.1

El orden social y jurdico mexicano se ha visto impactado con disposiciones

que permiten el control y acceso limitado a los datos personales que bajo una

concepcin de derecho fundamental autnomo dentro del artculo 6 de la

Constitucin Poltica de los Estados Unidos Mexicanos, disposicin que a travs de

sus diversas reformas define las directrices para su proteccin y al organismo

garante a nivel nacional y da la pauta para los correspondientes estatales.

La proteccin de datos personales se reconoce desde el responsable que

los adquiere dentro del mbito privado y pblico. Para efectos de sujetos

responsables del mbito privado, la federacin se reserv la facultad de emitir las

disposiciones legales dando cumplimiento a travs de la Ley Federal de Proteccin

de Datos Personales publicada en el Diario Oficial de la Federacin el 05 de julio

de 2010.

Teniendo la posesin los sujetos responsables del mbito pblico, las

legislaciones de transparencia y acceso a la informacin federal y locales

consideraron un capitulado con disposiciones referente a su acceso y rectificacin,

hasta la emisin de la Ley General de Proteccin de Datos Personales en Posesin

de Sujetos Obligados publicada en el Diario Oficial de la Federacin el 26 de enero

de 2017, que constituye el parmetro de configuracin normativa para la federacin

y las entidades federativas.

1 Alto Tribunal Espaol en su sentencia 292/200





11

El organismo garante a nivel nacional y de las entidades federativas han

emitido diversas resoluciones sobre casos en los que se controvierte el acceso a

informacin confidencial referente a datos personales.

La Suprema Corte de Justicia de la Nacin, mediante la tesis cuyo rubro se

lee: SISTEMAS DE PROTECCIN DE DATOS PERSONALES Y DE

TRANSPARENCIA Y ACCESO A LA INFORMACIN PBLICA. PRECEPTOS

CONSTITUCIONALES QUE LOS REGULAN2, se ha pronunciado en el sentido de

la conformacin del sistema de proteccin de datos personales que no se limita al

artculo 6 de la Constitucin Poltica de los Estados Unidos Mexicanos, sino a

disposiciones que regulan diversas materias.

De esta manera, nivel constitucional, legal, jurisprudencial y por va de

resolucin del organismo garante cuando se controvierte un caso concreto buscan

garantizar la racionalizacin, simplificacin, celeridad y seguridad de las prcticas

administrativas, as como de recopilacin de datos como una exigencia que

resultaba inaplazable.

CUARTA. En relacin con la iniciativa de ley presentada, sta tiene como

objeto establecer las bases para garantizar el derecho de proteccin de datos

personales, contenidos en el artculo 6 de la Constitucin Poltica de los Estados

Unidos Mexicanos, el sistema interamericano de derechos humanos y el artculo 75

de la Constitucin Poltica del Estado de Yucatn.

2 TESIS SISTEMAS DE PROTECCIN DE DATOS PERSONALES Y DE TRANSPARENCIA Y ACCESO A LA

INFORMACIN PBLICA. PRECEPTOS CONSTITUCIONALES QUE LOS REGULAN. poca: Dcima poca, Registro: 2013674, Instancia: Tribunales Colegiados de Circuito Tipo de Tesis: Aislada, Fuente: Gaceta del Semanario Judicial de la Federacin, Libro 39, Febrero de 2017, Tomo III, Materia(s): Constitucional, Tesis: I.2o.A.E.1 CS (10a.), Pgina: 2364.





12

Reconocemos que resulta trascendental la emisin de la legislacin local

dentro del plazo sealado en la Ley General de Proteccin de Datos Personales en

Propiedad de los Sujetos Obligados, normativa a la cual se encuentra vinculada en

los trminos de sus disposiciones y entendiendo su vinculacin con otros derechos

dentro de los que se encuentran: transparencia, acceso a la informacin, rplica,

organizacin y administracin homognea de archivos, as como normativa de

carcter internacional como la Convencin Americana de Derechos Humanos.

Por lo anterior, se pretende implementar un sistema de proteccin efectiva

de datos personales en propiedad de los poderes Ejecutivo, Legislativo, Judicial,

as como de los organismos autnomos del estado, estableciendo disposiciones

garantistas de su confidencialidad, uso, y rectificacin, de tal forma que puedan

slo ser utilizados para los fines y por las personas autorizadas, o en su caso

recurrir ante el organismo garante.

Se trata de crear una cultura donde a consecuencia de los avances

informticos, el individuo no pierda su capacidad de disponer de su informacin

personal, controlar el acceso respecto de quien la solicita, de quien posee y el

objeto por el cual se transmite, previo su consentimiento.

Se trata de garantizar su dignidad y libertad para decidir por s mismo los

lmites que proceden para revelar las situaciones referentes a su propia vida.

QUINTA. Los integrantes de esta Comisin Permanente, al analizar la

presente iniciativa, recalcamos que el objeto de la reforma constitucional federal en

materia de proteccin de datos personales, en relacin con las normas de carcter

internacional debe garantizar los principios de excepcionalidad en el tratamiento de

datos, proteccin, libre acceso a datos, no condicionamiento a inters alguno, no





13

justificacin de utilizacin, gratuidad, rectificacin, mecanismos de acceso

expeditos, revisin de resoluciones ante organismos autnomos, confidencialidad,

oposicin, y armonizacin normativa.

En consideracin de la Ley General de Proteccin de Datos Personales,

debe ser congruente con los principios de licitud, finalidad concreta,

responsabilidad en el tratamiento de datos adecuados, relevantes y estrictamente

necesarios para la finalidad que justifica su tratamiento, lealtad, calidad,

proporcionalidad, informacin, consentimiento en el tratamiento de datos

personales, explcito, legtimo, excepcin de consentimiento, veracidad de los datos

personales, temporalidad, privacidad, informacin y rendicin de cuentas.

As como los que se refieren al Instituto Estatal de Transparencia y

Proteccin de Datos Personales, siendo los siguientes: atraccin de jurisdiccin,

vinculatoriedad, definitividad e inatacabilidad de resoluciones de organismos

garantes e integrantes, coadyuvancia de organismos garantes e integrantes,

cumplimiento de las decisiones, especialidad, y coordinacin con el INAI.

Estamos conscientes de la responsabilidad que conlleva que la legislacin

local deber configurarse normativamente al derecho de proteccin de datos

personales en posesin de sujetos obligados (autoridades) de nivel estatal,

estableciendo el ejercicio de los principios antes relacionados dentro de los plazos

que la Ley General previene, los mecanismos, medios de impugnacin y

procedimientos que acten como garantas procedimentales de este derecho

fundamental.

SEXTA. Bajo las anteriores consideraciones, se analiz la iniciativa de ley

presentada, as como cada una de las propuestas de reformas presentadas por las





14

fracciones legislativas del Verde Ecologista, Movimiento de Regeneracin Nacional,

as como del Revolucionario Institucional, expuestas a consideracin en las

sesiones de trabajo.

En lo general, se realiz una adecuada aplicacin de tcnica legislativa

respecto a la iniciativa, as como ha resultado necesario analizar la congruencia de

su contenido con lo dispuesto por la Ley General de Proteccin de Datos

Personales en Posesin de Sujetos Obligados, la cual contiene la base mnima

regulativa, dejando a salvo la libertad normativa del legislador siempre que no

contravengan estas pautas de observancia obligatoria.

