instituto nacional de transparencia, acceso a la...

Instituto Nacional de Transparencia, Acceso a la Información y Protección

de Datos Personales

Estudio de viabilidad técnica del marco jurídico mexicano en materia de

protección de datos personales, para que México sea reconocido como un país con un nivel de protección adecuado conforme el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016,

relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por

el que se deroga la Directiva 95/46/CE para el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales

Entregable 2

“Análisis de las disposiciones previstas en la Ley General de Protección de

Datos Personales en Posesión de Sujetos Obligados y demás ordenamientos aplicables”

Elaborado por Davara Abogados

Noviembre de 2019

ELABORADO POR:

Davara Abogados:

Dra. Isabel Davara F. de Marcos Prof. José Luis Rodríguez Álvarez

Mtro. Gregorio Barco Vega Mtro. Alexis Cervantes Padilla Dra. Pamela Rodríguez Padilla

Contenido

I. Abreviaturas ................................................................................................................................. 1

II. Presentación ............................................................................................................................... 3

III. Breve contexto histórico ........................................................................................................... 6

IV. Objetivos .................................................................................................................................... 7

V. Alcance ....................................................................................................................................... 7

VI. Análisis de la LGPDPPSO y su normatividad de desarrollo de conformidad con los requerimientos del WP 254 ............................................................................................................... 8

1) Normatividad analizada y aplicable ................................................................................................... 8 2) Metodología empleada ........................................................................................................................ 8 3) Explicación del contenido de las tablas ............................................................................................ 9

A. Análisis de la LGPDPPSO conforme a las Referencias del WP 254 ................................................ 9 B. Análisis de normatividad conforme al WP 237 .................................................................................. 9

VII. Tablas analíticas ...................................................................................................................... 11 1) Capítulo 3 de las Referencias WP 254 ............................................................................................. 11

1. Principios relativos al contenido ...................................................................................................... 11 2. Ejemplos de principios de contenido adicionales que deben aplicarse a tipos específicos de tratamiento ............................................................................................................................................ 139 3. Mecanismos relativos al procedimiento y la ejecución .................................................................. 149

2) Capítulo 4 del WP 254 y el WP 237 ................................................................................................. 265

1

I. Abreviaturas

Abreviaturas Terminología Definición

C108

Convenio para la Protección de las Personas con respecto al Tratamiento Automatizado de Datos de Carácter Personal del 28 de enero

de 1981

C108+ Convenio modernizado para la protección de las personas con respecto al procesamiento

de datos personales CE Comisión Europea

CEPD Comité Europeo de Protección de Datos CNPP Código Nacional de Procedimientos Penales

CPEUM Constitución Política de los Estados Unidos

Mexicanos CPF Código Penal Federal

Derechos ARCO Derechos de Acceso, Rectificación,

Cancelación y Oposición

Directiva 95/46/CE

Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995,

relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos

datos

EPDP Estándares de Protección de Datos

Personales para los Estados Iberoamericanos

Estudio Técnico

Estudio de viabilidad técnica del marco jurídico mexicano en materia de protección de

datos personales, para que México sea reconocido como un país con un nivel de

protección adecuado conforme el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que

respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE para el

Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos

Personales

GT29 Grupo de Trabajo sobre Protección de Datos

del Artículo 29

2

INAI Instituto Nacional de Transparencia, Acceso a

la Información y Protección de Datos Personales

LCMSJ Lineamientos de Colaboración en Materia de

Seguridad y Justicia

LFTR Ley Federal de Telecomunicaciones y

Radiodifusión. LGN Ley de la Guardia Nacional

LGPDPPSO Ley General de Protección de Datos Personales en Posesión de Sujetos

Obligados

LGPDPSP Lineamientos Generales de Protección de Datos Personales para el Sector Público

LGSNSP Ley General del Sistema Nacional de Seguridad Pública

LSN Ley de Seguridad Nacional RGPD Reglamento General de Protección de Datos TJUE Tribunal de Justicia de la Unión Europea

