Beruflich Dokumente
Kultur Dokumente
Al margen un sello con el Escudo Nacional, que dice: Estados Unidos Mexicanos.- Presidencia de la Repblica. FELIPE DE JESS CALDERN HINOJOSA, Presidente de los Estados Unidos Mexicanos, a sus abitantes sabed: !ue el "onorable #ongreso de la Uni$n, se a ser%ido dirigirme el siguiente DECRETO "E& #'N(RE)' (ENERA& *E &') E)+A*') UN,*') ME-,#AN'), *E#RE+A: SE EXPIDE LA LEY FEDERAL DE PROTECCIN DE DATOS PERSONALES EN POSESIN DE LOS PARTICULARES Y SE REFORMAN LOS ARTCULOS 3, FRACCIONES II Y VII, Y 33, AS COMO LA DENOMINACIN DEL CAPTULO II, DEL TTULO SEGUNDO, DE LA LEY FEDERAL DE TRANSPARENCIA Y ACCESO A LA INFORMACIN PBLICA GUBERNAMENTAL. ARTCULO PRIMERO. )e expide la &e. /ederal de Protecci$n de *atos Personales en Posesi$n de los Particulares.
LEY FEDERAL DE PROTECCIN DE DATOS PERSONALES EN POSESIN DE LOS PARTICULARES CAPTULO I Di !" i#i"$% G%$%&'(%
A&)*#+(" ,.- &a presente &e. es de orden pblico . de obser%ancia general en toda la Repblica . tiene por ob0eto la protecci$n de los datos personales en posesi$n de los particulares, con la 1inalidad de regular su tratamiento leg2timo, controlado e in1ormado, a e1ecto de garanti3ar la pri%acidad . el derec o a la autodeterminaci$n in1ormati%a de las personas. A&)*#+(" ..- )on su0etos regulados por esta &e., los particulares sean personas 12sicas o morales de car4cter pri%ado que lle%en a cabo el tratamiento de datos personales, con excepci$n de: ,. ,,. &as sociedades de in1ormaci$n crediticia en los supuestos de la &e. para Regular las )ociedades de ,n1ormaci$n #rediticia . dem4s disposiciones aplicables, . &as personas que lle%en a cabo la recolecci$n . almacenamiento de datos personales, que sea para uso exclusi%amente personal, . sin 1ines de di%ulgaci$n o utili3aci$n comercial.
1 de 18
,.
A%iso de Pri%acidad: *ocumento 12sico, electr$nico o en cualquier otro 1ormato generado por el responsable que es puesto a disposici$n del titular, pre%io al tratamiento de sus datos personales, de con1ormidad con el art2culo 56 de la presente &e.. 7ases de datos: El con0unto ordenado de datos personales re1erentes a una persona identi1icada o identi1icable. 7loqueo: &a identi1icaci$n . conser%aci$n de datos personales una %e3 cumplida la 1inalidad para la cual 1ueron recabados, con el nico prop$sito de determinar posibles responsabilidades en relaci$n con su tratamiento, asta el pla3o de prescripci$n legal o contractual de 8stas. *urante dic o periodo, los datos personales no podr4n ser ob0eto de tratamiento . transcurrido 8ste, se proceder4 a su cancelaci$n en la base de datos que corresponde. #onsentimiento: Mani1estaci$n de la %oluntad del titular de los datos mediante la cual se e1ecta el tratamiento de los mismos. *atos personales: #ualquier in1ormaci$n concerniente a una persona 12sica identi1icada o identi1icable. *atos personales sensibles: Aquellos datos personales que a1ecten a la es1era m4s 2ntima de su titular, o cu.a utili3aci$n indebida pueda dar origen a discriminaci$n o conlle%e un riesgo gra%e para 8ste. En particular, se consideran sensibles aquellos que puedan re%elar aspectos como origen racial o 8tnico, estado de salud presente . 1uturo, in1ormaci$n gen8tica, creencias religiosas, 1ilos$1icas . morales, a1iliaci$n sindical, opiniones pol2ticas, pre1erencia sexual. *2as: *2as 4biles.
,,. ,,,.
,9. 9. 9,.
9,,.
9,,,. *isociaci$n: El procedimiento mediante el cual los datos personales no pueden asociarse al titular ni permitir, por su estructura, contenido o grado de desagregaci$n, la identi1icaci$n del mismo. ,-. -. Encargado: &a persona 12sica o 0ur2dica que sola o con0untamente con otras trate datos personales por cuenta del responsable. /uente de acceso pblico: Aquellas bases de datos cu.a consulta puede ser reali3ada por cualquier persona, sin m4s requisito que, en su caso, el pago de una contraprestaci$n, de con1ormidad con lo se:alado por el Reglamento de esta &e.. ,nstituto: ,nstituto /ederal de Acceso a la ,n1ormaci$n . Protecci$n de *atos, a que ace re1erencia la &e. /ederal de +ransparencia . Acceso a la ,n1ormaci$n Pblica (ubernamental. &e.: &e. /ederal de Protecci$n de *atos Personales en Posesi$n de los Particulares.
-,. -,,.
-,,,. Reglamento: El Reglamento de la &e. /ederal de Protecci$n de *atos Personales en Posesi$n de los Particulares. -,9. Responsable: Persona 12sica o moral de car4cter pri%ado que decide sobre el tratamiento de datos personales. -9. )ecretar2a: )ecretar2a de Econom2a. -9,. +ercero: &a persona 12sica o moral, nacional o extran0era, distinta del titular o del responsable de los datos.
