DECRETO por el que se expide la Ley Federal de Protección de Datos Personales en Posesión de los Particulares y se reforman los artículos 3, fracciones II y VII, y 33, así como la denominación del Capítulo II, del Título Segundo, de la Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental. |
Lunes 05 de julio de 2010 |
Al margen
un sello con el Escudo Nacional, que dice: Estados Unidos Mexicanos.-
Presidencia
de
FELIPE DE JESÚS CALDERÓN HINOJOSA, Presidente de los Estados Unidos Mexicanos, a sus habitantes sabed:
Que el
Honorable Congreso de
DECRETO
"EL
CONGRESO GENERAL DE LOS ESTADOS UNIDOS MEXICANOS, DECRETA:
SE EXPIDE
ARTÍCULO
PRIMERO. Se expide
LEY
FEDERAL DE PROTECCIÓN DE DATOS PERSONALES
EN POSESIÓN DE LOS PARTICULARES
CAPÍTULO I
Disposiciones Generales
Artículo 1.- La presente Ley es de orden
público y de observancia general en toda
Artículo 2.- Son sujetos regulados por esta
Ley, los particulares sean personas físicas o morales de carácter privado que
lleven a cabo el tratamiento de datos personales, con excepción de:
I. Las sociedades de
información crediticia en los supuestos de
II. Las personas que lleven a cabo la recolección y almacenamiento de datos personales, que sea para uso exclusivamente personal, y sin fines de divulgación o utilización comercial.
Artículo 3.- Para los efectos de esta Ley, se
entenderá por:
I. Aviso de Privacidad: Documento físico, electrónico o en
cualquier otro formato generado por el responsable que es puesto a disposición
del titular, previo al tratamiento de sus datos personales, de conformidad con
el artículo 15 de la presente Ley.
II. Bases de datos: El conjunto ordenado de datos personales
referentes a una persona identificada o identificable.
III. Bloqueo: La identificación y conservación de datos
personales una vez cumplida la finalidad para la cual fueron recabados, con el
único propósito de determinar posibles responsabilidades en relación con su
tratamiento, hasta el plazo de prescripción legal o contractual de éstas.
Durante dicho periodo, los datos personales no podrán ser objeto de tratamiento
y transcurrido éste, se procederá a su cancelación en la base de datos que
corresponde.
IV. Consentimiento: Manifestación de la voluntad del titular
de los datos mediante la cual se efectúa el tratamiento de los mismos.
V. Datos personales: Cualquier información concerniente a
una persona física identificada o identificable.
VI. Datos personales sensibles: Aquellos datos personales que
afecten a la esfera más íntima de su titular, o cuya utilización indebida pueda
dar origen a discriminación o conlleve un riesgo grave para éste. En
particular, se consideran sensibles aquellos que puedan revelar aspectos como
origen racial o étnico, estado de salud presente y futuro, información
genética, creencias religiosas, filosóficas y morales, afiliación sindical,
opiniones políticas, preferencia sexual.
VII. Días: Días hábiles.
VIII. Disociación: El procedimiento mediante el cual los datos
personales no pueden asociarse al titular ni permitir, por su estructura,
contenido o grado de desagregación, la identificación del mismo.
IX. Encargado: La persona física o jurídica que sola o
conjuntamente con otras trate datos personales por cuenta del responsable.
X. Fuente de acceso público: Aquellas bases de datos cuya
consulta puede ser realizada por cualquier persona, sin más requisito que, en
su caso, el pago de una contraprestación, de conformidad con lo señalado por el
Reglamento de esta Ley.
XI. Instituto: Instituto Federal de Acceso a
XII. Ley: Ley Federal de Protección de Datos Personales en
Posesión de los Particulares.
XIII. Reglamento: El
Reglamento de
XIV. Responsable: Persona
física o moral de carácter privado que decide sobre el tratamiento de datos
personales.
XV. Secretaría: Secretaría de
Economía.
XVI. Tercero: La persona física
o moral, nacional o extranjera, distinta del titular o del responsable de los
datos.
XVII. Titular: La persona física
a quien corresponden los datos personales.
XVIII. Tratamiento: La obtención,
uso, divulgación o almacenamiento de datos personales, por cualquier medio. El
uso abarca cualquier acción de acceso, manejo, aprovechamiento, transferencia o
disposición de datos personales.
XIX. Transferencia: Toda
comunicación de datos realizada a persona distinta del responsable o encargado
del tratamiento.
Artículo 4.- Los principios y derechos
previstos en esta Ley, tendrán como límite en cuanto a su observancia y
ejercicio, la protección de la seguridad nacional, el orden, la seguridad y la
salud públicos, así como los derechos de terceros.
Artículo 5.- A falta de disposición expresa
en esta Ley, se aplicarán de manera supletoria las disposiciones del Código
Federal de Procedimientos Civiles y de
Para la substanciación de los procedimientos
de protección de derechos, de verificación e imposición de sanciones se
observarán las disposiciones contenidas en
CAPÍTULO II
De los Principios de Protección
de Datos Personales
Artículo 6.- Los responsables en el
tratamiento de datos personales, deberán observar los principios de licitud,
consentimiento, información, calidad, finalidad, lealtad, proporcionalidad y
responsabilidad, previstos en
Artículo 7.- Los datos personales deberán
recabarse y tratarse de manera lícita conforme a las disposiciones establecidas
por esta Ley y demás normatividad aplicable.
La obtención de datos personales no debe
hacerse a través de medios engañosos o fraudulentos.
En todo tratamiento de datos personales, se
presume que existe la expectativa razonable de privacidad, entendida como la
confianza que deposita cualquier persona en otra, respecto de que los datos
personales proporcionados entre ellos serán tratados conforme a lo que
acordaron las partes en los términos establecidos por esta Ley.