UE Unión Europea

WP 237

Documento de Trabajo 1/2016 sobre la justificación de las interferencias a los

derechos fundamentales de privacidad y protección de datos a través de medidas de

vigilancia en la transferencia de datos personales (Garantías Europeas Esenciales) adoptado por el Grupo de Trabajo del Artículo

29 el 13 de abril de 2016

WP 254

Referencias sobre adecuación del Grupo de Trabajo sobre Protección de Datos del Artículo 29, revisadas por última vez y

aprobadas el 6 de febrero de 2018

3

II. Presentación El derecho humano a la protección de datos personales es un derecho de notable relevancia en nuestro ordenamiento jurídico. Al respecto, es importante hacer notar que el segundo párrafo del artículo 16 de la Constitución Política de los Estados Unidos Mexicanos (“CPEUM”) lo reconoce como un derecho humano al establecer que todas las personas tienen derecho a la protección de sus datos personales, al acceso, rectificación y cancelación de los mismos, así como a manifestar su oposición, en los términos establecidos por la Ley.1 La denominación anterior es resultado de la aplicación del artículo 1 de la CPEUM que reconoce a todos los individuos los derechos humanos previstos en esta última y en los tratados internacionales de los que el Estado Mexicano sea parte y establece la aplicación del principio pro persona para la interpretación de las normas relativas a los derechos humanos. En México es posible discernir la existencia de dos regímenes de protección legal distintos y detallados. El primero de ellos, referente al sector privado y que se deriva del contenido de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (“LFPDPPP”)2 y demás normatividad aplicable. El segundo de ellos concerniente al sector público y regulado por Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados (“LGPDPPSO”)3 y demás normatividad aplicable. En ambos casos, es posible encontrar disposiciones secundarias extensas dedicadas a regular y detallar distintos aspectos jurídicos previstos en ambos cuerpos normativos. Este documento se enfoca en el análisis de la LGPDPPSO y su normatividad de desarrollo. La normatividad señalada es extensa y ha colocado a México, junto con los esfuerzos realizados por la autoridad garante al nivel federal (Instituto Nacional de Transparencia y Acceso a la Información, y Protección de Datos Personales o “INAI”) como un ejemplar en lo que a la existencia y tutela del 1 “Toda persona tiene derecho a la protección de sus datos personales, al acceso, rectificación y cancelación de los mismos, así como a manifestar su oposición, en los términos que fije la ley, la cual establecerá los supuestos de excepción a los principios que rijan el tratamiento de datos, por razones de seguridad nacional, disposiciones de orden público, seguridad y salud públicas o para proteger los derechos de terceros”. 2En relación con lo anterior, se puede mencionara que artículo 1 de la LFPDPPP que establece el objeto de la misma: Artículo 1.- La presente Ley es de orden público y de observancia general en toda la República y tiene por objeto la protección de los datos personales en posesión de los particulares, con la finalidad de regular su tratamiento legítimo, controlado e informado, a efecto de garantizar la privacidad y el derecho a la autodeterminación informativa de las personas. 3 Artículo 1. La presente Ley es de orden público y de observancia general en toda la República, reglamentaria de los artículos 6o., Base A y 16, segundo párrafo, de la Constitución Política de los Estados Unidos Mexicanos, en materia de protección de datos personales en posesión de sujetos obligados. Todas las disposiciones de esta Ley General, según corresponda, y en el ámbito de su competencia, son de aplicación y observancia directa para los sujetos obligados pertenecientes al orden federal. El Instituto ejercerá las atribuciones y facultades que le otorga esta Ley, independientemente de las otorgadas en las demás disposiciones aplicables. Tiene por objeto establecer las bases, principios y procedimientos para garantizar el derecho que tiene toda persona a la protección de sus datos personales, en posesión de sujetos obligados. Son sujetos obligados por esta Ley, en el ámbito federal, estatal y municipal, cualquier autoridad, entidad, órgano y organismo de los Poderes Ejecutivo, Legislativo y Judicial, órganos autónomos, partidos políticos, fideicomisos y fondos públicos. Los sindicatos y cualquier otra persona física o moral que reciba y ejerza recursos públicos o realice actos de autoridad en el ámbito federal, estatal y municipal serán responsables de los datos personales, de conformidad con la normatividad aplicable para la protección de datos personales en posesión de los particulares. En todos los demás supuestos diferentes a los mencionados en el párrafo anterior, las personas físicas y morales se sujetarán a lo previsto en la Ley Federal de Protección de Datos Personales en Posesión de los Particulares.