2 de 18
-9,,. +itular: &a persona 12sica a quien corresponden los datos personales. -9,,,.+ratamiento: &a obtenci$n, uso, di%ulgaci$n o almacenamiento de datos personales, por cualquier medio. El uso abarca cualquier acci$n de acceso, mane0o, apro%ec amiento, trans1erencia o disposici$n de datos personales. -,-. +rans1erencia: +oda comunicaci$n de datos reali3ada a persona distinta del responsable o encargado del tratamiento. A&)*#+(" /.- &os principios . derec os pre%istos en esta &e., tendr4n como l2mite en cuanto a su obser%ancia . e0ercicio, la protecci$n de la seguridad nacional, el orden, la seguridad . la salud pblicos, as2 como los derec os de terceros. A&)*#+(" 0.- A 1alta de disposici$n expresa en esta &e., se aplicar4n de manera supletoria las disposiciones del #$digo /ederal de Procedimientos #i%iles . de la &e. /ederal de Procedimiento Administrati%o. Para la substanciaci$n de los procedimientos de protecci$n de derec os, de %eri1icaci$n e imposici$n de sanciones se obser%ar4n las disposiciones contenidas en la &e. /ederal de Procedimiento Administrati%o.
&os datos 1inancieros o patrimoniales requerir4n el consentimiento expreso de su titular, sal%o las excepciones a que se re1ieren los art2culos 5; . <= de la presente &e..
3 de 18
El consentimiento podr4 ser re%ocado en cualquier momento sin que se le atribu.an e1ectos retroacti%os. Para re%ocar el consentimiento, el responsable deber4, en el a%iso de pri%acidad, establecer los mecanismos . procedimientos para ello. A&)*#+(" 6.- +rat4ndose de datos personales sensibles, el responsable deber4 obtener el consentimiento expreso . por escrito del titular para su tratamiento, a tra%8s de su 1irma aut$gra1a, 1irma electr$nica, o cualquier mecanismo de autenticaci$n que al e1ecto se estable3ca. No podr4n crearse bases de datos que contengan datos personales sensibles, sin que se 0usti1ique la creaci$n de las mismas para 1inalidades leg2timas, concretas . acordes con las acti%idades o 1ines expl2citos que persigue el su0eto regulado. A&)*#+(" ,7.- No ser4 necesario el consentimiento para el tratamiento de los datos personales cuando: ,. ,,. ,,,. ,9. 9. 9,. Est8 pre%isto en una &e.> &os datos 1iguren en 1uentes de acceso pblico> &os datos personales se sometan a un procedimiento pre%io de disociaci$n> +enga el prop$sito de cumplir obligaciones deri%adas de una relaci$n 0ur2dica entre el titular . el responsable> Exista una situaci$n de emergencia que potencialmente pueda da:ar a un indi%iduo en su persona o en sus bienes> )ean indispensables para la atenci$n m8dica, la pre%enci$n, diagn$stico, la prestaci$n de asistencia sanitaria, tratamientos m8dicos o la gesti$n de ser%icios sanitarios, mientras el titular no est8 en condiciones de otorgar el consentimiento, en los t8rminos que establece la &e. (eneral de )alud . dem4s disposiciones 0ur2dicas aplicables . que dic o tratamiento de datos se realice por una persona su0eta al secreto pro1esional u obligaci$n equi%alente, o )e dicte resoluci$n de autoridad competente.
9,,.
A&)*#+(" ,,.- El responsable procurar4 que los datos personales contenidos en las bases de datos sean pertinentes, correctos . actuali3ados para los 1ines para los cuales 1ueron recabados. #uando los datos de car4cter personal a.an de0ado de ser necesarios para el cumplimiento de las 1inalidades pre%istas por el a%iso de pri%acidad . las disposiciones legales aplicables, deber4n ser cancelados. El responsable de la base de datos estar4 obligado a eliminar la in1ormaci$n relati%a al incumplimiento de obligaciones contractuales, una %e3 que transcurra un pla3o de setenta . dos meses, contado a partir de la 1ec a calendario en que se presente el mencionado incumplimiento. A&)*#+(" ,..- El tratamiento de datos personales deber4 limitarse al cumplimiento de las 1inalidades pre%istas en el a%iso de pri%acidad. )i el responsable pretende tratar los datos para un 1in distinto que no resulte compatible o an4logo a los 1ines establecidos en a%iso de pri%acidad, se requerir4 obtener nue%amente el consentimiento del titular. A&)*#+(" ,3.- El tratamiento de datos personales ser4 el que resulte necesario, adecuado . rele%ante en relaci$n con las 1inalidades pre%istas en el a%iso de pri%acidad. En particular para datos personales
4 de 18
sensibles, el responsable deber4 reali3ar es1uer3os ra3onables para limitar el periodo de tratamiento de los mismos a e1ecto de que sea el m2nimo indispensable. A&)*#+(" ,/.- El responsable %elar4 por el cumplimiento de los principios de protecci$n de datos personales establecidos por esta &e., debiendo adoptar las medidas necesarias para su aplicaci$n. &o anterior aplicar4 an . cuando estos datos 1ueren tratados por un tercero a solicitud del responsable. El responsable deber4 tomar las medidas necesarias . su1icientes para garanti3ar que el a%iso de pri%acidad dado a conocer al titular, sea respetado en todo momento por 8l o por terceros con los que guarde alguna relaci$n 0ur2dica. A&)*#+(" ,0.- El responsable tendr4 la obligaci$n de in1ormar a los titulares de los datos, la in1ormaci$n que se recaba de ellos . con qu8 1ines, a tra%8s del a%iso de pri%acidad. A&)*#+(" ,3.- El a%iso de pri%acidad deber4 contener, al menos, la siguiente in1ormaci$n: ,. ,,. ,,,. ,9. 9. 9,. &a identidad . domicilio del responsable que los recaba> &as 1inalidades del tratamiento de datos> &as opciones . medios que el responsable o1re3ca a los titulares para limitar el uso o di%ulgaci$n de los datos> &os medios para e0ercer los derec os de acceso, recti1icaci$n, cancelaci$n u oposici$n, de con1ormidad con lo dispuesto en esta &e.> En su caso, las trans1erencias de datos que se e1ecten, . El procedimiento . medio por el cual el responsable comunicar4 a los titulares de cambios al a%iso de pri%acidad, de con1ormidad con lo pre%isto en esta &e..
