“LFDPPP”
LEY FEDERAL DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE LOS PARTICULARES
CAPÍTULO I
Disposiciones Generales
Artículo 1.- La presente Ley es de orden público y de
observancia general en toda la República y tiene por objeto la protección de
los datos personales en posesión de los particulares, con la finalidad de
regular su tratamiento legítimo, controlado e informado, a efecto de garantizar
la privacidad y el derecho a la autodeterminación informativa de las personas.
Artículo 2.- Son sujetos regulados por esta Ley, los
particulares sean personas físicas o morales de carácter privado que lleven a
cabo el tratamiento de datos personales, con excepción de:
I. Las sociedades de información crediticia en los
supuestos de la Ley para Regular las Sociedades de Información Crediticia y
demás disposiciones aplicables, y
II. Las personas que lleven a cabo la recolección y
almacenamiento de datos personales, que sea para uso exclusivamente personal, y
sin fines de divulgación o utilización comercial.
Artículo 3.- Para los efectos de esta Ley, se entenderá
por:
I. Aviso de Privacidad: Documento físico, electrónico o en
cualquier otro formato generado por el responsable que es puesto a disposición
del titular, previo al tratamiento de sus datos personales, de conformidad con
el artículo 15 de la presente Ley.
II. Bases de datos: El conjunto ordenado de datos
personales referentes a una persona identificada o identificable.
III. Bloqueo: La identificación y conservación de datos
personales una vez cumplida la finalidad para la cual fueron recabados, con el
único propósito de determinar posibles responsabilidades en relación con su
tratamiento, hasta el plazo de prescripción legal o contractual de éstas.
Durante dicho periodo, los datos personales no podrán ser objeto de tratamiento
y transcurrido éste, se procederá a su cancelación en la base de datos que
corresponde.
IV. Consentimiento: Manifestación de la voluntad del
titular de los datos mediante la cual se efectúa el tratamiento de los mismos.
V. Datos personales: Cualquier información concerniente a
una persona física identificada o identificable.
VI. Datos personales sensibles: Aquellos datos personales
que afecten a la esfera más íntima de su titular, o cuya utilización indebida
pueda dar origen a discriminación o conlleve un riesgo grave para éste. En
particular, se consideran sensibles aquellos que puedan revelar aspectos como
origen racial o étnico, estado de salud presente y futuro, información
genética, creencias religiosas, filosóficas y morales, afiliación sindical,
opiniones políticas, preferencia sexual.
VII. Días: Días hábiles.
VIII. Disociación: El procedimiento mediante el cual los
datos personales no pueden asociarse al titular ni permitir, por su estructura,
contenido o grado de desagregación, la identificación del mismo.
IX. Encargado: La persona física o jurídica que sola o
conjuntamente con otras trate datos personales por cuenta del responsable.
X. Fuente de acceso público: Aquellas bases de datos cuya
consulta puede ser realizada por cualquier persona, sin más requisito que, en
su caso, el pago de una contraprestación, de conformidad con lo señalado por el
Reglamento de esta Ley.
XI. Instituto: Instituto Federal de Acceso a la Información
y Protección de Datos, a que hace referencia la Ley Federal de Transparencia y
Acceso a la Información Pública Gubernamental.
XII. Ley: Ley Federal de Protección de Datos Personales en
Posesión de los Particulares.
XIII. Reglamento: El Reglamento de la Ley Federal de
Protección de Datos Personales en Posesión de los Particulares.
XIV. Responsable: Persona física o moral de carácter
privado que decide sobre el tratamiento de datos personales.
XV. Secretaría: Secretaría de Economía.
XVI. Tercero: La persona física o moral, nacional o
extranjera, distinta del titular o del responsable de los datos. XVII. Titular:
La persona física a quien corresponden los datos personales.
XVII. Titular: La persona física a quien corresponden los
datos personales.
XVIII. Tratamiento: La obtención, uso, divulgación o
almacenamiento de datos personales, por cualquier medio. El uso abarca
cualquier acción de acceso, manejo, aprovechamiento, transferencia o
disposición de datos personales.
XIX. Transferencia: Toda comunicación de datos realizada a
persona distinta del responsable o encargado del tratamiento.
Artículo 4.- Los principios y derechos previstos en esta
Ley, tendrán como límite en cuanto a su observancia y ejercicio, la protección
de la seguridad nacional, el orden, la seguridad y la salud públicos, así como
los derechos de terceros.
Artículo 5.- A falta de disposición expresa en esta Ley, se
aplicarán de manera supletoria las disposiciones del Código Federal de
Procedimientos Civiles y de la Ley Federal de Procedimiento Administrativo.
Para la substanciación de los procedimientos de protección
de derechos, de verificación e imposición de sanciones se observarán las
disposiciones contenidas en la Ley Federal de Procedimiento Administrativo.
CAPÍTULO II
De los Principios de Protección de Datos Personales
Artículo 6.- Los responsables en el tratamiento de datos
personales, deberán observar los principios de licitud, consentimiento,
información, calidad, finalidad, lealtad, proporcionalidad y responsabilidad,
previstos en la Ley.
Artículo 7.- Los datos personales deberán recabarse y
tratarse de manera lícita conforme a las disposiciones establecidas por esta
Ley y demás normatividad aplicable.
La obtención de datos personales no debe hacerse a través
de medios engañosos o fraudulentos.
En todo tratamiento de datos personales, se presume que
existe la expectativa razonable de privacidad, entendida como la confianza que
deposita cualquier persona en otra, respecto de que los datos personales
proporcionados entre ellos serán tratados conforme a lo que acordaron las
partes en los términos establecidos por esta Ley.
Artículo 8.- Todo tratamiento de datos personales estará
sujeto al consentimiento de su titular, salvo las excepciones previstas por la
presente Ley.
El consentimiento será expreso cuando la voluntad se
manifieste verbalmente, por escrito, por medios electrónicos, ópticos o por
cualquier otra tecnología, o por signos inequívocos.
Se entenderá que el titular consiente tácitamente el
tratamiento de sus datos, cuando habiéndose puesto a su disposición el aviso de
privacidad, no manifieste su oposición.