4

derecho a la protección de datos personales se refiere ya que existe un extenso desarrollo normativo y la autoridad garante (INAI) se distingue por su autonomía y la alta gama de actividades que desarrolla para proteger este derecho. Dichos esfuerzos han sido reconocidos inclusive por el Consejo de Europa mediante, la invitación a México y la posterior suscripción del Convenio 108. Un paso importante para el seguimiento y reconocimiento a los esfuerzos normativos e institucionales realizados por México para la tutela del derecho a la protección de datos personales puede llevarse a un nivel superior es la evaluación del marco normativo existente para que la CE determine si dicha normatividad y su andamiaje institucional son capaces de garantizar una protección adecuada a los datos personales bajo los estándares establecidos por el RGPD. Dicha labor podría elevar el nivel de protección de los datos personales, permitir el libre flujo transfronterizo de datos personales entre la UE y México así como establecer compromisos y bases medibles para la permanente mejora de los estándares normativos para la protección de datos personales. Una actividad fundamental para determinar si México podría ser acreedor del reconocimiento como país con nivel adecuado de protección4 es el análisis exhaustivo y detallado del régimen jurídico existente de conformidad con los requerimientos normativos que la CE evalúa para llegar a tal determinación. Por esta razón es que, se considera elemental identificar la normatividad vigente en materia de protección de datos personales así como valorar, mediante el análisis comprehensivo de los elementos normativos del RGPD, el WP 254, el WP 237 y demás elementos relativos a la garantía del derecho de protección de datos personales si se garantiza un nivel adecuado de protección conforme a los parámetros de la normatividad europea. El presente documento es resultado de una alianza de liderazgo y gestión internacional conformada por Davara Abogados, boutique legal especializada en Derecho de las TIC en México y el Profesor investigador José Luis Rodríguez Álvarez, actualmente catedrático de la UCM, Director del Máster en Derecho de las Nuevas Tecnologías y Delegado de Protección de datos de la UCM, que además es el Director inmediato anterior (desde junio de 2011 hasta julio de 2015) de la Agencia Española de Protección de Datos ( “AEPD”).

4 A la fecha, los siguientes países han sido reconocidos como territorios seguros para la recepción de datos personales: -Suiza. Decisión 2000/518/CE de la Comisión, de 26 de julio de 2000 -Canadá. Decisión 2002/2/CE de la Comisión, de 20 de diciembre de 2001, respecto de las entidades sujetas al ámbito de aplicación de la ley canadiense de protección de datos -Argentina. Decisión 2003/490/CE de la Comisión, de 3 de junio de 2003 -Guernsey. Decisión 2003/821/CE de la Comisión, de 21 de noviembre de 2003 -Isla de Man. Decisión 2004/411/CE de la Comisión, de 28 de abril de 2004 -Jersey. Decisión 2008/393/CE de la Comisión, de 8 de mayo 2008 -Islas Feroe. Decisión 2010/146/UE de la Comisión, de 5 de marzo de 2010 -Andorra. Decisión 2010/625/UE de la Comisión, de 19 de octubre de 2010 -Israel. Decisión 2011/61/UE de la Comisión, de 31 de enero de 2011 -Uruguay. Decisión 2012/484/UE, de la Comisión de 21 de agosto de 2012. -Nueva Zelanda. Decisión 2013/65/UE de la Comisión, de 19 de diciembre de 2012 -Estados Unidos. Aplicable a las entidades certificadas en el marco del Escudo de Privacidad UE-EE.UU. Decisión (UE) 2016/1250 de la Comisión, de 12 de julio de 2016. -Japón. Decisión de 23 de enero de 2019.