En el caso de datos personales sensibles, el a%iso de pri%acidad deber4 se:alar expresamente que se trata de este tipo de datos. A&)*#+(" ,4.- El a%iso de pri%acidad debe ponerse a disposici$n de los titulares a tra%8s de 1ormatos impresos, digitales, %isuales, sonoros o cualquier otra tecnolog2a, de la siguiente manera: ,. #uando los datos personales a.an sido obtenidos personalmente del titular, el a%iso de pri%acidad deber4 ser 1acilitado en el momento en que se recaba el dato de 1orma clara . 1e aciente, a tra%8s de los 1ormatos por los que se recaban, sal%o que se ubiera 1acilitado el a%iso con anterioridad, . #uando los datos personales sean obtenidos directamente del titular por cualquier medio electr$nico, $ptico, sonoro, %isual, o a tra%8s de cualquier otra tecnolog2a, el responsable deber4 proporcionar al titular de manera inmediata, al menos la in1ormaci$n a que se re1iere las 1racciones , . ,, del art2culo anterior, as2 como pro%eer los mecanismos para que el titular cono3ca el texto completo del a%iso de pri%acidad.
,,.
A&)*#+(" ,5.- #uando los datos no a.an sido obtenidos directamente del titular, el responsable deber4 darle a conocer el cambio en el a%iso de pri%acidad. No resulta aplicable lo establecido en el p4rra1o anterior, cuando el tratamiento sea con 1ines ist$ricos, estad2sticos o cient21icos.
5 de 18
#uando resulte imposible dar a conocer el a%iso de pri%acidad al titular o exi0a es1uer3os desproporcionados, en consideraci$n al nmero de titulares, o a la antig?edad de los datos, pre%ia autori3aci$n del ,nstituto, el responsable podr4 instrumentar medidas compensatorias en t8rminos del Reglamento de esta &e.. A&)*#+(" ,6.- +odo responsable que lle%e a cabo tratamiento de datos personales deber4 establecer . mantener medidas de seguridad administrati%as, t8cnicas . 12sicas que permitan proteger los datos personales contra da:o, p8rdida, alteraci$n, destrucci$n o el uso, acceso o tratamiento no autori3ado. &os responsables no adoptar4n medidas de seguridad menores a aquellas que mantengan para el mane0o de su in1ormaci$n. Asimismo se tomar4 en cuenta el riesgo existente, las posibles consecuencias para los titulares, la sensibilidad de los datos . el desarrollo tecnol$gico. A&)*#+(" .7.- &as %ulneraciones de seguridad ocurridas en cualquier 1ase del tratamiento que a1ecten de 1orma signi1icati%a los derec os patrimoniales o morales de los titulares, ser4n in1ormadas de 1orma inmediata por el responsable al titular, a 1in de que este ltimo pueda tomar las medidas correspondientes a la de1ensa de sus derec os. A&)*#+(" .,.- El responsable o terceros que inter%engan en cualquier 1ase del tratamiento de datos personales deber4n guardar con1idencialidad respecto de 8stos, obligaci$n que subsistir4 aun despu8s de 1inali3ar sus relaciones con el titular o, en su caso, con el responsable.
6 de 18
)e re1iera a las partes de un contrato pri%ado, social o administrati%o . sean necesarios para su desarrollo . cumplimiento> *eban ser tratados por disposici$n legal> 'bstaculice actuaciones 0udiciales o administrati%as %inculadas a obligaciones 1iscales, la in%estigaci$n . persecuci$n de delitos o la actuali3aci$n de sanciones administrati%as> )ean necesarios para proteger los intereses 0ur2dicamente tutelados del titular> )ean necesarios para reali3ar una acci$n en 1unci$n del inter8s pblico> )ean necesarios para cumplir con una obligaci$n legalmente adquirida por el titular, . )ean ob0eto de tratamiento para la pre%enci$n o para el diagn$stico m8dico o la gesti$n de ser%icios de salud, siempre que dic o tratamiento se realice por un pro1esional de la salud su0eto a un deber de secreto.
A&)*#+(" .4.- El titular tendr4 derec o en todo momento . por causa leg2tima a oponerse al tratamiento de sus datos. *e resultar procedente, el responsable no podr4 tratar los datos relati%os al titular.
CAPTULO IV D%( E9%&#i#i" 1% (" D%&%#8" 1% A##% ", R%#)i:i#'#i2$, C'$#%('#i2$ ; O!" i#i2$
A&)*#+(" .5.- El titular o su representante legal podr4n solicitar al responsable en cualquier momento el acceso, recti1icaci$n, cancelaci$n u oposici$n, respecto de los datos personales que le conciernen. A&)*#+(" .6.- &a solicitud de acceso, recti1icaci$n, cancelaci$n u oposici$n deber4 contener . acompa:ar lo siguiente: ,. ,,. ,,,. ,9. El nombre del titular . domicilio u otro medio para comunicarle la respuesta a su solicitud> &os documentos que acrediten la identidad o, en su caso, la representaci$n legal del titular> &a descripci$n clara . precisa de los datos personales respecto de los que se busca e0ercer alguno de los derec os antes mencionados, . #ualquier otro elemento o documento que 1acilite la locali3aci$n de los datos personales.