Los datos financieros o patrimoniales requerirán el
consentimiento expreso de su titular, salvo las excepciones a que se refieren
los artículos 10 y 37 de la presente Ley.
El consentimiento podrá ser revocado en cualquier momento
sin que se le atribuyan efectos retroactivos. Para revocar el consentimiento,
el responsable deberá, en el aviso de privacidad, establecer los mecanismos y
procedimientos para ello.
Artículo 9.- Tratándose de datos personales sensibles, el
responsable deberá obtener el consentimiento expreso y por escrito del titular
para su tratamiento, a través de su firma autógrafa, firma electrónica, o
cualquier mecanismo de autenticación que al efecto se establezca.
No podrán crearse bases de datos que contengan datos
personales sensibles, sin que se justifique la creación de las mismas para
finalidades legítimas, concretas y acordes con las actividades o fines
explícitos que persigue el sujeto regulado.
Artículo 10.- No será necesario el consentimiento para el
tratamiento de los datos personales cuando:
I. Esté previsto en una Ley;
II. Los datos figuren en fuentes de acceso público;
III. Los datos personales se sometan a un procedimiento
previo de disociación;
IV. Tenga el propósito de cumplir obligaciones derivadas de
una relación jurídica entre el titular y el responsable;
V. Exista una situación de emergencia que potencialmente
pueda dañar a un individuo en su persona o en sus bienes;
VI. Sean indispensables para la atención médica, la
prevención, diagnóstico, la prestación de asistencia sanitaria, tratamientos
médicos o la gestión de servicios sanitarios, mientras el titular no esté en
condiciones de otorgar el consentimiento, en los términos que establece la Ley
General de Salud y demás disposiciones jurídicas aplicables y que dicho
tratamiento de datos se realice por una persona sujeta al secreto profesional u
obligación equivalente, o
VII. Se dicte resolución de autoridad competente.
Artículo 11.- El responsable procurará que los datos
personales contenidos en las bases de datos sean pertinentes, correctos y
actualizados para los fines para los cuales fueron recabados.
Cuando los datos de carácter personal hayan dejado de ser
necesarios para el cumplimiento de las finalidades previstas por el aviso de
privacidad y las disposiciones legales aplicables, deberán ser cancelados.
El responsable de la base de datos estará obligado a
eliminar la información relativa al incumplimiento de obligaciones contractuales,
una vez que transcurra un plazo de setenta y dos meses, contado a partir de la
fecha calendario en que se presente el mencionado incumplimiento.
Artículo 12.- El tratamiento de datos personales deberá
limitarse al cumplimiento de las finalidades previstas en el aviso de
privacidad. Si el responsable pretende tratar los datos para un fin distinto
que no resulte compatible o análogo a los fines establecidos en aviso de
privacidad, se requerirá obtener nuevamente el consentimiento del titular.
Artículo 13.- El tratamiento de datos personales será el
que resulte necesario, adecuado y relevante en relación con las finalidades
previstas en el aviso de privacidad. En particular para datos personales
sensibles, el responsable deberá realizar esfuerzos razonables para limitar el
periodo de tratamiento de los mismos a efecto de que sea el mínimo
indispensable.
Artículo 14.- El responsable velará por el cumplimiento de
los principios de protección de datos personales establecidos por esta Ley,
debiendo adoptar las medidas necesarias para su aplicación. Lo anterior
aplicará aún y cuando estos datos fueren tratados por un tercero a solicitud
del responsable. El responsable deberá tomar las medidas necesarias y
suficientes para garantizar que el aviso de privacidad dado a conocer al
titular, sea respetado en todo momento por él o por terceros con los que guarde
alguna relación jurídica.
Artículo 15.- El responsable tendrá la obligación de
informar a los titulares de los datos, la información que se recaba de ellos y
con qué fines, a través del aviso de privacidad.
Artículo 16.- El aviso de privacidad deberá contener, al
menos, la siguiente información:
I. La identidad y domicilio del responsable que los recaba;
II. Las finalidades del tratamiento de datos;
III. Las opciones y medios que el responsable ofrezca a los
titulares para limitar el uso o divulgación de los datos;
IV. Los medios para ejercer los derechos de acceso,
rectificación, cancelación u oposición, de conformidad con lo dispuesto en esta
Ley;
V. En su caso, las transferencias de datos que se efectúen,
y
VI. El procedimiento y medio por el cual el responsable
comunicará a los titulares de cambios al aviso de privacidad, de conformidad
con lo previsto en esta Ley.
En el caso de datos personales sensibles, el aviso de
privacidad deberá señalar expresamente que se trata de este tipo de datos.
Artículo 17.- El aviso de privacidad debe ponerse a
disposición de los titulares a través de formatos impresos, digitales,
visuales, sonoros o cualquier otra tecnología, de la siguiente manera:
I. Cuando los datos personales hayan sido obtenidos
personalmente del titular, el aviso de privacidad deberá ser facilitado en el
momento en que se recaba el dato de forma clara y fehaciente, a través de los
formatos por los que se recaban, salvo que se hubiera facilitado el aviso con
anterioridad, y
II. Cuando los datos personales sean obtenidos directamente
del titular por cualquier medio electrónico, óptico, sonoro, visual, o a través
de cualquier otra tecnología, el responsable deberá proporcionar al titular de
manera inmediata, al menos la información a que se refiere las fracciones I y
II del artículo anterior, así como proveer los mecanismos para que el titular
conozca el texto completo del aviso de privacidad.
Artículo 18.- Cuando los datos no hayan sido obtenidos
directamente del titular, el responsable deberá darle a conocer el cambio en el
aviso de privacidad.
No resulta aplicable lo establecido en el párrafo anterior,
cuando el tratamiento sea con fines históricos, estadísticos o científicos. Los
responsables no adoptarán medidas de seguridad menores a aquellas que mantengan
para el manejo de su información. Asimismo se tomará en cuenta el riesgo
existente, las posibles consecuencias para los titulares, la sensibilidad de
los datos y el desarrollo tecnológico.
Cuando resulte imposible dar a conocer el aviso de
privacidad al titular o exija esfuerzos desproporcionados, en consideración al
número de titulares, o a la antigüedad de los datos, previa autorización del
Instituto, el responsable podrá instrumentar medidas compensatorias en términos
del Reglamento de esta Ley.