Artículo 8.- Todo tratamiento de datos
personales estará sujeto al consentimiento de su titular, salvo las excepciones
previstas por la presente Ley.
El consentimiento será expreso cuando la
voluntad se manifieste verbalmente, por escrito, por medios electrónicos,
ópticos o por cualquier otra tecnología, o por signos inequívocos.
Se entenderá que el titular consiente
tácitamente el tratamiento de sus datos, cuando habiéndose puesto a su
disposición el aviso de privacidad, no manifieste su oposición.
Los datos financieros o patrimoniales
requerirán el consentimiento expreso de su titular, salvo las excepciones a que
se refieren los artículos 10 y 37 de la presente Ley.
El consentimiento podrá ser revocado en
cualquier momento sin que se le atribuyan efectos retroactivos. Para revocar el
consentimiento, el responsable deberá, en el aviso de privacidad, establecer
los mecanismos y procedimientos para ello.
Artículo 9.- Tratándose de datos personales
sensibles, el responsable deberá obtener el consentimiento expreso y por
escrito del titular para su tratamiento, a través de su firma autógrafa, firma
electrónica, o cualquier mecanismo de autenticación que al efecto se
establezca.
No podrán crearse bases de datos que contengan
datos personales sensibles, sin que se justifique la creación de las mismas
para finalidades legítimas, concretas y acordes con las actividades o fines
explícitos que persigue el sujeto regulado.
Artículo 10.- No será necesario el
consentimiento para el tratamiento de los datos personales cuando:
I. Esté
previsto en una Ley;
II. Los
datos figuren en fuentes de acceso público;
III. Los
datos personales se sometan a un procedimiento previo de disociación;
IV. Tenga
el propósito de cumplir obligaciones derivadas de una relación jurídica entre
el titular y el responsable;
V. Exista
una situación de emergencia que potencialmente pueda dañar a un individuo en su
persona o en sus bienes;
VI. Sean
indispensables para la atención médica, la prevención, diagnóstico, la
prestación de asistencia sanitaria, tratamientos médicos o la gestión de
servicios sanitarios, mientras el titular no esté en condiciones de otorgar el
consentimiento, en los términos que establece
VII. Se
dicte resolución de autoridad competente.
Artículo 11.- El responsable procurará que
los datos personales contenidos en las bases de datos sean pertinentes,
correctos y actualizados para los fines para los cuales fueron recabados.
Cuando los datos de carácter personal hayan
dejado de ser necesarios para el cumplimiento de las finalidades previstas por
el aviso de privacidad y las disposiciones legales aplicables, deberán ser
cancelados.
El responsable de la base de datos estará
obligado a eliminar la información relativa al incumplimiento de obligaciones
contractuales, una vez que transcurra un plazo de setenta y dos meses, contado
a partir de la fecha calendario en que se presente el mencionado
incumplimiento.
Artículo 12.- El tratamiento de datos
personales deberá limitarse al cumplimiento de las finalidades previstas en el
aviso de privacidad. Si el responsable pretende tratar los datos para un fin
distinto que no resulte compatible o análogo a los fines establecidos en aviso
de privacidad, se requerirá obtener nuevamente el consentimiento del titular.
Artículo 13.- El tratamiento de datos
personales será el que resulte necesario, adecuado y relevante en relación con
las finalidades previstas en el aviso de privacidad. En particular para datos
personales sensibles, el responsable deberá realizar esfuerzos razonables para
limitar el periodo de tratamiento de los mismos a efecto de que sea el mínimo
indispensable.
Artículo 14.- El responsable velará por el
cumplimiento de los principios de protección de datos personales establecidos
por esta Ley, debiendo adoptar las medidas necesarias para su aplicación. Lo
anterior aplicará aún y cuando estos datos fueren tratados por un tercero a
solicitud del responsable. El responsable deberá tomar las medidas necesarias y
suficientes para garantizar que el aviso de privacidad dado a conocer al
titular, sea respetado en todo momento por él o por terceros con los que guarde
alguna relación jurídica.
Artículo 15.- El responsable tendrá la
obligación de informar a los titulares de los datos, la información que se
recaba de ellos y con qué fines, a través del aviso de privacidad.
Artículo 16.- El aviso de privacidad deberá
contener, al menos, la siguiente información:
I. La
identidad y domicilio del responsable que los recaba;
II. Las
finalidades del tratamiento de datos;
III. Las
opciones y medios que el responsable ofrezca a los titulares para limitar el
uso o divulgación de los datos;
IV. Los
medios para ejercer los derechos de acceso, rectificación, cancelación u
oposición, de conformidad con lo dispuesto en esta Ley;
V. En
su caso, las transferencias de datos que se efectúen, y
VI. El
procedimiento y medio por el cual el responsable comunicará a los titulares de
cambios al aviso de privacidad, de conformidad con lo previsto en esta Ley.
En el caso de datos personales sensibles, el
aviso de privacidad deberá señalar expresamente que se trata de este tipo de
datos.
Artículo 17.- El aviso de privacidad debe
ponerse a disposición de los titulares a través de formatos impresos,
digitales, visuales, sonoros o cualquier otra tecnología, de la siguiente
manera:
I. Cuando
los datos personales hayan sido obtenidos personalmente del titular, el aviso
de privacidad deberá ser facilitado en el momento en que se recaba el dato de
forma clara y fehaciente, a través de los formatos por los que se recaban,
salvo que se hubiera facilitado el aviso con anterioridad, y
II. Cuando
los datos personales sean obtenidos directamente del titular por cualquier
medio electrónico, óptico, sonoro, visual, o a través de cualquier otra
tecnología, el responsable deberá proporcionar al titular de manera inmediata,
al menos la información a que se refiere las fracciones I y II del artículo
anterior, así como proveer los mecanismos para que el titular conozca el texto
completo del aviso de privacidad.