A&)*#+(" 37.- +odo responsable deber4 designar a una persona, o departamento de datos personales, quien dar4 tr4mite a las solicitudes de los titulares, para el e0ercicio de los derec os a que se re1iere la presente &e.. Asimismo 1omentar4 la protecci$n de datos personales al interior de la organi3aci$n. A&)*#+(" 3,.- En el caso de solicitudes de recti1icaci$n de datos personales, el titular deber4 indicar, adem4s de lo se:alado en el art2culo anterior de esta &e., las modi1icaciones a reali3arse . aportar la documentaci$n que sustente su petici$n. A&)*#+(" 3..- El responsable comunicar4 al titular, en un pla3o m4ximo de %einte d2as, contados desde la 1ec a en que se recibi$ la solicitud de acceso, recti1icaci$n, cancelaci$n u oposici$n, la determinaci$n adoptada, a e1ecto de que, si resulta procedente, se aga e1ecti%a la misma dentro de los quince d2as siguientes a la 1ec a en que se comunica la respuesta. +rat4ndose de solicitudes de acceso a datos
7 de 18
personales, proceder4 la entrega pre%ia acreditaci$n de la identidad del solicitante o representante legal, segn corresponda. &os pla3os antes re1eridos podr4n ser ampliados una sola %e3 por un periodo igual, siempre . cuando as2 lo 0usti1iquen las circunstancias del caso. A&)*#+(" 33.- &a obligaci$n de acceso a la in1ormaci$n se dar4 por cumplida cuando se pongan a disposici$n del titular los datos personales> o bien, mediante la expedici$n de copias simples, documentos electr$nicos o cualquier otro medio que determine el responsable en el a%iso de pri%acidad. En el caso de que el titular solicite el acceso a los datos a una persona que presume es el responsable . 8sta resulta no serlo, bastar4 con que as2 se le indique al titular por cualquiera de los medios a que se re1iere el p4rra1o anterior, para tener por cumplida la solicitud. A&)*#+(" 3/.- El responsable podr4 negar el acceso a los datos personales, o a reali3ar la recti1icaci$n o cancelaci$n o conceder la oposici$n al tratamiento de los mismos, en los siguientes supuestos: ,. ,,. ,,,. ,9. #uando el solicitante no sea el titular de los datos personales, o el representante legal no est8 debidamente acreditado para ello> #uando en su base de datos, no se encuentren los datos personales del solicitante> #uando se lesionen los derec os de un tercero> #uando exista un impedimento legal, o la resoluci$n de una autoridad competente, que restrin0a el acceso a los datos personales, o no permita la recti1icaci$n, cancelaci$n u oposici$n de los mismos, . #uando la recti1icaci$n, cancelaci$n u oposici$n a.a sido pre%iamente reali3ada.
9.
&a negati%a a que se re1iere este art2culo podr4 ser parcial en cu.o caso el responsable e1ectuar4 el acceso, recti1icaci$n, cancelaci$n u oposici$n requerida por el titular. En todos los casos anteriores, el responsable deber4 in1ormar el moti%o de su decisi$n . comunicarla al titular, o en su caso, al representante legal, en los pla3os establecidos para tal e1ecto, por el mismo medio por el que se lle%$ a cabo la solicitud, acompa:ando, en su caso, las pruebas que resulten pertinentes. A&)*#+(" 30.- &a entrega de los datos personales ser4 gratuita, debiendo cubrir el titular nicamente los gastos 0usti1icados de en%2o o con el costo de reproducci$n en copias u otros 1ormatos. *ic o derec o se e0ercer4 por el titular en 1orma gratuita, pre%ia acreditaci$n de su identidad ante el responsable. No obstante, si la misma persona reitera su solicitud en un periodo menor a doce meses, los costos no ser4n ma.ores a tres d2as de )alario M2nimo (eneral 9igente en el *istrito /ederal, a menos que existan modi1icaciones sustanciales al a%iso de pri%acidad que moti%en nue%as consultas. El titular podr4 presentar una solicitud de protecci$n de datos por la respuesta recibida o 1alta de respuesta del responsable, de con1ormidad con lo establecido en el siguiente #ap2tulo.
8 de 18
A&)*#+(" 33.- #uando el responsable pretenda trans1erir los datos personales a terceros nacionales o extran0eros, distintos del encargado, deber4 comunicar a 8stos el a%iso de pri%acidad . las 1inalidades a las que el titular su0et$ su tratamiento. El tratamiento de los datos se ar4 con1orme a lo con%enido en el a%iso de pri%acidad, el cual contendr4 una cl4usula en la que se indique si el titular acepta o no la trans1erencia de sus datos, de igual manera, el tercero receptor, asumir4 las mismas obligaciones que correspondan al responsable que trans1iri$ los datos. A&)*#+(" 34.- &as trans1erencias nacionales o internacionales de datos podr4n lle%arse a cabo sin el consentimiento del titular cuando se d8 alguno de los siguientes supuestos: ,. ,,. ,,,. #uando la trans1erencia est8 pre%ista en una &e. o +ratado en los que M8xico sea parte> #uando la trans1erencia sea necesaria para la pre%enci$n o el diagn$stico m8dico, la prestaci$n de asistencia sanitaria, tratamiento m8dico o la gesti$n de ser%icios sanitarios> #uando la trans1erencia sea e1ectuada a sociedades controladoras, subsidiarias o a1iliadas ba0o el control comn del responsable, o a una sociedad matri3 o a cualquier sociedad del mismo grupo del responsable que opere ba0o los mismos procesos . pol2ticas internas> #uando la trans1erencia sea necesaria por %irtud de un contrato celebrado o por celebrar en inter8s del titular, por el responsable . un tercero> #uando la trans1erencia sea necesaria o legalmente exigida para la sal%aguarda de un inter8s pblico, o para la procuraci$n o administraci$n de 0usticia> #uando la trans1erencia sea precisa para el reconocimiento, e0ercicio o de1ensa de un derec o en un proceso 0udicial, . #uando la trans1erencia sea precisa para el mantenimiento o cumplimiento de una relaci$n 0ur2dica entre el responsable . el titular.