Artículo 19.- Todo responsable que lleve a cabo tratamiento
de datos personales deberá establecer y mantener medidas de seguridad
administrativas, técnicas y físicas que permitan proteger los datos personales
contra daño, pérdida, alteración, destrucción o el uso, acceso o tratamiento no
autorizado.
Los responsables no adoptarán medidas de seguridad menores
a aquellas que mantengan para el manejo de su información. Asimismo se tomará
en cuenta el riesgo existente, las posibles consecuencias para los titulares,
la sensibilidad de los datos y el desarrollo tecnológico.
Artículo 20.- Las vulneraciones de seguridad ocurridas en
cualquier fase del tratamiento que afecten de forma significativa los derechos
patrimoniales o morales de los titulares, serán informadas de forma inmediata
por el responsable al titular, a fin de que este último pueda tomar las medidas
correspondientes a la defensa de sus derechos.
Artículo 21.- El responsable o terceros que intervengan en
cualquier fase del tratamiento de datos personales deberán guardar
confidencialidad respecto de éstos, obligación que subsistirá aun después de
finalizar sus relaciones con el titular o, en su caso, con el responsable.
CAPÍTULO III
De los Derechos de los Titulares de Datos Personales
Artículo 22.- Cualquier titular, o en su caso su
representante legal, podrá ejercer los derechos de acceso, rectificación,
cancelación y oposición previstos en la presente Ley. El ejercicio de
cualquiera de ellos no es requisito previo ni impide el ejercicio de otro. Los
datos personales deben ser resguardados de tal manera que permitan el ejercicio
sin dilación de estos derechos.
Artículo 23.- Los titulares tienen derecho a acceder a sus
datos personales que obren en poder del responsable, así como conocer el Aviso
de Privacidad al que está sujeto el tratamiento.
Artículo 24.- El titular de los datos tendrá derecho a
rectificarlos cuando sean inexactos o incompletos.
Artículo 25.- El titular tendrá en todo momento el derecho
a cancelar sus datos personales.
La cancelación de datos personales dará lugar a un periodo
de bloqueo tras el cual se procederá a la supresión del dato. El responsable
podrá conservarlos exclusivamente para efectos de las responsabilidades nacidas
del tratamiento. El periodo de bloqueo será equivalente al plazo de
prescripción de las acciones derivadas de la relación jurídica que funda el
tratamiento en los términos de la Ley aplicable en la materia.
Una vez cancelado el dato se dará aviso a su titular.
Cuando los datos personales hubiesen sido transmitidos con
anterioridad a la fecha de rectificación o cancelación y sigan siendo tratados
por terceros, el responsable deberá hacer de su conocimiento dicha solicitud de
rectificación o cancelación, para que proceda a efectuarla también.
Artículo 26.- El responsable no estará obligado a cancelar
los datos personales cuando:
I. Se refiera a las partes de un contrato privado, social o
administrativo y sean necesarios para su desarrollo y cumplimiento;
II. Deban ser tratados por disposición legal;
III. Obstaculice actuaciones judiciales o administrativas
vinculadas a obligaciones fiscales, la investigación y persecución de delitos o
la actualización de sanciones administrativas;
IV. Sean necesarios para proteger los intereses
jurídicamente tutelados del titular;
V. Sean necesarios para realizar una acción en función del
interés público;
VI. Sean necesarios para cumplir con una obligación
legalmente adquirida por el titular, y
VII. Sean objeto de tratamiento para la prevención o para
el diagnóstico médico o la gestión de servicios de salud, siempre que dicho
tratamiento se realice por un profesional de la salud sujeto a un deber de
secreto.
Artículo 27.- El titular tendrá derecho en todo momento y
por causa legítima a oponerse al tratamiento de sus datos. De resultar
procedente, el responsable no podrá tratar los datos relativos al titular.
CAPÍTULO IV
Del Ejercicio de los Derechos de Acceso, Rectificación, Cancelación y Oposición
Artículo 28.- El titular o su representante legal podrán
solicitar al responsable en cualquier momento el acceso, rectificación,
cancelación u oposición, respecto de los datos personales que le conciernen.
Artículo 29.- La solicitud de acceso, rectificación,
cancelación u oposición deberá contener y acompañar lo siguiente:
I. El nombre del titular y domicilio u otro medio para
comunicarle la respuesta a su solicitud;
II. Los documentos que acrediten la identidad o, en su
caso, la representación legal del titular;
III. La descripción clara y precisa de los datos personales
respecto de los que se busca ejercer alguno de los derechos antes mencionados,
y
IV. Cualquier otro elemento o documento que facilite la
localización de los datos personales.
Artículo 30.- Todo responsable deberá designar a una
persona, o departamento de datos personales, quien dará trámite a las
solicitudes de los titulares, para el ejercicio de los derechos a que se
refiere la presente Ley. Asimismo fomentará la protección de datos personales
al interior de la organización.
Artículo 31.- En el caso de solicitudes de rectificación de
datos personales, el titular deberá indicar, además de lo señalado en el
artículo anterior de esta Ley, las modificaciones a realizarse y aportar la
documentación que sustente su petición.
Artículo 32.- El responsable comunicará al titular, en un
plazo máximo de veinte días, contados desde la fecha en que se recibió la
solicitud de acceso, rectificación, cancelación u oposición, la determinación
adoptada, a efecto de que, si resulta procedente, se haga efectiva la misma
dentro de los quince días siguientes a la fecha en que se comunica la
respuesta. Tratándose de solicitudes de acceso a datos En el caso de que el
titular solicite el acceso a los datos a una persona que presume es el
responsable y ésta resulta no serlo, bastará con que así se le indique al
titular por cualquiera de los medios a que se refiere el párrafo anterior, para
tener por cumplida la solicitud de datos personales, procederá la entrega
previa acreditación de la identidad del solicitante o representante legal,
según corresponda.
Los plazos antes referidos podrán ser ampliados una sola vez
por un periodo igual, siempre y cuando así lo justifiquen las circunstancias
del caso.
Artículo 33.- La obligación de acceso a la información se
dará por cumplida cuando se pongan a disposición del titular los datos
personales; o bien, mediante la expedición de copias simples, documentos
electrónicos o cualquier otro medio que determine el responsable en el aviso de
privacidad.