5

La anterior alianza de liderazgo y de conocimiento, como se señaló en la Propuesta Técnica entregada a ese H. Instituto permite conjugar la experiencia conceptual, práctica y presencial en la UE con el conocimiento profundo de la normatividad y aplicación práctica en México, indiscutiblemente necesarios para poder lograr el éxito del proyecto. De esta forma, es que, Davara Abogados a solicitud del INAI, realiza un “Estudio de viabilidad técnica del marco jurídico mexicano en materia de protección de datos personales, para que México sea reconocido como un país con un nivel de protección adecuado” compuesto de distintos elementos a saber: 1) Análisis de las disposiciones previstas en la LFPDPPP de su normatividad derivada y demás ordenamientos aplicables; 2) Análisis de las disposiciones previstas en la LGPDPPSO de su normatividad derivada y demás ordenamientos aplicables; 3) Señalamiento puntual de las asimetrías existentes en la normatividad aplicable conforme a los elementos valorados por la CE y 4) Estudio de viabilidad técnica del marco jurídico mexicano con inclusión recomendaciones para adecuar la normatividad en la materia y que México sea reconocido como un país con un nivel adecuado de protección de datos personales. Al respecto, es importante mencionar que el presente documento está dedicado al análisis de la LGPDPPSO y su normatividad de desarrollo para determinar si esta se ajusta a los requerimientos previstos en el WP 254 y el Reglamento General de Protección de Datos (RGPD). En relación con lo anterior, es importante señalar que, el WP 254 es tomado como referencia primordial para el análisis de aspectos normativos, dado que este documento creado por el GT 29 se dirige específicamente a la CE como una orientación en virtud del RGPD para la evaluación del nivel de protección de los datos en terceros países y organizaciones internacionales estableciendo los principios básicos sobre protección de datos que deben estar presentes en el marco jurídico de un tercer país u organización internacional a fin de garantizar una equivalencia esencial con el marco de la UE. Asimismo, el propio WP 254 indica que este puede fungir como una orientación a terceros países y organizaciones internacionales interesadas en obtener adecuación como es el caso de México, de ahí que analicemos el marco jurídico de protección de datos personales en el sector privado a la luz del WP 254 y el WP 2375 referido en el Capítulo 4 del citado WP 254. Finalmente, es importante señalar que respecto de la pertinencia del WP 237, el GT29 en el Capítulo 4 del WP 254 ha indicado que al evaluar la adecuación del nivel de protección, en virtud del artículo 45, apartado 2, letra a), la CE debe tener en cuenta “la legislación pertinente, tanto general como sectorial, incluida la relativa a la seguridad pública, la defensa, la seguridad nacional y la legislación penal, y el acceso de las autoridades públicas a los datos personales, así como la aplicación de

5 Documento de Trabajo 1/2016 sobre sobre la justificación de las interferencias a los derechos fundamentales de privacidad y protección de datos a través de medidas de vigilancia en la transferencia de datos personales (Garantías Europeas Esenciales) adoptado por el Grupo de Trabajo del Artículo 29 el 13 de abril de 2016

6

dicha legislación”. Por lo anterior, es que, se considera prudente y necesario realizar el análisis normativo conforme a los elementos del WP 237 y el multicitado WP 254. El presente documento, que constituye el segundo entregable del Estudio, comprende el análisis sistemático y comprehensivo de las disposiciones de la LGPDPPSO, los LGPDPSP y demás normatividad aplicable en materia de protección de datos personales en posesión de los entes gubernamentales para determinar si un tercer país –en este caso México– garantiza o no, un nivel adecuado de protección de datos personales. Para ello, se toman en consideración los estándares previstos en el RGPD siguiendo en todo momento el parámetro de evaluación establecido por el GT29 en el WP 254, titulado “Referencias sobre adecuación”, que fue aprobado el 28 de diciembre de 2017 y revisado por última vez y aprobado el 6 de febrero de 2018 así como los demás criterios empleados a estos efectos por la CE.