9 de 18
,,,. ,9. 9.
Proporcionar apo.o t8cnico a los responsables que lo soliciten, para el cumplimiento de las obligaciones establecidas en la presente &e.> Emitir los criterios . recomendaciones, de con1ormidad con las disposiciones aplicables de esta &e., para e1ectos de su 1uncionamiento . operaci$n> *i%ulgar est4ndares . me0ores pr4cticas internacionales en materia de seguridad de la in1ormaci$n, en atenci$n a la naturale3a de los datos> las 1inalidades del tratamiento, . las capacidades t8cnicas . econ$micas del responsable> #onocer . resol%er los procedimientos de protecci$n de derec os . de %eri1icaci$n se:alados en esta &e. e imponer las sanciones segn corresponda> #ooperar con otras autoridades de super%isi$n . organismos nacionales e internacionales, a e1ecto de coad.u%ar en materia de protecci$n de datos>
9,. 9,,.
9,,,. Rendir al #ongreso de la Uni$n un in1orme anual de sus acti%idades> ,-. -. Acudir a 1oros internacionales en el 4mbito de la presente &e.> Elaborar estudios de impacto sobre la pri%acidad pre%ios a la puesta en pr4ctica de una nue%a modalidad de tratamiento de datos personales o a la reali3aci$n de modi1icaciones sustanciales en tratamientos .a existentes> *esarrollar, 1omentar . di1undir an4lisis, estudios e in%estigaciones en materia de protecci$n de datos personales en Posesi$n de los Particulares . brindar capacitaci$n a los su0etos obligados, . &as dem4s que le con1ieran esta &e. . dem4s ordenamientos aplicables.
-,.
-,,.
,,,. ,9. 9.
Emitir los lineamientos correspondientes para el contenido . alcances de los a%isos de pri%acidad en coad.u%ancia con el ,nstituto, a que se re1iere la presente &e.> Emitir, en el 4mbito de su competencia, las disposiciones administrati%as de car4cter general a que se re1iere el art2culo @;, en coad.u%ancia con el ,nstituto> /i0ar los par4metros necesarios para el correcto desarrollo de los mecanismos . medidas de autorregulaci$n a que se re1iere el art2culo @@ de la presente &e., incluido la promoci$n de Normas Mexicanas o Normas '1iciales Mexicanas, en coad.u%ancia con el ,nstituto> &le%ar a cabo los registros de consumidores en materia de datos personales . %eri1icar su 1uncionamiento> #elebrar con%enios con c4maras de comercio, asociaciones . organismos empresariales en lo general, en materia de protecci$n de datos personales>
9,. 9,,.
9,,,. *ise:ar e instrumentar pol2ticas . coordinar la elaboraci$n de estudios para la moderni3aci$n . operaci$n e1iciente del comercio electr$nico, as2 como para promo%er el desarrollo de la econom2a digital . las tecnolog2as de la in1ormaci$n en materia de protecci$n de datos personales> ,-. -. Acudir a 1oros comerciales nacionales e internacionales en materia de protecci$n de datos personales, o en aquellos e%entos de naturale3a comercial, . Apo.ar la reali3aci$n de e%entos, que contribu.an a la di1usi$n de la protecci$n de los datos personales.
A&)*#+(" //.- &as personas 12sicas o morales podr4n con%enir entre ellas o con organi3aciones ci%iles o gubernamentales, nacionales o extran0eras, esquemas de autorregulaci$n %inculante en la materia, que complementen lo dispuesto por la presente &e.. *ic os esquemas deber4n contener mecanismos para medir su e1icacia en la protecci$n de los datos, consecuencias . medidas correcti%as e1icaces en caso de incumplimiento. &os esquemas de autorregulaci$n podr4n traducirse en c$digos deontol$gicos o de buena pr4ctica pro1esional, sellos de con1ian3a u otros mecanismos . contendr4n reglas o est4ndares espec21icos que permitan armoni3ar los tratamientos de datos e1ectuados por los ad eridos . 1acilitar el e0ercicio de los derec os de los titulares. *ic os esquemas ser4n noti1icados de manera simult4nea a las autoridades sectoriales correspondientes . al ,nstituto.