En el caso de que el titular solicite el acceso a los datos
a una persona que presume es el responsable y ésta resulta no serlo, bastará
con que así se le indique al titular por cualquiera de los medios a que se
refiere el párrafo anterior, para tener por cumplida la solicitud.
Artículo 34.- El responsable podrá negar el acceso a los
datos personales, o a realizar la rectificación o cancelación o conceder la
oposición al tratamiento de los mismos, en los siguientes supuestos:
I. Cuando el solicitante no sea el titular de los datos
personales, o el representante legal no esté debidamente acreditado para ello;
II. Cuando en su base de datos, no se encuentren los datos
personales del solicitante;
III. Cuando se lesionen los derechos de un tercero;
IV. Cuando exista un impedimento legal, o la resolución de
una autoridad competente, que restrinja el acceso a los datos personales, o no
permita la rectificación, cancelación u oposición de los mismos, y
V. Cuando la rectificación, cancelación u oposición haya
sido previamente realizada.
La negativa a que se refiere este artículo podrá ser
parcial en cuyo caso el responsable efectuará el acceso, rectificación,
cancelación u oposición requerida por el titular.
En todos los casos anteriores, el responsable deberá
informar el motivo de su decisión y comunicarla al titular, o en su caso, al
representante legal, en los plazos establecidos para tal efecto, por el mismo
medio por el que se llevó a cabo la solicitud, acompañando, en su caso, las
pruebas que resulten pertinentes.
Artículo 35.- La entrega de los datos personales será
gratuita, debiendo cubrir el titular únicamente los gastos justificados de
envío o con el costo de reproducción en copias u otros formatos.
Dicho derecho se ejercerá por el titular en forma gratuita,
previa acreditación de su identidad ante el responsable. No obstante, si la
misma persona reitera su solicitud en un periodo menor a doce meses, los costos
no serán mayores a tres días de Salario Mínimo General Vigente en el Distrito
Federal, a menos que existan modificaciones sustanciales al aviso de privacidad
que motiven nuevas consultas.
El titular podrá presentar una solicitud de protección de
datos por la respuesta recibida o falta de respuesta del responsable, de
conformidad con lo establecido en el siguiente Capítulo.
CAPÍTULO V
De la Transferencia de Datos
Artículo 36.- Cuando el responsable pretenda transferir los
datos personales a terceros nacionales o extranjeros, distintos del encargado,
deberá comunicar a éstos el aviso de privacidad y las finalidades a las que el
titular sujetó su tratamiento.
El tratamiento de los datos se hará conforme a lo convenido
en el aviso de privacidad, el cual contendrá una cláusula en la que se indique
si el titular acepta o no la transferencia de sus datos, de igual manera, el
tercero receptor, asumirá las mismas obligaciones que correspondan al
responsable que transfirió los datos.
Artículo 37.- Las transferencias nacionales o
internacionales de datos podrán llevarse a cabo sin el consentimiento del
titular cuando se dé alguno de los siguientes supuestos:
I. Cuando la transferencia esté prevista en una Ley o
Tratado en los que México sea parte;
II. Cuando la transferencia sea necesaria para la
prevención o el diagnóstico médico, la prestación de asistencia sanitaria,
tratamiento médico o la gestión de servicios sanitarios;
III. Cuando la transferencia sea efectuada a sociedades
controladoras, subsidiarias o afiliadas bajo el control común del responsable,
o a una sociedad matriz o a cualquier sociedad del mismo grupo del responsable
que opere bajo los mismos procesos y políticas internas;
IV. Cuando la transferencia sea necesaria por virtud de un
contrato celebrado o por celebrar en interés del titular, por el responsable y
un tercero;
V. Cuando la transferencia sea necesaria o legalmente
exigida para la salvaguarda de un interés público, o para la procuración o
administración de justicia;
VI. Cuando la transferencia sea precisa para el
reconocimiento, ejercicio o defensa de un derecho en un proceso judicial, y
VII. Cuando la transferencia sea precisa para el
mantenimiento o cumplimiento de una relación jurídica entre el responsable y el
titular.
CAPÍTULO VI
De las Autoridades
Sección I
Del Instituto
Artículo 38.- El Instituto, para efectos de esta Ley,
tendrá por objeto difundir el conocimiento del derecho a la protección de datos
personales en la sociedad mexicana, promover su ejercicio y vigilar por la
debida observancia de las disposiciones previstas en la presente Ley y que
deriven de la misma; en particular aquellas relacionadas con el cumplimiento de
obligaciones por parte de los sujetos regulados por este ordenamiento.
Artículo 39.- El Instituto tiene las siguientes
atribuciones:
I. Vigilar y verificar el cumplimiento de las disposiciones
contenidas en esta Ley, en el ámbito de su competencia, con las excepciones
previstas por la legislación;
II. Interpretar en el ámbito administrativo la presente
Ley; VII. Cooperar con otras autoridades de supervisión y organismos nacionales
e internacionales, a efecto de coadyuvar en materia de protección de datos;
III. Proporcionar apoyo técnico a los responsables que lo
soliciten, para el cumplimiento de las obligaciones establecidas en la presente
Ley;
IV. Emitir los criterios y recomendaciones, de conformidad
con las disposiciones aplicables de esta Ley, para efectos de su funcionamiento
y operación;
V. Divulgar estándares y mejores prácticas internacionales
en materia de seguridad de la información, en atención a la naturaleza de los
datos; las finalidades del tratamiento, y las capacidades técnicas y económicas
del responsable;
VI. Conocer y resolver los procedimientos de protección de
derechos y de verificación señalados en esta Ley e imponer las sanciones según
corresponda;
VII. Cooperar con otras autoridades de supervisión y
organismos nacionales e internacionales, a efecto de coadyuvar en materia de
protección de datos;
VIII. Rendir al Congreso de la Unión un informe anual de
sus actividades;
IX. Acudir a foros internacionales en el ámbito de la
presente Ley;
X. Elaborar estudios de impacto sobre la privacidad previos
a la puesta en práctica de una nueva modalidad de tratamiento de datos
personales o a la realización de modificaciones sustanciales en tratamientos ya
existentes;
XI. Desarrollar, fomentar y difundir análisis, estudios e
investigaciones en materia de protección de datos personales en Posesión de los
Particulares y brindar capacitación a los sujetos obligados, y
XII. Las demás que le confieran esta Ley y demás
ordenamientos aplicables.