Artículo 18.- Cuando los datos no hayan sido
obtenidos directamente del titular, el responsable deberá darle a conocer el
cambio en el aviso de privacidad.
No resulta aplicable lo establecido en el
párrafo anterior, cuando el tratamiento sea con fines históricos, estadísticos
o científicos.
Cuando resulte imposible dar a conocer el aviso
de privacidad al titular o exija esfuerzos desproporcionados, en consideración
al número de titulares, o a la antigüedad de los datos, previa autorización del
Instituto, el responsable podrá instrumentar medidas compensatorias en términos
del Reglamento de esta Ley.
Artículo 19.- Todo responsable que lleve a
cabo tratamiento de datos personales deberá establecer y mantener medidas de
seguridad administrativas, técnicas y físicas que permitan proteger los datos
personales contra daño, pérdida, alteración, destrucción o el uso, acceso o
tratamiento no autorizado.
Los responsables no adoptarán medidas de
seguridad menores a aquellas que mantengan para el manejo de su información.
Asimismo se tomará en cuenta el riesgo existente, las posibles consecuencias
para los titulares, la sensibilidad de los datos y el desarrollo tecnológico.
Artículo 20.- Las vulneraciones de seguridad
ocurridas en cualquier fase del tratamiento que afecten de forma significativa
los derechos patrimoniales o morales de los titulares, serán informadas de
forma inmediata por el responsable al titular, a fin de que este último pueda
tomar las medidas correspondientes a la defensa de sus derechos.
Artículo 21.- El responsable o terceros que
intervengan en cualquier fase del tratamiento de datos personales deberán
guardar confidencialidad respecto de éstos, obligación que subsistirá aun
después de finalizar sus relaciones con el titular o, en su caso, con el
responsable.
CAPÍTULO III
De los Derechos de los
Titulares de Datos Personales
Artículo 22.- Cualquier titular, o en su caso
su representante legal, podrá ejercer los derechos de acceso, rectificación,
cancelación y oposición previstos en la presente Ley. El ejercicio de
cualquiera de ellos no es requisito previo ni impide el ejercicio de otro. Los
datos personales deben ser resguardados de tal manera que permitan el ejercicio
sin dilación de estos derechos.
Artículo 23.- Los titulares tienen derecho a
acceder a sus datos personales que obren en poder del responsable, así como
conocer el Aviso de Privacidad al que está sujeto el tratamiento.
Artículo 24.- El titular de los datos tendrá
derecho a rectificarlos cuando sean inexactos o incompletos.
Artículo 25.- El titular tendrá en todo
momento el derecho a cancelar sus datos personales.
La cancelación de datos personales dará lugar
a un periodo de bloqueo tras el cual se procederá a la supresión del dato. El
responsable podrá conservarlos exclusivamente para efectos de las
responsabilidades nacidas del tratamiento. El periodo de bloqueo será
equivalente al plazo de prescripción de las acciones derivadas de la relación
jurídica que funda el tratamiento en los términos de
Una vez cancelado el dato se dará aviso a su
titular.
Cuando los datos personales hubiesen sido
transmitidos con anterioridad a la fecha de rectificación o cancelación y sigan
siendo tratados por terceros, el responsable deberá hacer de su conocimiento
dicha solicitud de rectificación o cancelación, para que proceda a efectuarla
también.
Artículo 26.- El responsable no estará
obligado a cancelar los datos personales cuando:
I. Se
refiera a las partes de un contrato privado, social o administrativo y sean
necesarios para su desarrollo y cumplimiento;
II. Deban
ser tratados por disposición legal;
III. Obstaculice
actuaciones judiciales o administrativas vinculadas a obligaciones fiscales, la
investigación y persecución de delitos o la actualización de sanciones
administrativas;
IV. Sean
necesarios para proteger los intereses jurídicamente tutelados del titular;
V. Sean
necesarios para realizar una acción en función del interés público;
VI. Sean
necesarios para cumplir con una obligación legalmente adquirida por el titular,
y
VII. Sean
objeto de tratamiento para la prevención o para el diagnóstico médico o la
gestión de servicios de salud, siempre que dicho tratamiento se realice por un
profesional de la salud sujeto a un deber de secreto.
Artículo 27.- El titular tendrá derecho en
todo momento y por causa legítima a oponerse al tratamiento de sus datos. De
resultar procedente, el responsable no podrá tratar los datos relativos al
titular.
CAPÍTULO IV
Del Ejercicio de los Derechos
de Acceso, Rectificación, Cancelación y Oposición
Artículo 28.- El titular o su representante
legal podrán solicitar al responsable en cualquier momento el acceso,
rectificación, cancelación u oposición, respecto de los datos personales que le
conciernen.
Artículo 29.- La solicitud de acceso,
rectificación, cancelación u oposición deberá contener y acompañar lo
siguiente:
I. El
nombre del titular y domicilio u otro medio para comunicarle la respuesta a su
solicitud;
II. Los
documentos que acrediten la identidad o, en su caso, la representación legal
del titular;
III. La
descripción clara y precisa de los datos personales respecto de los que se
busca ejercer alguno de los derechos antes mencionados, y
IV. Cualquier
otro elemento o documento que facilite la localización de los datos personales.
Artículo 30.- Todo responsable deberá
designar a una persona, o departamento de datos personales, quien dará trámite
a las solicitudes de los titulares, para el ejercicio de los derechos a que se
refiere la presente Ley. Asimismo fomentará la protección de datos personales
al interior de la organización.