protecci$n de datos el documento que pruebe la 1ec a en que present$ la solicitud de acceso, recti1icaci$n, cancelaci$n u oposici$n. &a solicitud de protecci$n de datos tambi8n proceder4 en los mismos t8rminos cuando el responsable no entregue al titular los datos personales solicitados> o lo aga en un 1ormato incomprensible, se niegue a e1ectuar modi1icaciones o correcciones a los datos personales, el titular no est8 con1orme con la in1ormaci$n entregada por considerar que es incompleta o no corresponda a la in1ormaci$n requerida. Recibida la solicitud de protecci$n de datos ante el ,nstituto, se dar4 traslado de la misma al responsable, para que, en el pla3o de quince d2as, emita respuesta, o1re3ca las pruebas que estime pertinentes . mani1ieste por escrito lo que a su derec o con%enga. El ,nstituto admitir4 las pruebas que estime pertinentes . proceder4 a su desa ogo. Asimismo, podr4 solicitar del responsable las dem4s pruebas que estime necesarias. #oncluido el desa ogo de las pruebas, el ,nstituto noti1icar4 al responsable el derec o que le asiste para que, de considerarlo necesario, presente sus alegatos dentro de los cinco d2as siguientes a su noti1icaci$n. Para el debido desa ogo del procedimiento, el ,nstituto resol%er4 sobre la solicitud de protecci$n de datos 1ormulada, una %e3 anali3adas las pruebas . dem4s elementos de con%icci$n que estime pertinentes, como pueden serlo aqu8llos que deri%en de la o las audiencias que se celebren con las partes. El Reglamento de la &e. establecer4 la 1orma, t8rminos . pla3os con1orme a los que se desarrollar4 el procedimiento de protecci$n de derec os. A&)*#+(" /3.- &a solicitud de protecci$n de datos podr4 interponerse por escrito libre o a tra%8s de los 1ormatos, del sistema electr$nico que al e1ecto proporcione el ,nstituto . deber4 contener la siguiente in1ormaci$n: ,. ,,. ,,,. ,9. 9. 9,. El nombre del titular o, en su caso, el de su representante legal, as2 como del tercero interesado, si lo a.> El nombre del responsable ante el cual se present$ la solicitud de acceso, recti1icaci$n, cancelaci$n u oposici$n de datos personales> El domicilio para o2r . recibir noti1icaciones> &a 1ec a en que se le dio a conocer la respuesta del responsable, sal%o que el procedimiento inicie con base en lo pre%isto en el art2culo 6;> &os actos que moti%an su solicitud de protecci$n de datos, . &os dem4s elementos que se considere procedente acer del conocimiento del ,nstituto.
&a 1orma . t8rminos en que deba acreditarse la identidad del titular o bien, la representaci$n legal se establecer4n en el Reglamento. Asimismo, a la solicitud de protecci$n de datos deber4 acompa:arse la solicitud . la respuesta que se recurre o, en su caso, los datos que permitan su identi1icaci$n. En el caso de 1alta de respuesta s$lo ser4 necesario presentar la solicitud. En el caso de que la solicitud de protecci$n de datos se interponga a tra%8s de medios que no sean electr$nicos, deber4 acompa:arse de las copias de traslado su1icientes.
12 de 18
A&)*#+(" /4.- El pla3o m4ximo para dictar la resoluci$n en el procedimiento de protecci$n de derec os ser4 de cincuenta d2as, contados a partir de la 1ec a de presentaci$n de la solicitud de protecci$n de datos. #uando a.a causa 0usti1icada, el Pleno del ,nstituto podr4 ampliar por una %e3 . asta por un per2odo igual este pla3o. A&)*#+(" /5.- En caso que la resoluci$n de protecci$n de derec os resulte 1a%orable al titular de los datos, se requerir4 al responsable para que, en el pla3o de die3 d2as siguientes a la noti1icaci$n o cuando as2 se 0usti1ique, uno ma.or que 1i0e la propia resoluci$n, aga e1ecti%o el e0ercicio de los derec os ob0eto de protecci$n, debiendo dar cuenta por escrito de dic o cumplimiento al ,nstituto dentro de los siguientes die3 d2as. A&)*#+(" /6.- En caso de que la solicitud de protecci$n de datos no satis1aga alguno de los requisitos a que se re1iere el art2culo @A de esta &e., . el ,nstituto no cuente con elementos para subsanarlo, se pre%endr4 al titular de los datos dentro de los %einte d2as 4biles siguientes a la presentaci$n de la solicitud de protecci$n de datos, por una sola ocasi$n, para que subsane las omisiones dentro de un pla3o de cinco d2as. +ranscurrido el pla3o sin desa ogar la pre%enci$n se tendr4 por no presentada la solicitud de protecci$n de datos. &a pre%enci$n tendr4 el e1ecto de interrumpir el pla3o que tiene el ,nstituto para resol%er la solicitud de protecci$n de datos. A&)*#+(" 07.- El ,nstituto suplir4 las de1iciencias de la que0a en los casos que as2 se requiera, siempre . cuando no altere el contenido original de la solicitud de acceso, recti1icaci$n, cancelaci$n u oposici$n de datos personales, ni se modi1iquen los ec os o peticiones expuestos en la misma o en la solicitud de protecci$n de datos. A&)*#+(" 0,.- &as resoluciones del ,nstituto podr4n: ,. ,,. )obreseer o desec ar la solicitud de protecci$n de datos por improcedente, o #on1irmar, re%ocar o modi1icar la respuesta del responsable.
A&)*#+(" 0..- &a solicitud de protecci$n de datos ser4 desec ada por improcedente cuando: ,. ,,. ,,,. ,9. 9. El ,nstituto no sea competente> El ,nstituto a.a conocido anteriormente de la solicitud de protecci$n de datos contra el mismo acto . resuelto en de1initi%a respecto del mismo recurrente> )e est8 tramitando ante los tribunales competentes algn recurso o medio de de1ensa interpuesto por el titular que pueda tener por e1ecto modi1icar o re%ocar el acto respecti%o> )e trate de una solicitud de protecci$n de datos o1ensi%a o irracional, o )ea extempor4nea.
A&)*#+(" 03.- &a solicitud de protecci$n de datos ser4 sobrese2da cuando: ,. ,,. ,,,. El titular 1alle3ca> El titular se desista de manera expresa> Admitida la solicitud de protecci$n de datos, sobre%enga una causal de improcedencia, .
13 de 18
,9.