Sección II
De las
Autoridades Reguladoras
Artículo 40.- La presente Ley constituirá el marco
normativo que las dependencias deberán observar, en el ámbito de sus propias
atribuciones, para la emisión de la regulación que corresponda, con la
coadyuvancia del Instituto.
Artículo 41.- La Secretaría, para efectos de esta Ley,
tendrá como función difundir el conocimiento de las obligaciones en torno a la
protección de datos personales entre la iniciativa privada nacional e
internacional con actividad comercial en territorio mexicano; promoverá las mejores
prácticas comerciales en torno a la protección de los datos personales como
insumo de la economía digital, y el desarrollo económico nacional en su
conjunto.
Artículo 42.- En lo referente a las bases de datos de
comercio, la regulación que emita la Secretaría, únicamente será aplicable a
aquellas bases de datos automatizadas o que formen parte de un proceso de
automatización.
Artículo 43.- La Secretaría tiene las siguientes
atribuciones:
I. Difundir el conocimiento respecto a la protección de
datos personales en el ámbito comercial;
II. Fomentar las buenas prácticas comerciales en materia de
protección de datos personales; VII. Celebrar convenios con cámaras de
comercio, asociaciones y organismos empresariales en lo general, en materia de
protección de datos personales;
III. Emitir los lineamientos correspondientes para el
contenido y alcances de los avisos de privacidad en coadyuvancia con el
Instituto, a que se refiere la presente Ley;
IV. Emitir, en el ámbito de su competencia, las
disposiciones administrativas de carácter general a que se refiere el artículo
40, en coadyuvancia con el Instituto;
V. Fijar los parámetros necesarios para el correcto
desarrollo de los mecanismos y medidas de autorregulación a que se refiere el
artículo 44 de la presente Ley, incluido la promoción de Normas Mexicanas o
Normas Oficiales Mexicanas, en coadyuvancia con el Instituto;
VI. Llevar a cabo los registros de consumidores en materia
de datos personales y verificar su funcionamiento;
VII. Celebrar convenios con cámaras de comercio,
asociaciones y organismos empresariales en lo general, en materia de protección
de datos personales;
VIII. Diseñar e instrumentar políticas y coordinar la
elaboración de estudios para la modernización y operación eficiente del comercio
electrónico, así como para promover el desarrollo de la economía digital y las
tecnologías de la información en materia de protección de datos personales;
IX. Acudir a foros comerciales nacionales e internacionales
en materia de protección de datos personales, o en aquellos eventos de
naturaleza comercial, y
X. Apoyar la realización de eventos, que contribuyan a la
difusión de la protección de los datos personales.
Artículo 44.- Las personas físicas o morales podrán
convenir entre ellas o con organizaciones civiles o gubernamentales, nacionales
o extranjeras, esquemas de autorregulación vinculante en la materia, que
complementen lo dispuesto por la presente Ley. Dichos esquemas deberán contener
mecanismos para medir su eficacia en la protección de los datos, consecuencias
y medidas correctivas eficaces en caso de incumplimiento.
Los esquemas de autorregulación podrán traducirse en
códigos deontológicos o de buena práctica profesional, sellos de confianza u
otros mecanismos y contendrán reglas o estándares específicos que permitan
armonizar los tratamientos de datos efectuados por los adheridos y facilitar el
ejercicio de los derechos de los titulares. Dichos esquemas serán notificados
de manera simultánea a las autoridades sectoriales correspondientes y al
Instituto.
CAPÍTULO VII
Del Procedimiento de Protección de Derechos
Artículo 45.- El procedimiento se iniciará a instancia del
titular de los datos o de su representante legal, expresando con claridad el
contenido de su reclamación y de los preceptos de esta Ley que se consideran
vulnerados. La solicitud de protección de datos deberá presentarse ante el
Instituto dentro de los quince días siguientes a la fecha en que se comunique
la respuesta al titular por parte del responsable.
En el caso de que el titular de los datos no reciba
respuesta por parte del responsable, la solicitud de protección de datos podrá
ser presentada a partir de que haya vencido el plazo de respuesta previsto para
el responsable. En este caso, bastará que el titular de los datos acompañe a su
solicitud protección de datos el documento que pruebe la fecha en que presentó
la solicitud de acceso, rectificación, cancelación u oposición.
La solicitud de protección de datos también procederá en
los mismos términos cuando el responsable no entregue al titular los datos
personales solicitados; o lo haga en un formato incomprensible, se niegue a
efectuar modificaciones o correcciones a los datos personales, el titular no
esté conforme con la información entregada por considerar que es incompleta o
no corresponda a la información requerida.
Recibida la solicitud de protección de datos ante el
Instituto, se dará traslado de la misma al responsable, para que, en el plazo
de quince días, emita respuesta, ofrezca las pruebas que estime pertinentes y
manifieste por escrito lo que a su derecho convenga.
El Instituto admitirá las pruebas que estime pertinentes y
procederá a su desahogo. Asimismo, podrá solicitar del responsable las demás
pruebas que estime necesarias. Concluido el desahogo de las pruebas, el
Instituto notificará al responsable el derecho que le asiste para que, de
considerarlo necesario, presente sus alegatos dentro de los cinco días
siguientes a su notificación.
Para el debido desahogo del procedimiento, el Instituto
resolverá sobre la solicitud de protección de datos formulada, una vez analizadas
las pruebas y demás elementos de convicción que estime pertinentes, como pueden
serlo aquéllos que deriven de la o las audiencias que se celebren con las
partes.
El Reglamento de la Ley establecerá la forma, términos y
plazos conforme a los que se desarrollará el procedimiento de protección de
derechos.