Artículo 31.- En el caso de solicitudes de
rectificación de datos personales, el titular deberá indicar, además de lo
señalado en el artículo anterior de esta Ley, las modificaciones a realizarse y
aportar la documentación que sustente su petición.
Artículo 32.- El responsable comunicará al titular,
en un plazo máximo de veinte días, contados desde la fecha en que se recibió la
solicitud de acceso, rectificación, cancelación u oposición, la determinación
adoptada, a efecto de que, si resulta procedente, se haga efectiva la misma
dentro de los quince días siguientes a la fecha en que se comunica la
respuesta. Tratándose de solicitudes de acceso a datos personales, procederá la
entrega previa acreditación de la identidad del solicitante o representante
legal, según corresponda.
Los plazos antes referidos podrán ser
ampliados una sola vez por un periodo igual, siempre y cuando así lo
justifiquen las circunstancias del caso.
Artículo 33.- La obligación de acceso a la información se dará por
cumplida cuando se pongan a disposición del titular los datos personales; o
bien, mediante la expedición de copias simples, documentos electrónicos o
cualquier otro medio que determine el responsable en el aviso de privacidad.
En el caso de que el titular solicite el acceso a los datos a una
persona que presume es el responsable y ésta resulta no serlo, bastará con que
así se le indique al titular por cualquiera de los medios a que se refiere el
párrafo anterior, para tener por cumplida la solicitud.
Artículo 34.- El responsable podrá negar el acceso a los datos personales,
o a realizar la rectificación o cancelación o conceder la oposición al
tratamiento de los mismos, en los siguientes supuestos:
I. Cuando
el solicitante no sea el titular de los datos personales, o el representante
legal no esté debidamente acreditado para ello;
II. Cuando
en su base de datos, no se encuentren los datos personales del solicitante;
III. Cuando
se lesionen los derechos de un tercero;
IV. Cuando
exista un impedimento legal, o la resolución de una autoridad competente, que
restrinja
el acceso a los datos personales, o no permita la rectificación, cancelación u
oposición de los mismos, y
V. Cuando
la rectificación, cancelación u oposición haya sido previamente realizada.
La negativa a que se refiere este artículo podrá ser parcial en cuyo
caso el responsable efectuará el acceso, rectificación, cancelación u oposición
requerida por el titular.
En todos los casos anteriores, el responsable deberá informar el motivo
de su decisión y comunicarla al titular, o en su caso, al representante legal,
en los plazos establecidos para tal efecto, por el mismo medio por el que se
llevó a cabo la solicitud, acompañando, en su caso, las pruebas que resulten
pertinentes.
Artículo 35.- La entrega de los datos personales será gratuita,
debiendo cubrir el titular únicamente los gastos justificados de envío o con el
costo de reproducción en copias u otros formatos.
Dicho derecho se ejercerá por el titular en forma gratuita, previa
acreditación de su identidad ante el responsable. No obstante, si la misma
persona reitera su solicitud en un periodo menor a doce meses, los costos no
serán mayores a tres días de Salario Mínimo General Vigente en el Distrito
Federal, a menos que existan modificaciones sustanciales al aviso de privacidad
que motiven nuevas consultas.
El titular podrá presentar una solicitud de protección de datos por la
respuesta recibida o falta de respuesta del responsable, de conformidad con lo
establecido en el siguiente Capítulo.
CAPÍTULO V
De
Artículo 36.- Cuando el responsable pretenda transferir los datos
personales a terceros nacionales o extranjeros, distintos del encargado, deberá
comunicar a éstos el aviso de privacidad y las finalidades a las que el titular
sujetó su tratamiento.
El tratamiento de los datos se hará conforme a lo convenido en el aviso
de privacidad, el cual contendrá una cláusula en la que se indique si el
titular acepta o no la transferencia de sus datos, de igual manera, el tercero
receptor, asumirá las mismas obligaciones que correspondan al responsable que
transfirió los datos.
Artículo 37.- Las transferencias nacionales o internacionales de datos
podrán llevarse a cabo sin el consentimiento del titular cuando se dé alguno de
los siguientes supuestos:
I. Cuando
la transferencia esté prevista en una Ley o Tratado en los que México sea
parte;
II. Cuando
la transferencia sea necesaria para la prevención o el diagnóstico médico, la
prestación de asistencia sanitaria, tratamiento médico o la gestión de
servicios sanitarios;
III. Cuando
la transferencia sea efectuada a sociedades controladoras, subsidiarias o
afiliadas bajo el control común del responsable, o a una sociedad matriz o a
cualquier sociedad del mismo grupo del responsable que opere bajo los mismos
procesos y políticas internas;
IV. Cuando
la transferencia sea necesaria por virtud de un contrato celebrado o por
celebrar en interés del titular, por el responsable y un tercero;
V. Cuando
la transferencia sea necesaria o legalmente exigida para la salvaguarda de un
interés público, o para la procuración o administración de justicia;
VI. Cuando
la transferencia sea precisa para el reconocimiento, ejercicio o defensa de un
derecho en un proceso judicial, y
VII. Cuando la transferencia sea precisa
para el mantenimiento o cumplimiento de una relación jurídica entre el
responsable y el titular.
CAPÍTULO
VI
De las Autoridades
Sección
I
Del Instituto
Artículo 38.- El Instituto, para efectos de
esta Ley, tendrá por objeto difundir el conocimiento del derecho a la
protección de datos personales en la sociedad mexicana, promover su ejercicio y
vigilar por la debida observancia de las disposiciones previstas en la presente
Ley y que deriven de la misma; en particular aquellas relacionadas con el
cumplimiento de obligaciones por parte de los sujetos regulados por este
ordenamiento.