A&)*#+(" 0/.- El ,nstituto podr4 en cualquier momento del procedimiento buscar una conciliaci$n entre el titular de los datos . el responsable. *e llegarse a un acuerdo de conciliaci$n entre ambos, 8ste se ar4 constar por escrito . tendr4 e1ectos %inculantes. &a solicitud de protecci$n de datos quedar4 sin materia . el ,nstituto %eri1icar4 el cumplimiento del acuerdo respecti%o. Para e1ectos de la conciliaci$n a que se alude en el presente ordenamiento, se estar4 al procedimiento que se estable3ca en el Reglamento de esta &e.. A&)*#+(" 00.- ,nterpuesta la solicitud de protecci$n de datos ante la 1alta de respuesta a una solicitud en e0ercicio de los derec os de acceso, recti1icaci$n, cancelaci$n u oposici$n por parte del responsable, el ,nstituto dar4 %ista al citado responsable para que, en un pla3o no ma.or a die3 d2as, acredite aber respondido en tiempo . 1orma la solicitud, o bien d8 respuesta a la misma. En caso de que la respuesta atienda a lo solicitado, la solicitud de protecci$n de datos se considerar4 improcedente . el ,nstituto deber4 sobreseerlo. En el segundo caso, el ,nstituto emitir4 su resoluci$n con base en el contenido de la solicitud original . la respuesta del responsable que alude el p4rra1o anterior. )i la resoluci$n del ,nstituto a que se re1iere el p4rra1o anterior determina la procedencia de la solicitud, el responsable proceder4 a su cumplimiento, sin costo alguno para el titular, debiendo cubrir el responsable todos los costos generados por la reproducci$n correspondiente. A&)*#+(" 03.- #ontra las resoluciones del ,nstituto, los particulares podr4n promo%er el 0uicio de nulidad ante el +ribunal /ederal de Busticia /iscal . Administrati%a. A&)*#+(" 04.- +odas las resoluciones del ,nstituto ser4n susceptibles de di1undirse pblicamente en %ersiones pblicas, eliminando aquellas re1erencias al titular de los datos que lo identi1iquen o lo agan identi1icable. A&)*#+(" 05.- &os titulares que consideren que an su1rido un da:o o lesi$n en sus bienes o derec os como consecuencia del incumplimiento a lo dispuesto en la presente &e. por el responsable o el encargado, podr4n e0ercer los derec os que estimen pertinentes para e1ectos de la indemni3aci$n que proceda, en t8rminos de las disposiciones legales correspondientes.
14 de 18
&os ser%idores pblicos 1ederales estar4n obligados a guardar con1idencialidad sobre la in1ormaci$n que cono3can deri%ada de la %eri1icaci$n correspondiente. El Reglamento desarrollar4 la 1orma, t8rminos . pla3os en que se sustanciar4 el procedimiento a que se re1iere el presente art2culo.
15 de 18
,9. 9. 9,.
*ar tratamiento a los datos personales en contra%enci$n a los principios establecidos en la presente &e.> 'mitir en el a%iso de pri%acidad, alguno o todos los elementos a que se re1iere el art2culo 5A de esta &e.> Mantener datos personales inexactos cuando resulte imputable al responsable, o no e1ectuar las recti1icaciones o cancelaciones de los mismos que legalmente procedan cuando resulten a1ectados los derec os de los titulares> No cumplir con el apercibimiento a que se re1iere la 1racci$n , del art2culo A@>
9,,.
9,,,. ,ncumplir el deber de con1idencialidad establecido en el art2culo C5 de esta &e.> ,-. -. -,. -,,. #ambiar sustancialmente la 1inalidad originaria del tratamiento de los datos, sin obser%ar lo dispuesto por el art2culo 5C> +rans1erir datos a terceros sin comunicar a 8stos el a%iso de pri%acidad que contiene las limitaciones a que el titular su0et$ la di%ulgaci$n de los mismos> 9ulnerar la seguridad de bases de datos, locales, programas o equipos, cuando resulte imputable al responsable> &le%ar a cabo la trans1erencia o cesi$n de los datos personales, 1uera de los casos en que est8 permitida por la &e.>
-,,,. Recabar o trans1erir datos personales sin el consentimiento expreso del titular, en los casos en que 8ste sea exigible> -,9. 'bstruir los actos de %eri1icaci$n de la autoridad> -9. Recabar datos en 1orma enga:osa . 1raudulenta> -9,. #ontinuar con el uso ileg2timo de los datos personales cuando se a solicitado el cese del mismo por el ,nstituto o los titulares> -9,,. +ratar los datos personales de manera que se a1ecte o impida el e0ercicio de los derec os de acceso, recti1icaci$n, cancelaci$n . oposici$n establecidos en el art2culo 5A de la #onstituci$n Pol2tica de los Estados Unidos Mexicanos> -9,,,.#rear bases de datos en contra%enci$n a lo dispuesto por el art2culo D, segundo p4rra1o de esta &e., . -,-. #ualquier incumplimiento del responsable a las obligaciones establecidas a su cargo en t8rminos de lo pre%isto en la presente &e.. A&)*#+(" 3/.- &as in1racciones a la presente &e. ser4n sancionadas por el ,nstituto con: ,. El apercibimiento para que el responsable lle%e a cabo los actos solicitados por el titular, en los t8rminos pre%istos por esta &e., trat4ndose de los supuestos pre%istos en la 1racci$n , del art2culo anterior>
16 de 18
Multa de 5;; a 5A;,;;; d2as de salario m2nimo %igente en el *istrito /ederal, en los casos pre%istos en las 1racciones ,, a 9,, del art2culo anterior> Multa de C;; a <C;,;;; d2as de salario m2nimo %igente en el *istrito /ederal, en los casos pre%istos en las 1racciones 9,,, a -9,,, del art2culo anterior, . En caso de que de manera reiterada persistan las in1racciones citadas en los incisos anteriores, se impondr4 una multa adicional que ir4 de 5;; a <C;,;;; d2as de salario m2nimo %igente en el *istrito /ederal. En trat4ndose de in1racciones cometidas en el tratamiento de datos sensibles, las sanciones podr4n incrementarse asta por dos %eces, los montos establecidos.