Asimismo, ha servido de base la revisin de la Ley Modelo Estatal de

Proteccin de Datos Personales emitido por el Instituto Nacional de Acceso a la

Informacin, la Comisin de Proteccin de Datos Personales y el Sistema Nacional

de Transparencia, as como por la jurisprudencia, doctrina, experiencia del derecho

comparado y propuestas presentadas por los legisladores en las sesiones de

comisiones.

En principio, la iniciativa fue sometida a un anlisis constitucional,

observndose que Ley de Proteccin de Datos Personales en Posesin de Sujetos

Obligados y Particulares del Estado de Yucatn exceda la competencia federal,

conforme la fraccin XXIX-O del artculo 73 de la Constitucin Federal que

establece que es facultad del Congreso de la Unin legislar en materia de

proteccin de datos personales en posesin de particulares, por lo cual se cambi

el nombre, el ttulo completo, y cualquier otra disposicin que hiciera referencia a

los particulares.





15

El proyecto de decreto que nos ocupa, qued integrado en diez ttulos, por

133 artculos, con la visin garantista del derecho a la proteccin de datos

personales, con el objetivo de elaborar una norma clara, completa y precisa que

permita al responsable cumplir con puntualidad sus disposiciones.

El Titulo Primero correspondiente a las disposiciones generales, se

establecieron con puntualidad los responsables en el cumplimiento de esta Ley,

siendo aplicable para cualquier autoridad, dependencia, entidad, rgano y

organismo de los Poderes Ejecutivo, Legislativo y Judicial, ayuntamientos,

organismos autnomos, partidos polticos, fideicomisos y fondos pblicos de nivel

estatal y municipal, que lleven a cabo tratamientos de datos personales.

Asimismo, establecer con precisin las definiciones, forma de interpretacin,

la supletoriedad de este mismo ordenamiento, y el alcance en relacin con los

mecanismos de informacin que maneja cada responsable, as como definir los

lmites por los cuales es posible sobreponer el orden pblico, la seguridad y la

salud pblicas o para proteger los derechos de terceros, bajo la proporcionalidad y

necesidad del caso concreto.

En el Ttulo segundo denominado Principios y Deberes, no slo quedaron

insertos los mecanismos de proteccin ante situaciones como el engao y el

fraude, materializando principios como la obtencin del consentimiento previo, sus

caractersticas, elementos, sobre todo tratndose de datos sensibles, y las

causales por las cuales podran ser considerados los casos de excepcin.

Se consideran igual procedimientos para la cancelacin y eliminacin de los

datos personales, la rendicin de cuentas sobre su tratamiento, la implementacin





16

de los avisos de privacidad de conformidad con las circunstancias del titular,

procurando su conocimiento, por lo cual se implementarn en idioma maya.

En forma congruente, se legisla en cuanto a los deberes de los

responsables, por lo cual ser primordial implementar medidas de seguridad, a

travs de un documento que provea en forma integral la aplicacin de stas, la

vulneracin a la seguridad y en todo caso, la intervencin del Instituto para emitir

recomendaciones que fortalezcan y evitan cualquier posible vulneracin a la de los

datos personales.

De suma importancia resulta el ttulo tercero, por el cual se desarrollan los

conocidos como derechos ARCO-acceso, rectificacin, cancelacin y oposicin-,

siendo que a travs de las ya existentes Unidades de Transparencia, es posible

que el titular o a travs de su representante, siempre que acredite su identidad,

solicite cualquiera de estos derechos en forma gratuita, salvo los costos por el uso

de algn dispositivo requerido y de los requisitos solicitados.

Las unidades de transparencia continan con sus facultades de auxilio y

orientacin, e incluso rencauzamiento en casos de incompetencia, as como de la

posible inexistencia y causales de improcedencia, subsistiendo la posibilidad de

que ante una falta de respuesta, inconsistencia o inconformidad del titular, pueda

interponerse el recurso de revisin.

Los captulos de portabilidad de datos y comunicaciones de datos

personales corresponden a la posibilidad de que el titular tenga acceso a los

formatos electrnicos del responsable, as como a transferir su informacin de un

sistema a otro bajo los lineamientos del Sistema Nacional.





17

En cuanto a la transferencia se previene que pueda ser nacional e

internacional siempre que sea formalizada por convenios de colaboracin u otro

instrumento jurdico que establezca las obligaciones y responsabilidades asumidas

por las partes.

En el ttulo quinto, se establecen las acciones preventivas en materia de

proteccin de datos personales conforme la Ley General, se dispone que el

Instituto quien emita las reglas de operacin del registro en el que se inscribirn

aquellos esquemas de mejores prcticas validados o reconocidos.

En el captulo correspondiente a la evaluacin de impacto se previene el

tratamiento intensivo o relevante cuando el responsable requiera poner en

operacin o modificar polticas pblicas, sistemas o plataformas informticas,

aplicaciones electrnicas o cualquier otra tecnologa que a su juicio y de

conformidad con esta ley, impliquen el tratamiento intensivo o relevante de datos

personales; excepto cuando puedan comprometer los efectos que se pretenden

lograr dicha implementacin.

De nueva cuenta el Instituto, debe emitir recomendaciones no vinculatorias

sobre la evaluacin de impacto.

Respecto a las bases de datos en posesin de instancias de seguridad,

procuracin y administracin de justicia se establecen los lmites a la obtencin y

tratamiento y la implementacin de medidas de seguridad de nivel alto, en aquellos

supuestos y categoras de datos que resulten necesarios y proporcionales para el

ejercicio de las funciones en materia de seguridad pblica, as como para la

prevencin o persecucin de los delitos.





18

En el ttulo sexto, se establecen las nuevas obligaciones del Comit y

Unidad de Transparencia de cada responsable en materia de proteccin de datos

generales, en forma congruente con la Ley General, ambos se constituyen como

organismos garantes de la Ley estatal.

Se concibe la figura del Oficial de proteccin de datos personales

especializado en la materia, quien formar parte de la Unidad de Transparencia,

ser designado atendiendo a sus conocimientos, cualidades profesionales,

experiencia mnima de cinco aos en la materia, y, en su caso, las certificaciones

con que cuente en materia de proteccin de datos personales.

En el ttulo sptimo, se dotan de atribuciones al Instituto Estatal de

Transparencia, Acceso a la Informacin y Proteccin de Datos Personales como

rgano encargado de vigilar el cumplimiento de esta Ley cuya principal encomienda

es contribuir a mantener la plena vigencia del derecho a la proteccin de datos

personales en el Estado, implementando polticas pblicas con estricto apego a

esta ley; el ejercicio pleno y respeto del derecho a la proteccin de datos

personales, la difusin de una cultura de este derecho y su accesibilidad.

Tanto los responsables como el Instituto deben coordinarse para promover

la proteccin de datos personales y trabajar en la promocin dentro de su mbito

de competencia.

Dentro del ttulo octavo, noveno y dcimo se previene el procedimiento de

impugnacin en materia de proteccin de datos personales en posesin de los

responsables: Recurso de revisin y de inconformidad.