III. Breve contexto histórico El extenso y detallado marco normativo en materia de protección de datos personales existente en México ha sido fruto de diversos acontecimientos normativos a partir de los cuales se reformó y actualizó el marco jurídico existente para dar cabida a disposiciones concretas tendientes a regular la protección de datos personales. Como antecedentes del derecho a la protección de datos personales en México podemos identificar las previsiones de la Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental del 11 de junio de 2002, cuyo Capítulo IV fue dedicado a la materia de protección de datos personales. No obstante, dado que dicha norma únicamente tenía como sujetos obligados a los entes de derecho público, y como el enfoque de esta era sólo acceso a la información y transparencia, se planteaba la protección de datos personales únicamente como un límite a la misma, y la regulación no era comprehensiva. Aunque hubo desarrollos regulatorios posteriores que trataron de compensar las deficiencias normativas existentes (Lineamientos de Protección de Datos), lo cierto es que la protección de datos personales en México se concretó jurídicamente hasta la publicación de la LGPDPPSO en el año 2017. El 7 de febrero de 2014 se publicó la reforma constitucional en materia de transparencia que estableció la creación de un nuevo régimen legal de transparencia, acceso a la información pública, y protección de datos personales para el sector público constituyendo al entonces IFAI en una entidad constitucionalmente autónoma. Como resultado de esta reforma, verían la luz importantes disposiciones legales en materia de transparencia y acceso a la información pública como la LGTAIP publicada el 4 de mayo 2015 y la LFTAIP el 9 de mayo de 2016, así como diversas disposiciones complementarias posteriormente emitidas por el INAI, incluyendo su Estatuto Orgánico en enero de 2017. En relación con la protección de los datos personales en posesión de entidades públicas tanto en el orden federal como en el orden local, la citada reforma fue transcendental, publicándose el 26 de

7

enero de 2017 la LGPDPPSO a la que seguirían diversas disposiciones secundarias para cumplir con los objetivos de la citada Ley.

IV. Objetivos Este documento tiene como objetivos, los siguientes:

Identificar los elementos normativos valorados y el procedimiento a realizar por la CE para reconocer a un país con un nivel de protección adecuado según lo previsto en el RGPD, el WP 254 y el WP 237.

Realizar un análisis comprehensivo de las disposiciones previstas en la LGPDPPSO y de su normatividad de desarrollo en relación con los requerimientos normativos sujetos a la evaluación de la CE para reconocer a un tercer país con un nivel de protección adecuado según lo previsto en el RGPD, el WP 254 y el WP 237.

V. Alcance El presente documento conforma el Entregable 2 del Estudio Técnico y tiene como propósito realizar un análisis sistemático de las disposiciones de la LGPDPPSO, sus Lineamientos y demás normatividad aplicable en el orden federal para el sector público, lo anterior a fin de determinar si un tercer país (México), garantiza o no, un nivel adecuado de protección de datos personales de conformidad con lo previsto en el RGPD, siguiendo las Referencias del WP 254 y el WP 237, documentos de orientación emitidos por el máximo órgano de consulta de la UE durante la emisión del RGPD (GT29 ahora sustituido por el CEPD) y atendiendo a los demás elementos normativos sujetos a la apreciación de la CE según lo dispuesto por el artículo 45 del RGPD. Lo anterior, en virtud de la probada experiencia del líder del proyecto el profesor José Luis Rodríguez Álvarez que como miembro del GT29 participó en la elaboración de más de treinta dictámenes e informes sobre la interpretación de la normativa europea de protección de datos, incluyendo documentos relativos a decisiones de adecuación respecto de terceros países. Es importante destacar que este Entregable contiene un análisis sistemático de la normatividad en materia de protección de datos personales aplicable en el sector público, toda vez que la atinente al sector privado fue analizada de manera exhaustiva en el Entregable 1 . Adicionalmente, debe señalarse que este Entregable únicamente aporta un análisis legal del marco jurídico existente en México, sin emitir aseveraciones concretas sobre la pertinencia o calidad de dicho marco normativo para que México pudiera ser reconocido como un país con garantías adecuadas para la protección de datos personales conforme a la normatividad europea, dado que estas cuestiones serán el objeto de tratamiento en los entregables 3 y 4.