Artículo 39.- El Instituto tiene las
siguientes atribuciones:
I. Vigilar
y verificar el cumplimiento de las disposiciones contenidas en esta Ley, en el
ámbito de su competencia, con las excepciones previstas por la legislación;
II. Interpretar
en el ámbito administrativo la presente Ley;
III. Proporcionar
apoyo técnico a los responsables que lo soliciten, para el cumplimiento de las
obligaciones establecidas en la presente Ley;
IV. Emitir
los criterios y recomendaciones, de conformidad con las disposiciones
aplicables de esta Ley, para efectos de su funcionamiento y operación;
V. Divulgar
estándares y mejores prácticas internacionales en materia de seguridad de la
información, en atención a la naturaleza de los datos; las finalidades del tratamiento,
y las capacidades técnicas y económicas del responsable;
VI. Conocer
y resolver los procedimientos de protección de derechos y de verificación
señalados en esta Ley e imponer las sanciones según corresponda;
VII. Cooperar
con otras autoridades de supervisión y organismos nacionales e internacionales,
a efecto de coadyuvar en materia de protección de datos;
VIII. Rendir al Congreso de
IX. Acudir
a foros internacionales en el ámbito de la presente Ley;
X. Elaborar
estudios de impacto sobre la privacidad previos a la puesta en práctica de una
nueva modalidad de tratamiento de datos personales o a la realización de
modificaciones sustanciales en tratamientos ya existentes;
XI. Desarrollar,
fomentar y difundir análisis, estudios e investigaciones en materia de
protección de datos personales en Posesión de los Particulares y brindar
capacitación a los sujetos obligados, y
XII. Las
demás que le confieran esta Ley y demás ordenamientos aplicables.
Sección
II
De las Autoridades Reguladoras
Artículo 40.- La presente Ley constituirá el
marco normativo que las dependencias deberán observar, en el ámbito de sus
propias atribuciones, para la emisión de la regulación que corresponda, con la
coadyuvancia del Instituto.
Artículo 41.-
Artículo 42.- En lo referente a las bases de
datos de comercio, la regulación que emita
Artículo 43.-
I. Difundir
el conocimiento respecto a la protección de datos personales en el ámbito
comercial;
II. Fomentar
las buenas prácticas comerciales en materia de protección de datos personales;
III. Emitir
los lineamientos correspondientes para el contenido y alcances de los avisos de
privacidad en coadyuvancia con el Instituto, a que se refiere la presente Ley;
IV. Emitir,
en el ámbito de su competencia, las disposiciones administrativas de carácter
general a que se refiere el artículo 40, en coadyuvancia con el Instituto;
V. Fijar
los parámetros necesarios para el correcto desarrollo de los mecanismos y
medidas de autorregulación a que se refiere el artículo 44 de la presente Ley,
incluido la promoción de Normas Mexicanas o Normas Oficiales Mexicanas, en
coadyuvancia con el Instituto;
VI. Llevar
a cabo los registros de consumidores en materia de datos personales y verificar
su funcionamiento;
VII. Celebrar
convenios con cámaras de comercio, asociaciones y organismos empresariales en
lo general, en materia de protección de datos personales;
VIII. Diseñar
e instrumentar políticas y coordinar la elaboración de estudios para la
modernización y operación eficiente del comercio electrónico, así como para
promover el desarrollo de la economía digital y las tecnologías de la
información en materia de protección de datos personales;
IX. Acudir
a foros comerciales nacionales e internacionales en materia de protección de
datos personales, o en aquellos eventos de naturaleza comercial, y
X. Apoyar
la realización de eventos, que contribuyan a la difusión de la protección de
los datos personales.
Artículo 44.- Las personas físicas o morales
podrán convenir entre ellas o con organizaciones civiles o gubernamentales,
nacionales o extranjeras, esquemas de autorregulación vinculante en la materia,
que complementen lo dispuesto por la presente Ley. Dichos esquemas deberán
contener mecanismos para medir su eficacia en la protección de los datos,
consecuencias y medidas correctivas eficaces en caso de incumplimiento.
Los esquemas de autorregulación podrán
traducirse en códigos deontológicos o de buena práctica profesional, sellos de
confianza u otros mecanismos y contendrán reglas o estándares específicos que
permitan armonizar los tratamientos de datos efectuados por los adheridos y
facilitar el ejercicio de los derechos de los titulares. Dichos esquemas serán
notificados de manera simultánea a las autoridades sectoriales correspondientes
y al Instituto.
CAPÍTULO VII
Del Procedimiento de Protección
de Derechos
Artículo 45.- El procedimiento se iniciará a
instancia del titular de los datos o de su representante legal, expresando con
claridad el contenido de su reclamación y de los preceptos de esta Ley que se
consideran vulnerados. La solicitud de protección de datos deberá presentarse
ante el Instituto dentro de los quince días siguientes a la fecha en que se
comunique la respuesta al titular por parte del responsable.
En el caso de que el titular de los datos no
reciba respuesta por parte del responsable, la solicitud de protección de datos
podrá ser presentada a partir de que haya vencido el plazo de respuesta
previsto para el responsable. En este caso, bastará que el titular de los datos
acompañe a su solicitud de protección de datos el documento que pruebe la fecha
en que presentó la solicitud de acceso, rectificación, cancelación u oposición.
La solicitud de protección de datos también
procederá en los mismos términos cuando el responsable no entregue al titular
los datos personales solicitados; o lo haga en un formato incomprensible, se
niegue a efectuar modificaciones o correcciones a los datos personales, el
titular no esté conforme con la información entregada por considerar que es
incompleta o no corresponda a la información requerida.