19

El recurso de revisin se establece bajo los principios de accesibilidad y

sencillez claro, sencillo y accesible ante cualquier inconformidad del titular;

sobresale la posibilidad de conciliar entre el titular y el responsable. En cuanto al

recurso de inconformidad procede la interposicin ante el Instituto Nacional de

Transparencia, Acceso a la Informacin y Proteccin de Datos Personales cuyo

trmite se regula ante la Ley General.

El Instituto se le dota de facultades de verificacin y vigilancia en una

actuacin puede ser oficio o por denuncia del titular cumpliendo con los derechos

fundamentales de legalidad y seguridad pblica, sobre todo con especial nfasis

cuando la verificacin sea en instancias pblicas.

El ttulo dcimo refiere a las medidas de apremio, responsabilidades y

sanciones por el incumplimiento de la Ley.

Para finalizar, se incluyeron siete artculos transitorios, disponiendo su

entrada en vigor al da siguiente de su publicacin en el Diario Oficial del Estado,

plazos para el cumplimiento de la implementacin del aviso de privacidad, medidas

de seguridad, procedimientos en trmite, y las previsiones presupuestales que

garanticen su cumplimiento para cada ente responsable.

En lo general, se hicieron adecuaciones correspondientes a la tcnica

legislativa, homologando conceptos, orden, claridad en los responsables y plazos

de su cumplimiento en cada una de sus disposiciones.

De esta manera, los yucatecos cuentan con mecanismos para la proteccin

de sus datos personales, brindando las condiciones para evitar cualquier mal uso





20

de la informacin que le concierne preservando en todo momento el control y

aplicacin sobre las nuevas tecnologas de la informacin.

SPTIMA. Del estudio a la iniciativa turnada a esta Comisin Permanente,

cabe mencionar, que ha sido fortalecida con las propuestas presentadas por las

fracciones parlamentarias del Verde Ecologista, Movimiento de Regeneracin

Nacional y del Revolucionario Institucional, a fin de corresponder con los principios

y derechos reconocidos en la Constitucin Poltica de los Estados Unidos

Mexicanos y la Ley General de Proteccin de Datos Personales.

Por todo lo expuesto y fundado, los integrantes de la Comisin Permanente

de Vigilancia de la Cuenta Pblica y Transparencia, consideramos que la iniciativa

para expedir la Ley de Proteccin de Datos Personales en Posesin de Sujetos

Obligados del Estado de Yucatn, debe ser aprobado por los razonamientos antes

expresados, con las modificaciones y adecuaciones necesarias de tcnica

legislativa.

En tal virtud, con fundamento en los artculos 30 fraccin V de la

Constitucin Poltica, 18 y 43 fraccin II de la Ley de Gobierno del Poder Legislativo

y 71 fraccin II del Reglamento de la Ley de Gobierno del Poder Legislativo, todos

ordenamientos del Estado de Yucatn, sometemos a consideracin del Pleno del

Congreso del Estado de Yucatn, el siguiente proyecto de:





21

D E C R E T O

Por el que se expide la Ley de Proteccin de Datos Personales en Posesin de

Sujetos Obligados del Estado de Yucatn, para quedar como sigue:

Ley de Proteccin de Datos Personales en Posesin de Sujetos Obligados del

Estado de Yucatn

TTULO PRIMERO DISPOSICIONES GENERALES

CAPTULO NICO

Artculo 1. Objeto

Esta ley es de orden pblico y de observancia obligatoria en el estado de Yucatn y tiene por objeto establecer las bases, los principios y procedimientos para garantizar el derecho a la proteccin de datos personales en posesin de sujetos. El Instituto Estatal de Acceso a la Informacin Pblica y Proteccin de Datos Personales ejercer las atribuciones y facultades que le otorga esta ley. Son sujetos obligados por esta ley, cualquier autoridad, dependencia, entidad, rgano y organismo de los Poderes Ejecutivo, Legislativo y Judicial, ayuntamientos, organismos autnomos, partidos polticos, fideicomisos y fondos pblicos de nivel estatal y municipal, que lleven a cabo tratamientos de datos personales. Artculo 2. Objetivos

Son objetivos de esta ley:

I.- Garantizar la observancia de los principios de proteccin de datos personales previstos en la Constitucin Poltica de los Estados Unidos Mexicanos, ley general, esta ley y dems disposiciones que resulten aplicables en la materia.

II.- Proteger los datos personales en posesin de los responsables por esta ley, con

la finalidad de regular su debido tratamiento. III.- Garantizar que toda persona pueda ejercer el derecho a la proteccin de los

datos personales en el estado. IV.- Promover, fomentar y difundir una cultura de proteccin de datos personales.





22

V.- Fijar los estndares y parmetros que permitan la implementacin, mantenimiento y actualizacin de medidas de seguridad de carcter administrativo, tcnico y fsico que permitan la proteccin de los datos personales.

VI.- Establecer obligaciones, procedimientos y condiciones homogneas que regirn

el tratamiento de los datos personales y el ejercicio de los derechos de acceso, rectificacin, cancelacin y oposicin, mediante procedimientos sencillos y expeditos.

VII.- Definir los mecanismos para garantizar el cumplimiento y la efectiva aplicacin

de las medidas de apremio que correspondan para aquellas conductas que contravengan las disposiciones previstas en esta ley.

VIII.- Crear un catlogo de sanciones para aquellas conductas que contravengan

las disposiciones previstas en esta ley. Artculo 3. Definiciones

Para los efectos de esta ley se entender por: I.- reas crticas: las instancias de los sujetos obligados previstas en los

respectivos reglamentos interiores, estatutos orgnicos o instrumentos equivalentes, que cuentan o puedan contar, dar tratamiento, y ser responsables o encargadas de los datos personales.

II.- Aviso de privacidad: el documento puesto a disposicin del titular forma fsica,

electrnica o en cualquier formato generado por el responsable, a partir del momento en el cual se recaben sus datos personales, con el objeto de informarle los propsitos del tratamiento de los mismos.

III.- Bases de datos: el conjunto ordenado de datos personales referentes a una

persona fsica identificada o identificable, condicionados a criterios determinados que permitan su tratamiento, con independencia de la forma o modalidad de su creacin, tipo de soporte, procesamiento, almacenamiento y organizacin.

IV.- Bloqueo: la identificacin y conservacin de datos personales una vez

cumplida la finalidad para la cual fueron recabados, con el nico propsito de determinar posibles responsabilidades en relacin con su tratamiento, hasta el plazo de prescripcin legal o contractual de estas. Durante dicho periodo, los datos personales no podrn ser objeto de tratamiento y transcurrido ste, se proceder a su cancelacin en la base de datos que corresponda.

V.- Comit de transparencia: la instancia a la que hace referencia el artculo 54

de la ley de transparencia.





23

VI.- Cmputo en la nube: el modelo de provisin externa de servicios de cmputo bajo demanda, que implica el suministro de infraestructura, plataforma o programa informtico, distribuido de modo flexible, mediante procedimientos virtuales, en recursos compartidos dinmicamente.

VII.- Consentimiento: la manifestacin de la voluntad libre, especfica e informada

del titular de los datos mediante la cual autoriza el tratamiento de los mismos. VIII.- Datos personales: cualquier informacin concerniente a una persona fsica

identificada o identificable expresada en forma numrica, alfabtica, alfanumrica, grfica, fotogrfica, acstica o en cualquier otro formato. Se considera que una persona es identificable cuando su identidad puede determinarse directa o indirectamente a travs de cualquier informacin, siempre y cuando esto no requiera plazos, medios o actividades desproporcionadas.