8

VI. Análisis de la LGPDPPSO y su normatividad de desarrollo de conformidad con los requerimientos del WP 254

1) Normatividad analizada y aplicable El análisis de la normatividad aplicable en materia de protección de datos personales, en el sector público, se basa primordialmente en la LGPDPPSO y los LGPDPSP del 26 de enero de 2018. No obstante, cuando ha resultado necesario se realizan remisiones a las disposiciones secundarias derivadas de la LGPDPPSO como son:

Los Lineamientos Generales para que el INAI ejerza la facultad de atracción, publicados el 16 de febrero de 2017.

Las Disposiciones administrativas de carácter general para la elaboración, presentación y valoración de evaluaciones de impacto en la protección de datos personales, publicadas el 23 de enero de 2018.

Los Criterios generales para la instrumentación de medidas compensatorias en el sector público del orden federal, estatal y municipal, publicados el 23 de enero de 2018.

Los Lineamientos que Establecen los Parámetros, Modalidades y Procedimientos para la Portabilidad de Datos Personales, publicados el 12 de febrero de 2018.

Procedimiento para el registro, turno, sustanciación y seguimiento a las resoluciones de los recursos de revisión emitidas por el Pleno del Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales, en los sistemas de gestión de medios de impugnación y de comunicación entre organismos garantes y sujetos obligados de la federación, publicado el 31 de julio de 2018.

Parámetros de mejores prácticas en materia de protección de datos personales para el sector público, publicados el 9 de octubre de 2019.

Asimismo, en el entorno internacional, dada su relevancia para el caso en concreto se toman en cuenta y forman parte del sustento analítico de este entregable el RGPD, el C108 y el C108+.

2) Metodología empleada Como se ha reseñado de forma previa, para la elaboración de este entregable referente al análisis de la normatividad del sector público en materia de protección de datos personales, en congruencia con las acciones realizadas en entregable 1, en este documento se han elaborado una serie de tablas analíticas que contienen el análisis de la normatividad aplicable a partir de los elementos susceptibles de una valoración por la CE para determinara si México puede ser reconocido como un país con un nivel adecuado de protección, en particular el WP 254, el WP 237, el RGPD, el C108 y el C108. La metodología anterior permite dar continuidad a la labor de profundo análisis legal que se llevó a cabo para la elaboración del entregable 1, así como realizar una primera identificación de discrepancias normativas entre las disposiciones legales en materia de protección de datos personales para el sector público en México con respecto a los parámetros previstos en el WP 254, el WP 237, el RGPD, el C108 y el C108

9

3) Explicación del contenido de las tablas

A. Análisis de la LGPDPPSO conforme a las Referencias del WP 254

Para realizar el análisis de la LGPDPPSO, los LGPDPSP y demás normatividad aplicable se elabora una comparativa sobre cómo las disposiciones citadas cumplen con el RGPD, el C108, el C108+ y los requerimientos establecidos en el WP 254; en la que, se han generado tablas de análisis que se dividen en 2 grupos principales:

1) Principios generales en materia de protección de datos. Se incluyen tablas sobre principios

relativos al contenido (conceptos, fundamentos del tratamiento lícito y leal para fines legítimos, principio de limitación de la finalidad, principio de calidad de los datos y proporcionalidad, principio de retención de datos, principio de seguridad y confidencialidad, principio de transparencia, derecho de acceso, rectificación, supresión y oposición, restricciones a transferencias ulteriores) y ejemplos de principios de contenido adicionales que deben aplicarse a tipos específicos de tratamiento (categorías especiales de datos, mercadotecnia directa y decisiones automatizadas y elaboración de perfiles).

2) Mecanismos relativos al procedimiento y la ejecución. Se incluye una serie de tablas analíticas donde se presenta la forma en que se han regulado aspectos como autoridades de control competentes independientes, la forma en la que el sistema de protección de datos garantiza un buen nivel de cumplimiento, responsabilidad proactiva y la forma en la que el sistema de protección de datos ofrece apoyo y ayuda a los interesados individuales en el ejercicio de sus derechos y mecanismos de reclamación adecuados.