Recibida la solicitud de protección de datos
ante el Instituto, se dará traslado de la misma al responsable, para que, en el
plazo de quince días, emita respuesta, ofrezca las pruebas que estime
pertinentes y manifieste por escrito lo que a su derecho convenga.
El Instituto admitirá las pruebas que estime
pertinentes y procederá a su desahogo. Asimismo, podrá solicitar del
responsable las demás pruebas que estime necesarias. Concluido el desahogo de
las pruebas, el Instituto notificará al responsable el derecho que le asiste
para que, de considerarlo necesario, presente sus alegatos dentro de los cinco
días siguientes a su notificación.
Para el debido desahogo del procedimiento, el
Instituto resolverá sobre la solicitud de protección de datos formulada, una
vez analizadas las pruebas y demás elementos de convicción que estime
pertinentes, como pueden serlo aquéllos que deriven de la o las audiencias que
se celebren con las partes.
El Reglamento de
Artículo 46.- La solicitud de protección de
datos podrá interponerse por escrito libre o a través de los formatos, del
sistema electrónico que al efecto proporcione el Instituto y deberá contener la
siguiente información:
I. El
nombre del titular o, en su caso, el de su representante legal, así como del
tercero interesado, si lo hay;
II. El
nombre del responsable ante el cual se presentó la solicitud de acceso,
rectificación, cancelación u oposición de datos personales;
III. El
domicilio para oír y recibir notificaciones;
IV. La
fecha en que se le dio a conocer la respuesta del responsable, salvo que el
procedimiento inicie con base en lo previsto en el artículo 50;
V. Los
actos que motivan su solicitud de protección de datos, y
VI. Los
demás elementos que se considere procedente hacer del conocimiento del
Instituto.
La forma y términos en que deba acreditarse
la identidad del titular o bien, la representación legal se establecerán en el
Reglamento.
Asimismo, a la solicitud de protección de
datos deberá acompañarse la solicitud y la respuesta que se recurre o, en su
caso, los datos que permitan su identificación. En el caso de falta de
respuesta sólo será necesario presentar la solicitud.
En el caso de que la solicitud de protección
de datos se interponga a través de medios que no sean electrónicos, deberá
acompañarse de las copias de traslado suficientes.
Artículo 47.- El plazo máximo para dictar la
resolución en el procedimiento de protección de derechos será de cincuenta
días, contados a partir de la fecha de presentación de la solicitud de
protección de datos. Cuando haya causa justificada, el Pleno del Instituto
podrá ampliar por una vez y hasta por un período igual este plazo.
Artículo 48.- En caso que la resolución de
protección de derechos resulte favorable al titular de los datos, se requerirá
al responsable para que, en el plazo de diez días siguientes a la notificación
o cuando así se justifique, uno mayor que fije la propia resolución, haga
efectivo el ejercicio de los derechos objeto de protección, debiendo dar cuenta
por escrito de dicho cumplimiento al Instituto dentro de los siguientes diez
días.
Artículo 49.- En caso de que la solicitud de
protección de datos no satisfaga alguno de los requisitos a que se refiere el
artículo 46 de esta Ley, y el Instituto no cuente con elementos para
subsanarlo, se prevendrá al titular de los datos dentro de los veinte días
hábiles siguientes a la presentación de la solicitud de protección de datos,
por una sola ocasión, para que subsane las omisiones dentro de un plazo de
cinco días. Transcurrido el plazo sin desahogar la prevención se tendrá por no
presentada la solicitud de protección de datos. La prevención tendrá el efecto
de interrumpir el plazo que tiene el Instituto para resolver la solicitud de
protección de datos.
Artículo 50.- El Instituto suplirá las
deficiencias de la queja en los casos que así se requiera, siempre y cuando no
altere el contenido original de la solicitud de acceso, rectificación,
cancelación u oposición de datos personales, ni se modifiquen los hechos o peticiones
expuestos en la misma o en la solicitud de protección de datos.
Artículo 51.- Las resoluciones del Instituto
podrán:
I. Sobreseer
o desechar la solicitud de protección de datos por improcedente, o
II. Confirmar,
revocar o modificar la respuesta del responsable.
Artículo 52.- La solicitud de protección de
datos será desechada por improcedente cuando:
I. El
Instituto no sea competente;
II. El
Instituto haya conocido anteriormente de la solicitud de protección de datos
contra el mismo acto y resuelto en definitiva respecto del mismo recurrente;
III. Se
esté tramitando ante los tribunales competentes algún recurso o medio de
defensa interpuesto por el titular que pueda tener por efecto modificar o
revocar el acto respectivo;
IV. Se
trate de una solicitud de protección de datos ofensiva o irracional, o
V. Sea
extemporánea.
Artículo 53.- La
solicitud de protección de datos será sobreseída cuando:
I. El titular fallezca;
II. El titular se desista de manera
expresa;
III. Admitida la solicitud de protección de
datos, sobrevenga una causal de improcedencia, y
IV. Por cualquier motivo quede sin
materia la misma.
Artículo 54.- El
Instituto podrá en cualquier momento del procedimiento buscar una conciliación
entre el titular de los datos y el responsable.
De llegarse a un acuerdo
de conciliación entre ambos, éste se hará constar por escrito y tendrá efectos
vinculantes. La solicitud de protección de datos quedará sin materia y el
Instituto verificará el cumplimiento del acuerdo respectivo.
Para efectos de la
conciliación a que se alude en el presente ordenamiento, se estará al
procedimiento que se establezca en el Reglamento de esta Ley.