IX.- Datos personales sensibles: aquellos que se refieran a la esfera ms ntima

de su titular, o cuya utilizacin indebida pueda dar origen a discriminacin o conlleve un riesgo grave para ste. De manera enunciativa ms no limitativa, se consideran sensibles los datos personales que puedan revelar aspectos como origen racial o tnico, estado de salud presente o futuro, informacin gentica, creencias religiosas, filosficas y morales, opiniones polticas y preferencia sexual.

X.- Derechos ARCO: los derechos de acceso, rectificacin, cancelacin y

oposicin al tratamiento de datos personales. XI.- Das: los das hbiles. XII.- Disociacin: el procedimiento mediante el cual los datos personales no

pueden asociarse al titular ni permitir, por su estructura, contenido o grado de desagregacin, la identificacin del mismo.

XIII.- Documento de seguridad: el instrumento que describe y da cuenta de manera

general sobre las medidas de seguridad tcnicas, fsicas y administrativas adoptadas por el responsable para garantizar la confidencialidad, integridad y disponibilidad de los datos personales que posee.

XIV.- Encargado: la persona fsica o jurdica, pblica o privada, ajena a la

organizacin del responsable, que sola o conjuntamente con otras, trate datos personales a nombre y por cuenta del responsable, sin ostentar poder alguno de decisin sobre el alcance y contenido del mismo, as como limitar sus actuaciones a los trminos fijados por el responsable.

XV.- Evaluacin de impacto en la proteccin de datos personales: el documento

mediante el cual los sujetos obligados valoran los impactos reales respecto de determinado tratamiento de datos personales, a efecto de identificar y mitigar posibles riesgos que





24

puedan comprometer el cumplimiento de los principios de esta ley, los derechos de los titulares, y los deberes de los responsables previstos en la normativa aplicable.

XVI.- Fuentes de acceso pblico: aquellas bases de datos, sistemas o archivos que

por disposicin de ley puedan ser consultadas pblicamente cuando no exista impedimento por una norma limitativa y sin ms exigencia que, en su caso, el pago de una contraprestacin, tarifa o contribucin. No se considerar fuente de acceso pblico cuando los datos personales contenidas en la misma sean obtenidas o tenga una procedencia ilcita, conforme a las disposiciones establecidas por esta ley y dems normativa aplicable.

XVII.- Instituto: el Instituto Estatal de Transparencia, Acceso a la Informacin

Pblica y Proteccin de Datos Personales. XVIII.- Ley: la Ley de Proteccin de Datos Personales en Posesin de Sujetos

Obligados del Estado de Yucatn. XIX.- Ley de transparencia: la Ley de Transparencia y Acceso a la Informacin

Pblica del Estado de Yucatn. XX.- Ley general: la Ley General de Proteccin de Datos Personales en Posesin

de Sujetos Obligados. XXI.- Ley general de transparencia: la Ley General de Transparencia y Acceso a la

Informacin Pblica. XXII.- Medidas compensatorias: los mecanismos alternos para dar a conocer a los

titulares el aviso de privacidad, a travs de su difusin por medios masivos de comunicacin u otros de amplio alcance.

XXIII.- Medidas de seguridad: el conjunto de acciones, actividades, controles o

mecanismos administrativos, tcnicos y fsicos que permiten garantizar la proteccin, confidencialidad, disponibilidad e integridad de los datos personales.

XXIV.- Medidas de seguridad administrativas: las polticas y procedimientos para la

gestin, soporte y revisin de la seguridad de los datos personales a nivel organizacional, la identificacin, clasificacin y borrado seguro de la informacin, as como la sensibilizacin, y capacitacin del personal, en materia de proteccin de datos personales.

XXV.- Medidas de seguridad fsicas: el conjunto de acciones y mecanismos para

proteger el entorno fsico de los datos personales y de los recursos involucrados en su tratamiento. De manera enunciativa ms no limitativa, se deben considerar las siguientes actividades:

a) Prevenir el acceso no autorizado al permetro de la organizacin, sus

instalaciones fsicas, reas crticas, recursos y datos personales.





25

b) Prevenir el dao o interferencia a las instalaciones fsicas, reas crticas

de la organizacin, recursos y datos personales. c) Proteger los recursos mviles, porttiles y cualquier soporte fsico o

electrnico que pudiera salir de la organizacin del responsable. d) Proveer a los equipos que contienen o almacenan datos personales de un

mantenimiento eficaz, que asegure su disponibilidad e integridad. XXVI. Medidas de seguridad tcnicas: el conjunto de acciones y mecanismos que

se valen de la tecnologa relacionada con hardware y software para proteger el entorno digital de los datos personales y los recursos involucrados en su tratamiento. De manera enunciativa ms no limitativa, se deben considerar las siguientes actividades:

a) Prevenir que el acceso a las bases de datos o a la informacin, as como

a los recursos, sea por usuarios identificados y autorizados. b) Generar un esquema de privilegios para que el usuario lleve a cabo las

actividades que requiere con motivo de sus funciones. c) Revisar la configuracin de seguridad en la adquisicin, operacin,

desarrollo y mantenimiento del software y hardware. d) Gestionar las comunicaciones, operaciones y medios de almacenamiento

de los recursos informticos en el tratamiento de datos personales. XXVII. Plataforma nacional: la Plataforma Nacional de Transparencia a que hace

referencia el artculo 49 de la ley general de transparencia. XXVIII. Remisin: la comunicacin de datos personales realizada exclusivamente

entre el responsable y encargado, con independencia de que se realice dentro o fuera del Estado o del pas.

XXIX. Responsable: los sujetos obligados a que se refiere el tercero prrafo del

artculo 1 de esta ley. XXX. Sistema nacional: el Sistema Nacional de Transparencia, Acceso a la

Informacin y Proteccin de Datos Personales. XXXI. Supresin: la baja archivstica de los datos personales conforme a la

normativa archivstica aplicable, que resulte en la eliminacin, borrado o destruccin de los datos personales bajo las medidas de seguridad previamente establecidas por el responsable.





26

XXXII. Titular: la persona fsica a quien corresponden los datos personales. XXXIII. Transferencia: la comunicacin de datos personales dentro o fuera del

territorio mexicano, realizada a persona distinta del titular, del responsable o del encargado.

XXXIV. Tratamiento: cualquier operacin o conjunto de operaciones efectuadas

mediante procedimientos manuales o automatizados aplicados a los datos personales, relacionadas de manera enunciativa mas no limitativa, con la obtencin, uso, registro, organizacin, conservacin, elaboracin, utilizacin, comunicacin, difusin, almacenamiento, posesin, acceso, manejo, aprovechamiento, divulgacin, transferencia o disposicin de datos personales.