A&)*#+(" 30.- El ,nstituto 1undar4 . moti%ar4 sus resoluciones, considerando: ,. ,,. ,,,. ,9. 9. &a naturale3a del dato> &a notoria improcedencia de la negati%a del responsable, para reali3ar los actos solicitados por el titular, en t8rminos de esta &e.> El car4cter intencional o no, de la acci$n u omisi$n constituti%a de la in1racci$n> &a capacidad econ$mica del responsable, . &a reincidencia.
A&)*#+(" 33.- &as sanciones que se se:alan en este #ap2tulo se impondr4n sin per0uicio de la responsabilidad ci%il o penal que resulte.
CAPTULO XI D% (" D%(i)" %$ M')%&i' 1%( T&')'=i%$)" I$1%>i1" 1% D')" P%& "$'(%
A&)*#+(" 34.- )e impondr4n de tres meses a tres a:os de prisi$n al que estando autori3ado para tratar datos personales, con 4nimo de lucro, pro%oque una %ulneraci$n de seguridad a las bases de datos ba0o su custodia. A&)*#+(" 35.- )e sancionar4 con prisi$n de seis meses a cinco a:os al que, con el 1in de alcan3ar un lucro indebido, trate datos personales mediante el enga:o, apro%ec 4ndose del error en que se encuentre el titular o la persona autori3ada para transmitirlos. A&)*#+(" 36.- +rat4ndose de datos personales sensibles, las penas a que se re1iere este #ap2tulo se duplicar4n.
TRANSITORIOS
PRIMERO.- El presente *ecreto entrar4 en %igor al d2a siguiente al de su publicaci$n en el *iario '1icial de la /ederaci$n. SEGUNDO.- El E0ecuti%o /ederal expedir4 el Reglamento de esta &e. dentro del a:o siguiente a su entrada en %igor. TERCERO.- &os responsables designar4n a la persona o departamento de datos personales a que se re1iere el art2culo <; de la &e. . expedir4n sus a%isos de pri%acidad a los titulares de datos personales de
17 de 18
con1ormidad a lo dispuesto por los art2culos 5A . 5= a m4s tardar un a:o despu8s de la entrada en %igor de la presente &e.. CUARTO.- &os titulares podr4n e0ercer ante los responsables sus derec os de acceso, recti1icaci$n, cancelaci$n . oposici$n contemplados en el #ap2tulo ,9 de la &e.> as2 como dar inicio, en su caso, al procedimiento de protecci$n de derec os establecido en el #ap2tulo 9,, de la misma, diecioc o meses despu8s de la entrada en %igor de la &e.. ?UINTO.- En cumplimiento a lo dispuesto por el art2culo tercero transitorio del *ecreto por el que se adiciona la 1racci$n --,--' al art2culo =< de la #onstituci$n Pol2tica de los Estados Unidos Mexicanos, publicado en el *iario '1icial de la /ederaci$n el <; de abril de C;;D, las disposiciones locales en materia de protecci$n de datos personales en posesi$n de los particulares se abrogan, . se derogan las dem4s disposiciones que se opongan a la presente &e.. SEXTO.- &as re1erencias que con anterioridad a la entrada en %igor del presente *ecreto, se acen en las le.es, tratados . acuerdos internacionales, reglamentos . dem4s ordenamientos al ,nstituto /ederal de Acceso a la ,n1ormaci$n Pblica, en lo 1uturo se entender4n ec as al ,nstituto /ederal de Acceso a la ,n1ormaci$n . Protecci$n de *atos Personales. S@PTIMO.- &as acciones que, en cumplimiento a lo dispuesto en la &e. /ederal de Protecci$n de *atos Personales en Posesi$n de los Particulares, corresponda reali3ar al E0ecuti%o /ederal, se su0etar4n a los presupuestos aprobados de las instituciones correspondientes . a las disposiciones de la &e. /ederal de Presupuesto . Responsabilidad "acendaria. OCTAVO.- El Presupuesto de Egresos de la /ederaci$n para el E0ercicio /iscal de C;55 considerar4 partidas su1icientes para el adecuado 1uncionamiento del ,nstituto /ederal de Acceso a la ,n1ormaci$n . Protecci$n de *atos en las materias de esta &e.. ARTCULO SEGUNDO. EEE.
TRANSITORIO
NICO.- El presente *ecreto entrar4 en %igor al d2a siguiente al de su publicaci$n en el *iario '1icial de la /ederaci$n. M8xico, *./., a C= de abril de C;5;.- *ip. F&'$#i #" J'Ai%& R'=i&%B A#+C', Presidente.- )en. C'&(" N'A'&&%)% R+iB, Presidente.- *ip. G%"&<i$' T&+9i((" D%$)%((', )ecretaria.- )en. R%$E$ C(%"=i$i" D"&%1' N"A%(", )ecretario.- Rbricas." En cumplimiento de lo dispuesto por la 1racci$n , del Art2culo FD de la #onstituci$n Pol2tica de los Estados Unidos Mexicanos, . para su debida publicaci$n . obser%ancia, expido el presente *ecreto en la Residencia del Poder E0ecuti%o /ederal, en la #iudad de M8xico, *istrito /ederal, a %eintioc o de 0unio de dos mil die3.- F%(i!% 1% J% F C'(1%&2$ Hi$"9" '.- Rbrica.- El )ecretario de (obernaci$n, &ic. F%&$'$1" F&'$#i #" G2=%B M"$) U&+%)'.- Rbrica.
18 de 18