Artículo 46.- La solicitud de protección de datos podrá
interponerse por escrito libre o a través de los formatos, del sistema
electrónico que al efecto proporcione el Instituto y deberá contener la
siguiente información:
I. El nombre del titular o, en su caso, el de su
representante legal, así como del tercero interesado, si lo hay;
II. El nombre del responsable ante el cual se presentó la
solicitud de acceso, rectificación, cancelación u oposición de datos
personales;
III. El domicilio para oír y recibir notificaciones;
IV. La fecha en que se le dio a conocer la respuesta del
responsable, salvo que el procedimiento inicie con base en lo previsto en el
artículo 50;
V. Los actos que motivan su solicitud de protección de
datos, y
VI. Los demás elementos que se considere procedente hacer
del conocimiento del Instituto.
La forma y términos en que deba acreditarse la identidad
del titular o bien, la representación legal se establecerán en el Reglamento.
Asimismo, a la solicitud de protección de datos deberá
acompañarse la solicitud y la respuesta que se recurre o, en su caso, los datos
que permitan su identificación. En el caso de falta de respuesta sólo será
necesario presentar la solicitud.
En el caso de que la solicitud de protección de datos se
interponga a través de medios que no sean electrónicos, deberá acompañarse de
las copias de traslado suficientes.
Artículo 47.- El plazo máximo para dictar la resolución en
el procedimiento de protección de derechos será de cincuenta días, contados a
partir de la fecha de presentación de la solicitud de protección de datos.
Cuando haya causa justificada, el Pleno del Instituto podrá ampliar por una vez
y hasta por un período igual este plazo.
Artículo 48.- En caso que la resolución de protección de
derechos resulte favorable al titular de los datos, se requerirá al responsable
para que, en el plazo de diez días siguientes a la notificación o cuando así se
justifique, uno mayor que fije la propia resolución, haga efectivo el ejercicio
de los derechos objeto de protección, debiendo dar cuenta por escrito de dicho
cumplimiento al Instituto dentro de los siguientes diez días.
Artículo 49.- En caso de que la solicitud de protección de
datos no satisfaga alguno de los requisitos a que se refiere el artículo 46 de
esta Ley, y el Instituto no cuente con elementos para subsanarlo, se prevendrá
al titular de los datos dentro de los veinte días hábiles siguientes a la
presentación de la solicitud de protección de datos, por una sola ocasión, para
que subsane las omisiones dentro de un plazo de cinco días. Transcurrido el
plazo sin desahogar la prevención se tendrá por no presentada la solicitud de
protección de datos. La prevención tendrá el efecto de interrumpir el plazo que
tiene el Instituto para resolver la solicitud de protección de datos.
Artículo 50.- El Instituto suplirá las deficiencias de la
queja en los casos que así se requiera, siempre y cuando no altere el contenido
original de la solicitud de acceso, rectificación, cancelación u oposición de
datos personales, ni se modifiquen los hechos o peticiones expuestos en la
misma o en la solicitud de protección de datos.
Artículo 51.- Las resoluciones del Instituto podrán:
I. Sobreseer o desechar la solicitud de protección de datos
por improcedente, o
II. Confirmar, revocar o modificar la respuesta del
responsable.
Artículo 52.- La solicitud de protección de datos será
desechada por improcedente cuando:
I. El Instituto no sea competente;
II. El Instituto haya conocido anteriormente de la
solicitud de protección de datos contra el mismo acto y resuelto en definitiva
respecto del mismo recurrente;
III. Se esté tramitando ante los tribunales competentes
algún recurso o medio de defensa interpuesto por el titular que pueda tener por
efecto modificar o revocar el acto respectivo;
IV. Se trate de una solicitud de protección de datos
ofensiva o irracional, o
V. Sea extemporánea.
Artículo 53.- La solicitud de protección de datos será
sobreseída cuando:
I. El titular fallezca;
II. El titular se desista de manera expresa;
III. Admitida la solicitud de protección de datos,
sobrevenga una causal de improcedencia, y Si la resolución del Instituto a que
se refiere el párrafo anterior determina la procedencia de la solicitud, el
responsable procederá a su cumplimiento, sin costo alguno para el titular,
debiendo cubrir el responsable todos los costos generados por la reproducción
correspondiente.
IV. Por cualquier motivo quede sin materia la misma.
Artículo 54.- El Instituto podrá en cualquier momento del
procedimiento buscar una conciliación entre el titular de los datos y el
responsable.
De llegarse a un acuerdo de conciliación entre ambos, éste
se hará constar por escrito y tendrá efectos vinculantes. La solicitud de
protección de datos quedará sin materia y el Instituto verificará el
cumplimiento del acuerdo respectivo.
Para efectos de la conciliación a que se alude en el
presente ordenamiento, se estará al procedimiento que se establezca en el
Reglamento de esta Ley.
Artículo 55.- Interpuesta la solicitud de protección de datos
ante la falta de respuesta a una solicitud en ejercicio de los derechos de
acceso, rectificación, cancelación u oposición por parte del responsable, el
Instituto dará vista al citado responsable para que, en un plazo no mayor a
diez días, acredite haber respondido en tiempo y forma la solicitud, o bien dé
respuesta a la misma. En caso de que la respuesta atienda a lo solicitado, la
solicitud de protección de datos se considerará improcedente y el Instituto
deberá sobreseerlo.
En el segundo caso, el Instituto emitirá su resolución con
base en el contenido de la solicitud original y la respuesta del responsable
que alude el párrafo anterior.
Si la resolución del Instituto a que se refiere el párrafo
anterior determina la procedencia de la solicitud, el responsable procederá a
su cumplimiento, sin costo alguno para el titular, debiendo cubrir el
responsable todos los costos generados por la reproducción correspondiente.
Artículo 56.- Contra las resoluciones del Instituto, los
particulares podrán promover el juicio de nulidad ante el Tribunal Federal de
Justicia Fiscal y Administrativa.
Artículo 57.- Todas las resoluciones del Instituto serán
susceptibles de difundirse públicamente en versiones públicas, eliminando
aquellas referencias al titular de los datos que lo identifiquen o lo hagan
identificable.
Artículo 58.- Los titulares que consideren que han sufrido
un daño o lesión en sus bienes o derechos como consecuencia del incumplimiento
a lo dispuesto en la presente Ley por el responsable o el encargado, podrán
ejercer los derechos que estimen pertinentes para efectos de la indemnización
que proceda, en términos de las disposiciones legales correspondientes.