XXXV. Unidad de transparencia: la Instancia a la que hace referencia el artculo 59

de la ley de transparencia. Artculo 4.Datos personales

Los datos personales son irrenunciables, confidenciales, intransferibles e indelegables. nicamente su titular tiene libre acceso o puede solicitar su rectificacin, en forma gratuita conforme los procedimientos previstos en esta ley; o bien siempre que conste su consentimiento, para su uso en forma adecuada, relevante y estrictamente necesaria para la finalidad que justifica su tratamiento. Artculo 5. Interpretacin

La interpretacin de esta ley se realizar conforme a la Constitucin Poltica de los Estados Unidos Mexicanos, la Constitucin Poltica del Estado, la Declaracin Universal de los Derechos Humanos, el Pacto Internacional de Derechos Civiles y Polticos, la Convencin Americana sobre Derechos Humanos, otros tratados, declaraciones, pactos, convenciones y dems instrumentos internacionales suscritos y ratificados por el Estado Mexicano, as como con base en la interpretacin que de los mismos hayan realizado los tribunales competentes. Artculo 6. Supletoriedad

Todo lo no previsto en esta ley se aplicar de manera supletoria el Cdigo de Procedimientos Civiles del Estado de Yucatn y Ley de Actos y Procedimientos Administrativos del Estado de Yucatn. Artculo 7. Alcance

Esta ley ser aplicable a cualquier tratamiento de datos personales que obren en soportes fsicos o electrnicos, con independencia de la forma o modalidad de su creacin, tipo de soporte, procesamiento, almacenamiento y organizacin.





27

Artculo 8. Fuentes de acceso pblico

Para los efectos de esta ley, se considerarn como fuentes de acceso pblico:

I.- Las pginas de Internet o medios remotos o locales de comunicacin electrnica, ptica y de otra tecnologa, siempre que el sitio donde se encuentren los datos personales est concebido para facilitar informacin al pblico y est abierto a la consulta general.

II.- Los directorios telefnicos en trminos de la normativa especfica. III.- Los diarios, gacetas o boletines oficiales, de acuerdo con su normativa. IV.- Los medios de comunicacin social. V.- Los registros pblicos conforme a las disposiciones que les resulten

aplicables. Para que los supuestos enumerados en este artculo sean considerados fuentes de acceso pblico ser necesario que su consulta pueda ser realizada por cualquier persona no impedida por una norma limitativa, o sin ms exigencia que, en su caso, el pago de una contraprestacin, derecho o tarifa. No se considerar una fuente de acceso pblico cuando la informacin contenida en la misma sea o tenga una procedencia ilcita. Artculo 9. Lmites al derecho a la proteccin de datos personales

El derecho a la proteccin de los datos personales solamente se limitar por razones de seguridad nacional en trminos de la ley en la materia, disposiciones de orden pblico, seguridad y salud pblicas o para proteger los derechos de terceros. Las limitaciones y restricciones debern reconocerse de manera expresa en una norma con rango de ley y debern ser necesarias y proporcionales al fin que sean tratados, respetando, en todo momento, los derechos y las libertades fundamentales de los titulares. Cualquier ley que tenga como propsito limitar el derecho a la proteccin de datos personales deber contener como mnimo disposiciones relativas a:

I.- Las finalidades del tratamiento. II.- Las categoras de datos personales o los datos personales especficos que son

objeto de tratamiento. III.- El alcance de las limitaciones o restricciones establecidas.





28

IV.- La determinacin del responsable o los responsables. V.- El derecho de los titulares a ser informados sobre la limitacin, salvo que

resulte perjudicial o incompatible a los fines de esta. Artculo 10. Datos personales sensibles

Por regla general no podrn tratarse datos personales sensibles, salvo en los casos siguientes:

I.- Los mismos sean estrictamente necesarios para el ejercicio y cumplimiento

de las atribuciones y obligaciones expresamente previstas en las normas que regulan la actuacin del responsable.

II.- Se d cumplimiento a un mandato legal. III.- Se cuente con el consentimiento expreso y por escrito del titular, o IV.- Sean necesarios por razones de seguridad pblica, orden pblico, salud

pblica o salvaguarda de derechos de terceros. En el tratamiento de datos personales de menores de edad se deber privilegiar el inters superior de la nia, el nio, y el adolescente, en trminos de las disposiciones legales aplicables.

TTULO SEGUNDO

PRINCIPIOS Y DEBERES

CAPTULO I Principios

Artculo 11. Principios

El responsable deber observar los principios de licitud, finalidad, lealtad, consentimiento, calidad, proporcionalidad, informacin y responsabilidad en el tratamiento de los datos personales. No se deber negar o condicionar un servicio pblico a cambio de proporcionar datos personales, sin antes sealar el aviso de privacidad simplificado, los alcances y condiciones generales del tratamiento de los datos, y obtener del titular el consentimiento en trminos de esta ley.





29

Artculo 12. Tratamiento de datos personales

El tratamiento de datos personales por parte del responsable deber sujetarse a las facultades o atribuciones que la normatividad aplicable le confiera. Artculo 13. Finalidades

Todo tratamiento de datos personales que efecte el responsable deber estar justificado por finalidades concretas, lcitas, explcitas y legtimas, relacionadas con las atribuciones que la normatividad aplicable les confiera. Para efectos de esta ley, se entender que las finalidades son:

I.- Concretas: cuando el tratamiento de los datos personales atiende a la

consecucin de fines especficos o determinados, sin que sea posible la existencia de finalidades genricas que puedan generar confusin en el titular.

II.- Explcitas: cuando las finalidades se expresan y dan a conocer de manera

clara en el aviso de privacidad. III.- Lcitas y legtimas: cuando las finalidades que justifican el tratamiento de los

datos personales son acordes con las atribuciones expresas del responsable, conforme a lo previsto en la legislacin mexicana y el derecho internacional que le resulte aplicable. El responsable podr tratar datos personales para finalidades distintas a aqullas establecidas en el aviso de privacidad, siempre y cuando cuente con atribuciones conferidas en ley y medie el consentimiento del titular, salvo sea una persona reportada como desaparecida, en los trminos previstos en esta ley y dems disposiciones que resulten aplicables en la materia. Artculo 14. Obtencin engaosa o fraudulenta

El responsable no deber obtener y tratar datos personales, a travs de medios engaosos o fraudulentos, privilegiando la proteccin de los intereses del titular y la expectativa razonable de privacidad. Para los efectos del artculo anterior de esta ley, se entender que el responsable acta de forma engaosa o fraudulenta cuando:

I.- Medie dolo, mala fe o negligencia en el tratamiento de datos personales que

lleve a cabo. II.- Realice un tratamiento de datos personales que d lugar a una discriminacin

injusta o arbitraria contra el titular, o





30

III.- Vulnere la expectativa razonable de proteccin de datos personales. Artculo 15. Consentimiento previo

El responsable deber contar con el consentimiento previo del titular para el tratamiento de los datos personales cuando no se actualice algunas de las causales de excepcin previstas en el artculo 20 de esta ley. Si el responsable recabe datos personales indirectamente del titular y se requiera de su consentimiento conforme a esta ley, este no podr tratar los datos personales hasta que cuente con la manifestacin de la voluntad libre, especfica e informada del titular, mediante la cual autoriza el tratamiento de estos, ya sea tcita o expresa segn corresponda. El consentimiento puede ser revocable por el titular en cualquier momento, ejerciendo su derecho de oposicin a sus datos personales. Artculo 16. Elementos del consentimiento

El consentimiento del titular a que se refiere el artculo anterior, deber otorgarse de forma:

I.- Libre: sin que medie error, mala fe, violencia o dolo que puedan afectar la

manifestacin de voluntad del titular. II.- Especfica: referida a finalidades concretas, lcitas, explcitas y legtimas que

justifiquen el tratamiento. III.- Informada: que el titular tenga conocimiento del aviso de privacidad previo al

tratamiento a que sern sometidos sus datos personales. En la obtencin del consentimiento de personas menores de edad o que se encuentren en estado de interdiccin o incapacidad declarada conforme a ley, se estar a lo dispuesto en las reglas de representacin previstas en la legislacin civil que resulte aplicable. Artculo 17. Consentimiento expreso

El consentimiento podr manifestarse de forma expresa o tcita. Se deber entender que el consentimiento es expreso cuando la voluntad del titular se manifieste verbalmente, por escrito, por medios electrnicos, pticos, signos inequvocos o por cualquier otra tecnologa que le facilite el responsable de forma sencilla y gratuita, de tal forma que se pueda demostrar indubitablemente a travs de una declaracin o accin afirmativa clara.