Artículo 55.-
Interpuesta la solicitud de protección de datos ante la falta de respuesta a
una solicitud en ejercicio de los derechos de acceso, rectificación,
cancelación u oposición por parte del responsable, el Instituto dará vista al
citado responsable para que, en un plazo no mayor a diez días, acredite haber
respondido en tiempo y forma la solicitud, o bien dé respuesta a la misma. En
caso de que la respuesta atienda a lo solicitado, la solicitud de protección de
datos se considerará improcedente y el Instituto deberá sobreseerlo.
En el segundo caso, el
Instituto emitirá su resolución con base en el contenido de la solicitud original
y la respuesta del responsable que alude el párrafo anterior.
Si la resolución del
Instituto a que se refiere el párrafo anterior determina la procedencia de la
solicitud, el responsable procederá a su cumplimiento, sin costo alguno para el
titular, debiendo cubrir el responsable todos los costos generados por la
reproducción correspondiente.
Artículo 56.- Contra las
resoluciones del Instituto, los particulares podrán promover el juicio de
nulidad ante el Tribunal Federal de Justicia Fiscal y Administrativa.
Artículo 57.- Todas las
resoluciones del Instituto serán susceptibles de difundirse públicamente en
versiones públicas, eliminando aquellas referencias al titular de los datos que
lo identifiquen o lo hagan identificable.
Artículo 58.- Los
titulares que consideren que han sufrido un daño o lesión en sus bienes o
derechos como consecuencia del incumplimiento a lo dispuesto en la presente Ley
por el responsable o el encargado, podrán ejercer los derechos que estimen
pertinentes para efectos de la indemnización que proceda, en términos de las
disposiciones legales correspondientes.
CAPÍTULO
VIII
Del
Procedimiento de Verificación
Artículo 59.- El
Instituto verificará el cumplimiento de la presente Ley y de la normatividad
que de ésta derive. La verificación podrá iniciarse de oficio o a petición de
parte.
La verificación de
oficio procederá cuando se dé el incumplimiento a resoluciones dictadas con
motivo de procedimientos de protección de derechos a que se refiere el Capítulo
anterior o se presuma fundada y motivadamente la existencia de violaciones a la
presente Ley.
Artículo 60.- En el
procedimiento de verificación el Instituto tendrá acceso a la información y
documentación que considere necesarias, de acuerdo a la resolución que lo
motive.
Los servidores públicos
federales estarán obligados a guardar confidencialidad sobre la información que
conozcan derivada de la verificación correspondiente.
El Reglamento
desarrollará la forma, términos y plazos en que se sustanciará el procedimiento
a que se refiere el presente artículo.
CAPÍTULO
IX
Del
Procedimiento de Imposición de Sanciones
Artículo 61.- Si con
motivo del desahogo del procedimiento de protección de derechos o del
procedimiento de verificación que realice el Instituto, éste tuviera
conocimiento de un presunto incumplimiento de alguno de los principios o
disposiciones de esta Ley, iniciará el procedimiento a que se refiere este
Capítulo, a efecto de determinar la sanción que corresponda.
Artículo 62.- El procedimiento de imposición
de sanciones dará comienzo con la notificación que efectúe el Instituto al
presunto infractor, sobre los hechos que motivaron el inicio del procedimiento
y le otorgará un término de quince días para que rinda pruebas y manifieste por
escrito lo que a su derecho convenga. En caso de no rendirlas, el Instituto
resolverá conforme a los elementos de convicción de que disponga.
El Instituto admitirá las pruebas que estime
pertinentes y procederá a su desahogo. Asimismo, podrá solicitar del presunto
infractor las demás pruebas que estime necesarias. Concluido el desahogo de las
pruebas, el Instituto notificará al presunto infractor el derecho que le asiste
para que, de considerarlo necesario, presente sus alegatos dentro de los cinco
días siguientes a su notificación.
El Instituto, una vez analizadas las pruebas
y demás elementos de convicción que estime pertinentes, resolverá en definitiva
dentro de los cincuenta días siguientes a la fecha en que inició el
procedimiento sancionador. Dicha resolución deberá ser notificada a las partes.
Cuando haya causa justificada, el Pleno del
Instituto podrá ampliar por una vez y hasta por un período igual este plazo.
El Reglamento desarrollará la forma, términos
y plazos en que se sustanciará el procedimiento de imposición de sanciones,
incluyendo presentación de pruebas y alegatos, la celebración de audiencias y
el cierre de instrucción.
CAPÍTULO X
De las Infracciones y Sanciones
Artículo 63.- Constituyen infracciones a esta
Ley, las siguientes conductas llevadas a cabo por el responsable:
I. No cumplir con la solicitud del titular
para el acceso, rectificación, cancelación u oposición al tratamiento de sus
datos personales, sin razón fundada, en los términos previstos en esta Ley;
II. Actuar con negligencia o dolo en la
tramitación y respuesta de solicitudes de acceso, rectificación, cancelación u
oposición de datos personales;
III. Declarar dolosamente la inexistencia de
datos personales, cuando exista total o parcialmente en las bases de datos del
responsable;
IV. Dar tratamiento a los datos personales en
contravención a los principios establecidos en la presente Ley;
V. Omitir en el aviso de privacidad, alguno
o todos los elementos a que se refiere el artículo 16 de esta Ley;
VI. Mantener datos personales inexactos
cuando resulte imputable al responsable, o no efectuar las rectificaciones o
cancelaciones de los mismos que legalmente procedan cuando resulten afectados
los derechos de los titulares;
VII. No cumplir con el apercibimiento a que se
refiere la fracción I del artículo 64;
VIII. Incumplir el deber de confidencialidad
establecido en el artículo 21 de esta Ley;
IX. Cambiar sustancialmente la finalidad
originaria del tratamiento de los datos, sin observar lo dispuesto por el
artículo 12;
X. Transferir datos a terceros sin
comunicar a éstos el aviso de privacidad que contiene las limitaciones a que el
titular sujetó la divulgación de los mismos;
XI. Vulnerar la seguridad de bases de datos,
locales, programas o equipos, cuando resulte imputable al responsable;
XII. Llevar a cabo la transferencia o cesión de
los datos personales, fuera de los casos en que esté permitida por
XIII. Recabar o transferir datos personales sin
el consentimiento expreso del titular, en los casos en que éste sea exigible;
XIV. Obstruir los actos de verificación de la
autoridad;
XV. Recabar datos en forma engañosa y
fraudulenta;
XVI. Continuar con el uso ilegítimo de los datos
personales cuando se ha solicitado el cese del mismo por el Instituto o los
titulares;
XVII. Tratar los datos personales de manera que se
afecte o impida el ejercicio de los derechos de acceso, rectificación,
cancelación y oposición establecidos en el artículo 16 de
XVIII. Crear
bases de datos en contravención a lo dispuesto por el artículo 9, segundo
párrafo de esta Ley, y
XIX. Cualquier incumplimiento del responsable a
las obligaciones establecidas a su cargo en términos de lo previsto en la
presente Ley.