B. Análisis de normatividad conforme al WP 237 En la parte última del entregable se presenta la tabla analítica sobre “Garantías esenciales para el acceso por parte de los cuerpos policiales y de seguridad nacional a fin de limitar las injerencias en los derechos fundamentales” que estudia los siguientes aspectos establecidos en el WP 237: tratamiento basado en normas claras, precisas y accesibles (base jurídica), demostración de la necesidad y la proporcionalidad respecto a los objetivos legítimos perseguidos, tratamiento sujeto a una supervisión independiente y vías de acción efectivas disponibles para las personas.

11

VII. Tablas analíticas

1) Capítulo 3 de las Referencias WP 254

1. Principios relativos al contenido

A. Conceptos La siguiente tabla presenta el análisis de la LGPDPPSO a partir de los conceptos previstos en el WP 254 donde se señala que el sistema de un tercer país u organización internacional debe incluir diversos conceptos como parte de los principios y mecanismos básicos de protección de datos relativos al contenido y al procedimiento/ejecución. Al respecto, el WP 254 señala lo siguiente:

Deben existir una serie de conceptos o principios básicos sobre protección de datos. Estos no deben imitar la terminología del RGPD, pero deben reflejar los conceptos consagrados en la legislación europea en materia de protección de datos y ser coherentes con ellos. A modo de ejemplo, el RGPD incluye los siguientes conceptos importantes: «datos personales», «tratamiento de datos personales», «responsable del tratamiento», «encargado del tratamiento», «destinatario» y «datos sensibles».

De esta manera, se presentan los distintos conceptos incluidos en la LGPDPPSO realizando una comparación con los conceptos incluidos en el RGPD, el C108 y el C108+.

12

Capítulo 3 del WP 254: Principios generales en materia de protección de datos para garantizar que el nivel de protección en un tercer país, territorio o uno o varios sectores específicos de ese tercer país, u organización internacional es sustancialmente equivalente al garantizado por la legislación de la UE

A. Principios relativos al contenido

Conceptos

LGPDPPSO Otras disposiciones RGPD C108 C108+

Comentarios

Conceptos

Datos personales

Cualquier información concerniente a una persona

física identificada o identificable. Se considera

que una persona es identificable cuando su

identidad pueda determinarse directa o

indirectamente a través de cualquier información;

(artículo 3.IX)

----

Toda información sobre una persona física identificada o

identificable («el interesado»); se considerará persona física identificable

toda persona cuya identidad pueda determinarse, directa

o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un

número de identificación, datos de localización, un

identificador en línea o uno o varios elementos propios

de la identidad física, fisiológica, genética, psíquica, económica,

cultural o social de dicha persona (artículo 4,

apartado 1).

b) «Datos de carácter

personal» significa cualquier

información relativa a una persona física identificada o identificable («persona

concernida»);

“datos personales” significa cualquier información

relativa a una persona física identificada o identificable (“persona concernida”);

La definición de la LGPDPPSO y su

Reglamento resulta coherente con el texto del

RGPD.

A diferencia del RGPD la LGPDPPSO utiliza la expresión “cualquier

información” en sustitución del tema “identificador”.

Tratamiento

Cualquier operación o conjunto de operaciones

efectuadas mediante procedimientos manuales o automatizados aplicados a

los datos personales, relacionadas con la

obtención, uso, registro, organización, conservación,

elaboración, utilización, comunicación, difusión,

almacenamiento, posesión, acceso, manejo,

aprovechamiento, divulgación, transferencia o

disposición de datos personales. (artículo

3.XXXIII).

El artículo 4 indica lo siguiente:

Artículo 4. La presente Ley será aplicable a cualquier

tratamiento de datos personales que obren en

soportes físicos o electrónicos, con

independencia de la forma o modalidad de su creación,

tipo de soporte, procesamiento,

almacenamiento y organización.