31

El responsable deber obtener el consentimiento del titular para el tratamiento de sus datos personales, de manera previa, cuando los recabe directamente de ste y, en su caso, se requiera conforme a esta ley. Artculo 18. Consentimiento tcito

El consentimiento ser tcito cuando habindose puesto a disposicin del titular el aviso de privacidad, ste no manifieste su voluntad en sentido contrario. Por regla general, ser vlido el consentimiento tcito, salvo que la ley o las disposiciones aplicables exijan que la voluntad del titular se manifieste expresamente. Artculo 19. Consentimiento sobre datos personales sensibles

Tratndose de datos personales sensibles, el responsable deber obtener el consentimiento expreso y por escrito del titular para su tratamiento, a travs de su firma autgrafa, firma electrnica, o cualquier mecanismo de autenticacin que al efecto se establezca, salvo en los casos previstos en esta ley. Artculo 20. Casos de excepcin

El responsable no estar obligado a recabar el consentimiento del titular para el tratamiento de sus datos personales en los siguientes casos:

I.- Cuando una ley as lo disponga, debiendo dichos supuestos ser acordes con

las bases, principios y disposiciones establecidos en esta ley, en ningn caso, podrn contravenirla.

II.- Cuando las transferencias que se realicen entre responsables, sean sobre

datos personales que se utilicen para el ejercicio de facultades propias, compatibles o anlogas con la finalidad que motiv el tratamiento de los datos personales.

III.- Cuando exista una orden judicial, resolucin o mandato fundado y motivado

de autoridad competente. IV.- Para el reconocimiento o defensa de derechos del titular ante autoridad

competente. V.- Cuando los datos personales se requieran para ejercer un derecho o cumplir

obligaciones derivadas de una relacin jurdica entre el titular y el responsable. VI.- Cuando exista una situacin de emergencia que potencialmente pueda daar

a un individuo en su persona o en sus bienes.





32

VII.- Cuando los datos personales sean necesarios para efectuar un tratamiento para la prevencin, diagnstico, la prestacin de asistencia sanitaria.

VIII.- Cuando los datos personales figuren en fuentes de acceso pblico. IX.- Cuando los datos personales se sometan a un procedimiento previo de

disociacin. X.- Cuando el titular de los datos personales sea una persona reportada como

desaparecida en los trminos de la ley en la materia.

Tratndose de la fraccin VII de este artculo, este supuesto exclusivamente resultar aplicable en caso de que los datos personales que obren en fuentes de acceso pblico, tengan una procedencia conforme a las disposiciones establecidas en esta ley y dems normativa aplicable. La actualizacin de alguna de las fracciones previstas en este artculo no exime al responsable del cumplimiento de las dems obligaciones previstas en esta ley y dems disposiciones que resulten aplicables. Artculo 21. Calidad de los datos personales

El responsable deber adoptar las medidas necesarias para mantener exactos, completos, correctos y actualizados los datos personales en su posesin, a fin de que no se altere la veracidad de estos, y segn la finalidad que motivaron su tratamiento. Se presume que se cumple con la calidad en los datos personales cuando estos son proporcionados directamente por el titular y hasta que este no manifieste y acredite lo contrario. Cuando los datos personales fueron obtenidos indirectamente del titular, el responsable deber adoptar medidas razonables para que stos respondan al principio de calidad, de acuerdo con la categora de datos personales y las condiciones y medios del tratamiento. Artculo 22. Eliminacin de los datos personales

Cuando los datos personales hayan dejado de ser necesarios para el cumplimiento de las finalidades previstas en el aviso de privacidad y que motivaron su tratamiento conforme a las disposiciones que resulten aplicables, el responsable deber suprimirlos, previo bloqueo en su caso, y una vez que concluya el plazo de conservacin de estos. Los plazos de conservacin de los datos personales no debern exceder aqullos que sean necesarios para el cumplimiento de las finalidades que justificaron su tratamiento, y debern atender a las disposiciones aplicables en la materia de que se trate y considerar





33

los aspectos administrativos, contables, fiscales, jurdicos e histricos de los datos personales. Artculo 23. Procedimientos para la conservacin

El responsable deber establecer y documentar los procedimientos para la conservacin y, en su caso, bloqueo y supresin de los datos personales que lleve a cabo, en los cuales se incluyan los periodos de conservacin de los mismos, de conformidad con lo dispuesto en el artculo anterior de esta ley. En los procedimientos a que se refiere el prrafo anterior, el responsable deber incluir mecanismos que le permitan cumplir con los plazos fijados para la supresin de los datos personales, as como para realizar una revisin peridica sobre la necesidad de conservar los datos personales. Artculo 24. Tratamiento exclusivo

El responsable solo deber tratar los datos personales que resulten adecuados, relevantes y estrictamente necesarios para la finalidad que justifica su tratamiento. Artculo 25. Informe sobre el tratamiento

El responsable deber informar al titular, a travs del aviso de privacidad, la existencia y caractersticas principales del tratamiento al que sern sometidos sus datos personales, a fin de que pueda tomar decisiones informadas al respecto. Artculo 26. Aviso de privacidad

El aviso de privacidad tendr por objeto informar al titular sobre los alcances y condiciones generales del tratamiento, a fin de que est en posibilidad de tomar decisiones informadas sobre el uso de sus datos personales y, en consecuencia, mantener el control y disposicin sobre ellos. Por regla general, el aviso de privacidad deber ser difundido por los medios electrnicos y fsicos con que cuente el responsable. Cuando resulte imposible dar a conocer al titular el aviso de privacidad, de manera directa o ello exija esfuerzos desproporcionados, el responsable podr instrumentar medidas compensatorias de comunicacin masiva de acuerdo con los criterios que para tal efecto emita el sistema nacional.





34

Artculo 27. Contenido del aviso de privacidad

El aviso de privacidad a que se refiere el artculo 3, fraccin II, de esta ley, deber estar redactado y estructurado de manera clara, comprensible, sencilla y con una estructura que facilite su entendimiento. En el aviso de privacidad queda prohibido:

I. Usar frases inexactas, ambiguas o vagas.

II. Incluir textos o formatos que induzcan al titular a elegir una opcin en especfico.

III. Marcar previamente casillas, en caso de que estas se incluyan para que el titular otorgue su consentimiento.

IV. Remitir a textos o documentos que no estn disponibles para el titular.

Artculo 28.Aviso de privacidad simplificado

El aviso de privacidad se pondr a disposicin del titular en dos modalidades, simplificado e integral. El aviso simplificado deber contener la siguiente informacin:

I. La denominacin del responsable. II. Las finalidades del tratamiento para las cuales se obtienen los datos personales,

distinguiendo aqullas que requieran el consentimiento del titular. III. Cuando se realicen transferencias de datos personales que requieran

consentimiento, se deber informar:

a) La autoridad, poder, rgano u organismo gubernamental y las personas fsicas o morales a las que se transfieren los datos personales.

b) Las finalidades de estas transferencias.