Artículo 64.- Las infracciones a la presente
Ley serán sancionadas por el Instituto con:
I. El apercibimiento para que el
responsable lleve a cabo los actos solicitados por el titular, en los términos
previstos por esta Ley, tratándose de los supuestos previstos en la fracción I
del artículo anterior;
II. Multa de 100 a 160,000 días de salario
mínimo vigente en el Distrito Federal, en los casos previstos en las fracciones
II a VII del artículo anterior;
III. Multa de 200 a 320,000 días de salario
mínimo vigente en el Distrito Federal, en los casos previstos en las fracciones
VIII a XVIII del artículo anterior, y
IV. En caso de que de manera reiterada
persistan las infracciones citadas en los incisos anteriores, se impondrá una
multa adicional que irá de 100 a 320,000 días de salario mínimo vigente en el
Distrito Federal. En tratándose de infracciones cometidas en el tratamiento de
datos sensibles, las sanciones podrán incrementarse hasta por dos veces, los
montos establecidos.
Artículo 65.- El Instituto fundará y motivará
sus resoluciones, considerando:
I. La naturaleza del dato;
II. La notoria improcedencia de la negativa
del responsable, para realizar los actos solicitados por el titular, en
términos de esta Ley;
III. El carácter intencional o no, de la
acción u omisión constitutiva de la infracción;
IV. La capacidad económica del responsable, y
V. La reincidencia.
Artículo 66.- Las sanciones que se señalan en
este Capítulo se impondrán sin perjuicio de la responsabilidad civil o penal
que resulte.
CAPÍTULO XI
De los Delitos en Materia del
Tratamiento Indebido de Datos Personales
Artículo 67.- Se impondrán de tres meses a
tres años de prisión al que estando autorizado para tratar datos personales,
con ánimo de lucro, provoque una vulneración de seguridad a las bases de datos
bajo su custodia.
Artículo 68.- Se sancionará con prisión de
seis meses a cinco años al que, con el fin de alcanzar un lucro indebido, trate
datos personales mediante el engaño, aprovechándose del error en que se
encuentre el titular o la persona autorizada para transmitirlos.
Artículo 69.- Tratándose de datos personales
sensibles, las penas a que se refiere este Capítulo se duplicarán.
TRANSITORIOS
PRIMERO.- El presente Decreto entrará en
vigor al día siguiente al de su publicación en el Diario Oficial de
SEGUNDO.- El Ejecutivo Federal expedirá el
Reglamento de esta Ley dentro del año siguiente a su entrada en vigor.
TERCERO.- Los responsables designarán a la
persona o departamento de datos personales a que se refiere el artículo 30 de
de conformidad a lo dispuesto por los artículos 16 y 17 a más tardar un año
después de la entrada en vigor de la presente Ley.
CUARTO.- Los titulares podrán ejercer ante
los responsables sus derechos de acceso, rectificación, cancelación y oposición
contemplados en el Capítulo IV de
QUINTO.- En cumplimiento a lo dispuesto por
el artículo tercero transitorio del Decreto por el que se adiciona la fracción
XXIX-O al artículo 73 de
SEXTO.- Las referencias que con anterioridad
a la entrada en vigor del presente Decreto, se hacen en las leyes, tratados y
acuerdos internacionales, reglamentos y demás ordenamientos al Instituto
Federal de Acceso a
SÉPTIMO.- Las acciones que, en cumplimiento a
lo dispuesto en
OCTAVO.- El Presupuesto de Egresos de
ARTÍCULO SEGUNDO. Se reforman los artículos
3, fracciones II y VII, y 33, así como la denominación del Capítulo II, del
Título Segundo, de
Artículo 3.- Para los efectos de esta Ley se
entenderá por:
I. ...
II. Datos
personales: Cualquier información concerniente a una persona física
identificada o identificable;
III. a VI. ...
VII. Instituto:
El Instituto Federal de Acceso a
VIII. a XV. ...
CAPÍTULO II
Del Instituto
Artículo 33.- El Instituto es un órgano de
TRANSITORIO
ÚNICO.- El presente Decreto entrará en vigor al día
siguiente al de su publicación en el Diario Oficial de
México, D.F., a 27 de abril de 2010.- Dip. Francisco Javier Ramirez Acuña, Presidente.- Sen. Carlos Navarrete Ruiz, Presidente.- Dip. Georgina Trujillo Zentella, Secretaria.- Sen. Renán Cleominio Zoreda Novelo, Secretario.- Rúbricas."
En
cumplimiento de lo dispuesto por la fracción I del Artículo 89 de