CAPÍTULO VIII
Del Procedimiento de Verificación
Artículo 59.- El Instituto verificará el cumplimiento de la
presente Ley y de la normatividad que de ésta derive. La verificación podrá
iniciarse de oficio o a petición de parte.
La verificación de oficio procederá cuando se dé el
incumplimiento a resoluciones dictadas con motivo de procedimientos de
protección de derechos a que se refiere el Capítulo anterior o se presuma
fundada y motivadamente la existencia de violaciones a la presente Ley.
Artículo 60.- En el procedimiento de verificación el
Instituto tendrá acceso a la información y documentación que considere
necesarias, de acuerdo a la resolución que lo motive. El Instituto, una vez
analizadas las pruebas y demás elementos de convicción que estime pertinentes,
resolverá en definitiva dentro de los cincuenta días siguientes a la fecha en
que inició el procedimiento sancionador. Dicha resolución deberá ser notificada
a las partes.
Los servidores públicos federales estarán obligados a
guardar confidencialidad sobre la información que conozca derivada de la
verificación correspondiente.
El Reglamento desarrollará la forma, términos y plazos en
que se sustanciará el procedimiento a que se refiere el presente artículo.
CAPÍTULO IX
Del Procedimiento de Imposición de Sanciones
Artículo 61.- Si con motivo del desahogo del procedimiento
de protección de derechos o del procedimiento de verificación que realice el
Instituto, éste tuviera conocimiento de un presunto incumplimiento de alguno de
los principios o disposiciones de esta Ley, iniciará el procedimiento a que se
refiere este Capítulo, a efecto de determinar la sanción que corresponda.
Artículo 62.- El procedimiento de imposición de sanciones
dará comienzo con la notificación que efectúe el Instituto al presunto
infractor, sobre los hechos que motivaron el inicio del procedimiento y le
otorgará un término de quince días para que rinda pruebas y manifieste por
escrito lo que a su derecho convenga. En caso de no rendirlas, el Instituto
resolverá conforme a los elementos de convicción de que disponga.
El Instituto admitirá las pruebas que estime pertinentes y
procederá a su desahogo. Asimismo, podrá solicitar del presunto infractor las
demás pruebas que estime necesarias. Concluido el desahogo de las pruebas, el
Instituto notificará al presunto infractor el derecho que le asiste para que,
de considerarlo necesario, presente sus alegatos dentro de los cinco días
siguientes a su notificación.
El Instituto, una vez analizadas las pruebas y demás
elementos de convicción que estime pertinentes, resolverá en definitiva dentro
de los cincuenta días siguientes a la fecha en que inició el procedimiento
sancionador. Dicha resolución deberá ser notificada a las partes.
Cuando haya causa justificada, el Pleno del Instituto podrá
ampliar por una vez y hasta por un período igual este plazo.
El Reglamento desarrollará la forma, términos y plazos en
que se sustanciará el procedimiento de imposición de sanciones, incluyendo
presentación de pruebas y alegatos, la celebración de audiencias y el cierre de
instrucción.
CAPÍTULO X
De las Infracciones y Sanciones
Artículo 63.- Constituyen infracciones a esta Ley, las
siguientes conductas llevadas a cabo por el responsable:
I. No cumplir con la solicitud del titular para el acceso,
rectificación, cancelación u oposición al tratamiento de sus datos personales,
sin razón fundada, en los términos previstos en esta Ley;
II. Actuar con negligencia o dolo en la tramitación y
respuesta de solicitudes de acceso, rectificación, cancelación u oposición de
datos personales;
III. Declarar dolosamente la inexistencia de datos
personales, cuando exista total o parcialmente en las bases de datos del
responsable; XI. Vulnerar la seguridad de bases de datos, locales, programas o
equipos, cuando resulte imputable al responsable;
IV. Dar tratamiento a los datos personales en contravención
a los principios establecidos en la presente Ley;
V. Omitir en el aviso de privacidad, alguno o todos los
elementos a que se refiere el artículo 16 de esta Ley;
VI. Mantener datos personales inexactos cuando resulte
imputable al responsable, o no efectuar las rectificaciones o cancelaciones de
los mismos que legalmente procedan cuando resulten afectados los derechos de
los titulares;
VII. No cumplir con el apercibimiento a que se refiere la
fracción I del artículo 64;
VIII. Incumplir el deber de confidencialidad establecido en
el artículo 21 de esta Ley;
IX. Cambiar sustancialmente la finalidad originaria del
tratamiento de los datos, sin observar lo dispuesto por el artículo 12;
X. Transferir datos a terceros sin comunicar a éstos el
aviso de privacidad que contiene las limitaciones a que el titular sujetó la
divulgación de los mismos;
XI. Vulnerar la seguridad de bases de datos, locales,
programas o equipos, cuando resulte imputable al responsable;
XII. Llevar a cabo la transferencia o cesión de los datos
personales, fuera de los casos en que esté permitida por la Ley;
XIII. Recabar o transferir datos personales sin el
consentimiento expreso del titular, en los casos en que éste sea exigible;
XIV. Obstruir los actos de verificación de la autoridad;
XV. Recabar datos en forma engañosa y fraudulenta;
XVI. Continuar con el uso ilegítimo de los datos personales
cuando se ha solicitado el cese del mismo por el Instituto o los titulares;
XVII. Tratar los datos personales de manera que se afecte o
impida el ejercicio de los derechos de acceso, rectificación, cancelación y
oposición establecidos en el artículo 16 de la Constitución Política de los
Estados Unidos Mexicanos;
XVIII. Crear bases de datos en contravención a lo dispuesto
por el artículo 9, segundo párrafo de esta Ley, y
XIX. Cualquier incumplimiento del responsable a las
obligaciones establecidas a su cargo en términos de lo previsto en la presente
Ley.
Artículo 64.- Las infracciones a la presente Ley serán
sancionadas por el Instituto con:
I. El apercibimiento para que el responsable lleve a cabo
los actos solicitados por el titular, en los términos previstos por esta Ley,
tratándose de los supuestos previstos en la fracción I del artículo anterior;
II. Multa de 100 a 160,000 días de salario mínimo vigente
en el Distrito Federal, en los casos previstos en las fracciones II a VII del
artículo anterior;
III. Multa de 200 a 320,000 días de salario mínimo vigente
en el Distrito Federal, en los casos previstos en las fracciones VIII a XVIII
del artículo anterior, y
IV. En caso de que de manera reiterada persistan las
infracciones citadas en los incisos anteriores, se impondrá una multa adicional
que irá de 100 a 320,000 días de salario mínimo vigente en el Distrito Federal.