IV. Los mecanismos y medios disponibles para que el titular, en su caso, pueda

manifestar su negativa para el tratamiento de sus datos personales para finalidades y transferencias de datos personales que requieren el consentimiento del titular.

V. El sitio donde se podr consultar el aviso de privacidad integral.

La puesta a disposicin del aviso de privacidad al que refiere este artculo no exime al responsable de su obligacin de proveer los mecanismos para que el titular pueda conocer el contenido del aviso de privacidad en un momento posterior.





35

Los mecanismos y medios a los que refiere la fraccin IV de este artculo, debern estar disponibles para que el titular pueda manifestar su negativa al tratamiento de sus datos personales para las finalidades o transferencias que requieran el consentimiento del titular, previo a que ocurra dicho tratamiento. Artculo 29. Aviso de privacidad integral

El aviso de privacidad integral, adems de lo dispuesto en las fracciones del artculo anterior, al que refiere la fraccin V del artculo anterior deber contener, al menos, la siguiente informacin:

I. El domicilio del responsable.

II. Los datos personales que sern sometidos a tratamiento, identificando aqullos que son sensibles.

III. El fundamento legal que faculta al responsable para llevar a cabo el

tratamiento.

IV. Las finalidades del tratamiento para las cuales se obtienen los datos personales, distinguiendo aqullas que requieren el consentimiento del titular.

V. Los mecanismos, medios y procedimientos disponibles para ejercer los

derechos ARCO.

VI. El domicilio de la unidad de transparencia.

VII. Los medios a travs de los cuales el responsable comunicar a los titulares los cambios al aviso de privacidad. Artculo 30. Puesta a disposicin

El responsable deber poner a disposicin del titular el aviso de privacidad simplificado en los siguientes momentos:

I. Cuando los datos personales se obtienen de manera directa del titular previo a la

obtencin de estos.

II. Cuando los datos personales se obtienen de manera indirecta del titular previo al uso o aprovechamiento de estos.

III. Las reglas anteriores, no eximen al responsable de proporcionar al titular el aviso

de privacidad integral en un momento posterior, conforme a las disposiciones aplicables de esta ley.





36

Artculo 31. Actualizacin del aviso de privacidad

Cuando el responsable pretenda tratar los datos personales para una finalidad distinta, deber poner a su disposicin un nuevo aviso de privacidad con las caractersticas del nuevo tratamiento previo al aprovechamiento de los datos personales para la finalidad respectiva. Artculo 32. Implementacin de mecanismos

El responsable deber implementar los mecanismos previstos en el artculo 33 de esta ley para acreditar el cumplimiento de los principios, deberes y obligaciones establecidos en esta ley y rendir cuentas sobre el tratamiento de datos personales en su posesin al titular e instituto, caso en el cual deber observar la Constitucin Poltica de los Estados Unidos Mexicanos, los tratados internacionales en los que el Estado mexicano sea parte, as como la Constitucin del Estado. Lo anterior, aplicar aun cuando los datos personales sean tratados por parte de un encargado, as como al momento de realizar transferencias de datos personales. Artculo 33.Mecanismos para el cumplimiento

Entre los mecanismos que deber adoptar el responsable para cumplir con el principio de responsabilidad establecido en esta ley estn, al menos, los siguientes:

I. Destinar recursos autorizados para tal fin para la instrumentacin de programas y

polticas de proteccin de datos personales.

II. Elaborar polticas y programas de proteccin de datos personales obligatorios y exigibles al interior de la organizacin del responsable.

III. Poner en prctica un programa de capacitacin y actualizacin del personal sobre

las obligaciones y dems deberes en materia de proteccin de datos personales.

IV. Revisar peridicamente las polticas y programas de seguridad de datos personales para determinar las modificaciones que se requieran.

V. Establecer un sistema de supervisin y vigilancia interna o externa, incluyendo

auditoras, para comprobar el cumplimiento de las polticas de proteccin de datos personales.

VI. Establecer procedimientos para recibir y responder dudas y quejas de los titulares.

VII. Disear, desarrollar e implementar sus polticas pblicas, programas, servicios,

sistemas o plataformas informticas, aplicaciones electrnicas o cualquier otra tecnologa





37

que implique el tratamiento de datos personales, de conformidad con las disposiciones previstas en esta ley y las dems que resulten aplicables en la materia.

VIII. Garantizar que sus polticas pblicas, programas, servicios, sistemas o

plataformas informticas, aplicaciones electrnicas o cualquier otra tecnologa que implique el tratamiento de datos personales, cumplan por defecto con las obligaciones previstas en esta ley. El responsable deber revisar las polticas, los programas de seguridad y las polticas de procedimientos de control a que se refieren las fracciones IV y V de este artculo, respectivamente, al menos cada dos aos, as como actualizarlas cuando al tratamiento de datos personales se le realicen modificaciones sustanciales.

CAPTULO II

Deberes Artculo 34. Implementacin de medidas de seguridad

El responsable deber establecer las medidas de seguridad necesarias para garantizar la proteccin de datos personales que permitan protegerlos contra dao, prdida, alteracin, destruccin o su uso, acceso o tratamiento no autorizado, as como garantizar su confidencialidad, integridad y disponibilidad, sin perjuicio de otras medidas de proteccin mayor o complementen lo dispuesto en esta ley. Artculo 35. Medidas de seguridad Las medidas de seguridad adoptadas por el responsable debern considerar:

I. El riesgo inherente a los datos personales tratados.

II. La sensibilidad de los datos personales tratados.

III. El desarrollo tecnolgico.

IV. Las posibles consecuencias de una vulneracin para los titulares.

V. Las transferencias de datos personales que se realicen.

VI. El nmero de titulares.

VII. Las vulneraciones previas ocurridas en los sistemas de tratamiento.

VIII. El riesgo por el valor potencial cuantitativo o cualitativo que pudieran tener los datos personales tratados para una tercera persona no autorizada para su posesin.





38

Artculo 36. Actividades interrelacionadas

Para establecer y mantener las medidas de seguridad para la proteccin de los datos personales, el responsable deber realizar actividades interrelacionadas en el artculo 33 de la ley general, las cuales debern estar documentadas y contenidas en un sistema de gestin. Se entender por sistema de gestin, al conjunto de elementos y actividades interrelacionadas para establecer, implementar, operar, monitorear, revisar, mantener y mejorar el tratamiento y seguridad de los datos personales, de conformidad con lo previsto en esta ley y las dems disposiciones que le resulten aplicables en la materia. Artculo 37. Documento de seguridad

El responsable deber elaborar un documento con las medidas de seguridad de carcter fsico, tcnico y administrativo que contenga, al menos, lo siguiente:

I. El nombre de los sistemas de tratamiento o base de datos personales.

II. El inventario de datos personales y de los sistemas de tratamiento.

III. Las funciones, nombre, cargo y adscripcin de las personas, que traten datos personales.

IV. El anlisis de riesgos.

V. El anlisis de brecha.

VI. El plan de trabajo.

VII. La estructura y descripcin de los sistemas de tratamiento o bases de datos

personales, sealando el tipo de soporte y las caractersticas del lugar donde se resguardan.

VIII. Los controles y mecanismos de seguridad para las transferencias que, en su caso,

se efecten.

IX. El resguardo de los soportes fsicos o electrnicos de los datos personales.

X. Las bitcoras de acceso, operacin cotidiana y vulneraciones a la seguridad de los datos personales.

XI. Los mecanismos de monitoreo y revisin de las medidas de seguridad.

XII. El programa general de capacitacin.





39

Artculo 38.Actualizacin del documento de seguridad El responsable deber actualizar el documento de seguridad de manera peridica cuando ocurran los siguientes eventos:

I. Se produzcan modificaciones sustanciales al tratamiento de datos personales que

deriven en un cambio en el nivel de riesgo.

II. Se presenten como resultado de un proceso de mejora continua, derivado del monitoreo y revisin del sistema de gestin.

III. Se presenten como resultado de un proceso de mejora para mitigar el impacto de

una vulneracin a la seguridad ocurrida.

IV. Se implementen acciones correctivas y preventivas ante una vulneracin de seguridad. Artculo 39. Anlisis de las causas de vulneracin a la seguridad

En caso de que ocurra una vulneracin a la seguridad, el responsable deber analizar las causas por las cuales se present, e implementar en su plan de trabajo las acciones preventivas y correctivas para adecuar las medidas de seguridad y el tratamiento de los datos personales si fuese el caso a efecto de evitar que la vulneracin se repita. Artculo 40. Vulneraciones de seguridad

Adems de las que sealen las leyes respectivas y la normatividad aplicable, se considerarn como vulneraciones de seguridad, en cualquier fase del tratamiento de datos, al menos, las siguientes:

I. La prdida o destruccin no autorizada.

II. El robo, extravo o copia no autorizada.

III. El uso, acceso o tratamiento no autorizado.

IV. El dao, la alteracin o modificacin no autorizada.





40

Artculo 41. Informe de las vulneraciones de seguridad

El responsable deber informar sin dilacin alguna al titular, las vulneraciones que afecten de forma significativa sus derechos patrimoniales o morales, en un plazo mximo de setenta y dos horas en cuanto se confirmen que ocurri la vulneracin y que el responsable haya empezado a tomar las acciones encaminadas a detonar un proceso de revisin exhaustiva de la magnitud de la afectacin, a fin de que los titulares afectados puedan tomar las medidas correspondientes para la defensa de sus derechos. Artculo 42. Contenido del informa de las vulneraciones de seguridad

El responsable deber informar al titular y al instituto, al menos, lo siguiente:

I. La naturaleza del incidente.

II. Los datos personales comprometidos.

III. Las recomendaciones y medidas que el titular puede adoptar para proteger sus intereses.

IV. Las acciones correctivas realizadas de forma inmediata.

V. Los medios donde puede obtener mayor informacin al respecto.

Artculo 43. Investigacin previa

Una vez recibida una notificacin de vulneracin por parte del responsable, el instituto deber realizar las investigaciones previas a que haya lugar con la finalidad de allegarse de elementos que le permitan, en su caso, iniciar un procedimiento de verificacin en trminos de lo dispuesto en esta ley. Artculo 44. Controles o mecanismos

El responsable deber establecer controles o mecanismos que tengan por objeto que todas aquellas personas que intervengan en cualquier fase del tratamiento de los datos personales, guarden confidencialidad respecto de stos, obligacin que subsistir an despus de finalizar sus relaciones con el mismo. Lo anterior, sin menoscabo de lo establecido en la ley de transparencia y dems disposiciones que resulten aplicables en la materia.





41

Artculo 45. Publicacin de directrices, recomendaciones y mejores prcticas

El instituto podr publicar directrices, recomendaciones y mejores prcticas en materia de seguridad de los datos personales, de acuerdo con los estndares nacionales e internacionales actuales en la materia.

TTULO TERCERO

DERECHOS DE LOS TITULARES Y SU EJERCICIO

CAPTULO I Derechos de acceso, rectificacin, cancelacin y oposicin

Artculo 46. Solicitud de acceso, rectificacin, cancelacin u oposicin

En todo momento el titular o su representante podrn solicitar al responsable, el acceso, rectificacin, cancelacin u oposicin al tratamiento de los datos personales que le conciernen, de conformidad con lo establecido en este ttulo. El ejercicio de cualquiera de los derechos ARCO no es requisito previo, ni impide el ejercicio de otro. Artculo 47. Derecho de acceso

El titular tendr derecho de acceder a sus datos personales que obren en posesin del responsable, as como conocer la informacin relacionada con las condiciones y generalidades de su tratamiento. Artculo 48. Derecho de rectificacin

El titular tendr derecho a solicitar al responsable la rectificacin o correccin de sus datos personales, cuando stos resulten ser inexactos, incompletos o no se encuentren actualizados. En este caso, el responsable deber adoptar todas aquellas medidas razonables segn corresponda, tambin por los terceros a quienes se los hubiere transferido. Artculo 49. Derecho de cancelacin

El titular tendr derecho a solicitar la cancelacin de sus datos personales de los archivos, registros, expedientes y sistemas del responsable, a fin de que los mismos ya no estn en su posesin y dejen de ser tratados por este ltimo. Artculo 50. Derecho de oposicin

El titular podr oponerse al tratamiento de sus datos personales o exigir que se cese en el mismo, cuando:





42

I. Aun siendo lcito el tratamiento, el mismo debe cesar para evitar que su persistencia cause un dao o perjuicio al titular.

II. Sus datos personales sean objeto de un tratamiento automatizado, el cual le

produzca efectos jurdicos no deseados o afecte de manera significativa sus intereses, derechos o libertades, y estn destinados a evaluar, sin intervencin humana, determinados aspectos personales del mismo o analizar o predecir, en particular, su rendimiento profesional, situacin econmica, estado de salud, preferencias sexuales, fiabilidad o comportamiento.

CAPTULO II

Ejercicio de los derechos de acceso, rectificacin, cancelacin y oposicin Artculo 51. Recepcin y trmite de solicitudes

La recepcin y trmite de las solicitudes para el ejercicio de los derechos ARCO que se formulen a los responsables, se sujetar al procedimiento establecido en este ttulo y dems disposiciones que resulten aplicables en la materia. Artculo 52. Ejercicio de los derechos ARCO

Para el ejercicio de los derechos ARCO ser necesario acreditar la identidad del titular, o en su caso, la identidad y personalidad con la que acte el representante. El ejercicio de los derechos ARCO por persona distinta a su titular o a su representante, ser posible, excepcionalmente, en aquellos supuestos previstos por disposicin legal, o en su caso, por mandato judicial. En el ejercicio de los derechos ARCO de personas menores de edad o de personas que se encuentren en estado de interdiccin o incapacidad de conformidad con las leyes civiles, se estar a la

Ley de Protección de Datos Personales en Posesión de...

Documents

Transcript of Ley de Protección de Datos Personales en Posesión de...