En tratándose de infracciones cometidas en el tratamiento de datos sensibles,
las sanciones podrán incrementarse hasta por dos veces, los montos
establecidos.
Artículo 65.- El Instituto fundará y motivará sus
resoluciones, considerando:
I. La naturaleza del dato;
II. La notoria improcedencia de la negativa del
responsable, para realizar los actos solicitados por el titular, en términos de
esta Ley;
III. El carácter intencional o no, de la acción u omisión
constitutiva de la infracción;
IV. La capacidad económica del responsable, y
V. La reincidencia.
Artículo 66.- Las sanciones que se señalan en este Capítulo
se impondrán sin perjuicio de la responsabilidad civil o penal que resulte.
CAPÍTULO XI
De los Delitos en Materia del Tratamiento Indebido de Datos Personales
Artículo 67.- Se impondrán de tres meses a tres años de
prisión al que estando autorizado para tratar datos personales, con ánimo de
lucro, provoque una vulneración de seguridad a las bases de datos bajo su
custodia.
Artículo 68.- Se sancionará con prisión de seis meses a
cinco años al que, con el fin de alcanzar un lucro indebido, trate datos
personales mediante el engaño, aprovechándose del error en que se encuentre el
titular o la persona autorizada para transmitirlos.
Artículo 69.- Tratándose de datos personales sensibles, las
penas a que se refiere este Capítulo se duplicarán.
TRANSITORIOS
PRIMERO.- El presente Decreto entrará en vigor al día
siguiente al de su publicación en el Diario Oficial de la Federación.
SEGUNDO.- El Ejecutivo Federal expedirá el Reglamento de
esta Ley dentro del año siguiente a su entrada en vigor.
TERCERO.- Los responsables designarán a la persona o
departamento de datos personales a que se refiere el artículo 30 de la Ley y
expedirán sus avisos de privacidad a los titulares de datos personales de
conformidad a lo dispuesto por los artículos 16 y 17 a más tardar un año
después de la entrada en vigor de la presente Ley.
CUARTO.- Los titulares podrán ejercer ante los responsables
sus derechos de acceso, rectificación, cancelación y oposición contemplados en
el Capítulo IV de la Ley; así como dar inicio, en su caso, al procedimiento de
protección de derechos establecido en el Capítulo VII de la misma, dieciocho
meses después de la entrada en vigor de la Ley.
QUINTO.- En cumplimiento a lo dispuesto por el artículo
tercero transitorio del Decreto por el que se adiciona la fracción XXIX-O al
artículo 73 de la Constitución Política de los Estados Unidos Mexicanos,
publicado en el Diario Oficial de la Federación el 30 de abril de 2009, las
disposiciones locales en materia de protección de datos personales en posesión
de los particulares se abrogan, y se derogan las demás disposiciones que se
opongan a la presente Ley.
SEXTO.- Las referencias que con anterioridad a la entrada
en vigor del presente Decreto, se hacen en las leyes, tratados y acuerdos
internacionales, reglamentos y demás ordenamientos al Instituto Federal de
Acceso a la Información Pública, en lo futuro se entenderán hechas al Instituto
Federal de Acceso a la Información y Protección de Datos Personales.
SÉPTIMO.- Las acciones que, en cumplimiento a lo dispuesto
en la Ley Federal de Protección de Datos Personales en Posesión de los
Particulares, corresponda realizar al Ejecutivo Federal, se sujetarán a los
presupuestos aprobados de las instituciones correspondientes y a las
disposiciones de la Ley Federal de Presupuesto y Responsabilidad Hacendaria.
OCTAVO.- El Presupuesto de Egresos de la Federación para el
Ejercicio Fiscal de 2011 considerará partidas suficientes para el adecuado
funcionamiento del Instituto Federal de Acceso a la Información y Protección de
Datos en las materias de esta Ley.
ARTICULO SEGUNDO. ……….
TRANSITORIO
ÚNICO.- El presente Decreto entrará en vigor al día
siguiente al de su publicación en el Diario Oficial de la Federación.
México, D.F., a 27 de abril de 2010.- Dip. Francisco Javier
Ramírez Acuña, Presidente.- Sen. Carlos Navarrete Ruiz, Presidente.- Dip.
Georgina Trujillo Zentella, Secretaria.- Sen. Renán Cleominio Zoreda Novelo,
Secretario.- Rúbricas."
En cumplimiento de lo dispuesto por la fracción I del
Artículo 89 de la Constitución Política de los Estados Unidos Mexicanos, y para
su debida publicación y observancia, expido el presente Decreto en la
Residencia del Poder Ejecutivo Federal, en la Ciudad de México, Distrito
Federal, a veintiocho de junio de dos mil diez.- Felipe de Jesús Calderón
Hinojosa.- Rúbrica.- El Secretario de Gobernación, Lic. Fernando Francisco
Gómez Mont Urueta.- Rúbrica.
CONCLUSIÓN
Bueno, en conclusión
como en todo, sabemos que siempre, siempre va a haber leyes que nos
rigen, ante alguna instancia o ante alguien pero siempre las va a haber, pero
nosotros como estudiantes de TI, es necesario que conozcamos cada una de las
layes para saber a qué nos enfrentamos, no podemos andar por ahí sin saber cuál
leyes y cuales no nos aplican, porque como bien sabemos nadie esta exento de
cometer algún delito, así que debemos de tener cuidado con todo lo que hacemos
y decimos siempre y cuando se trate de personas, información, etc. y en todo,
porque no sabemos cuándo y en qué momento nos aplicaran una ley y nosotros ni
en cuenta, por eso es importante que las conozcamos bien y detalladamente.
Bibliografía
diputados.
(2016). Obtenido de http://www.diputados.gob.mx/LeyesBiblio/pdf/LFPDPPP.pdf
No hay comentarios.:
Publicar un comentario