Cualquier operación o conjunto de operaciones realizadas sobre datos

personales o conjuntos de datos personales, ya sea

por procedimientos automatizados o no, como

la recogida, registro, organización,

estructuración, conservación, adaptación o

modificación, extracción, consulta, utilización, comunicación por

transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o

c) por «tratamiento automatizado» se entiende

las operaciones que a continuación se indican

efectuadas en su totalidad o en parte con ayuda de

procedimientos automatizados: Registro de

datos, aplicación a esos datos de operaciones lógicas aritméticas, su modificación, borrado, extracción o difusión;

“tratamiento de datos” significa cualquier operación o conjunto de operaciones

realizadas a datos personales, como la

recolección, almacenamiento,

preservación, alteración, recuperación, divulgación,

puesta a disposición, supresión o destrucción, o la

ejecución de operaciones lógicas y/o aritméticas con

estos datos;

Donde no se utilice el procesamiento

automatizado, “tratamiento de datos” significa una

El tenor literal de la definición podría dar pie a una interpretación que le

confiere un ámbito menor al que tiene en la regulación de la UE, en la medida en que se entienda que sólo abarca las operaciones “relacionadas” con las

actividades que expresamente se

mencionan. El carácter aparentemente tasado de esta relación podría dejar

fuera actividades típicas de tratamiento en el

ordenamiento europeo como pueden ser la

supresión o la destrucción.

13

destrucción (artículo 4, apartado 2).

operación o conjunto de operaciones sobre datos

personales, en el marco de un conjunto estructurado de

estos datos que son accesibles o recuperables de acuerdo con criterios

específicos;

Responsable

Los sujetos obligados a que se refiere el artículo 1 de la presente Ley que deciden

sobre el tratamiento de datos personales; (artículo 3.XXVIII).

----

«responsable del tratamiento» o

«responsable»: la persona física o jurídica, autoridad

pública, servicio u otro organismo que, solo o junto

con otros, determine los fines y medios del

tratamiento; si el Derecho de la Unión o de los Estados

miembros determina los fines y medios del

tratamiento, el responsable del tratamiento o los

criterios específicos para su nombramiento podrá

establecerlos el Derecho de la Unión o de los Estados

miembros (artículo 4, apartado 7).

d) autoridad «controladora

del fichero» significa la persona física o jurídica, la

autoridad pública, el servicio o cualquier otro organismo que sea competente con arreglo a la ley nacional para decidir cuál será la

finalidad del fichero automatizado, cuáles

categorías de datos de carácter personal deberán

registrarse y cuáles operaciones se les

aplicarán.

“Responsable” significa la persona física o jurídica, la

autoridad pública, el servicio, la agencia o

cualquier otro organismo que, de manera autónoma o en conjunto con otras, sea

competente para tomar decisiones en materia de

tratamiento de datos;

El término previsto en la LGPDPPSO es equivalente

al de RGPD, aunque no hace referencia expresa a

un servicio u otro organismo que, solo o junto con otros,

determine los fines y medios del tratamiento.

Encargado

La persona física o jurídica, pública o privada, ajena a la

organización del responsable, que sola o conjuntamente con otras trate datos personales a nombre y por cuenta del

responsable (artículo 3.CV).

Obligación general del encargado

Artículo 108. En términos de lo previsto en los artículos 3, fracción XV y 58 de la Ley

General, el encargado es un prestador de servicios que

realiza actividades de tratamiento de datos

personales a nombre y por cuenta del responsable,

como consecuencia de la existencia de una relación

jurídica que le vincula con el mismo y delimita el ámbito

de su actuación para la prestación de un servicio.

El responsable será

«encargado del tratamiento» o «encargado»: la persona física o jurídica, autoridad

pública, servicio u otro organismo que trate datos personales por cuenta del

responsable del tratamiento (artículo 4, apartado 8).

----

“Procesador” significa la persona física o jurídica, la


cualquier otro organismo que procesa datos

personales en nombre del responsable.

La definición de la LGPDPPSO es consistente

con el RGPD.

14

corresponsable por las vulneraciones de seguridad ocurridas en el tratamiento de datos personales que efectúe el encargado a nombre y por cuenta de

éste. (Artículo 108, LGPDPSP)

Destinatario ---- ----

«destinatario»: la persona física o jurídica, autoridad

pública, servicio u otro organismo al que se comuniquen datos

personales, se trate o no de un tercero. No obstante, no

se considerarán destinatarios las autoridades públicas que puedan recibir

datos personales en el marco de una investigación

concreta de conformidad con el Derecho de la Unión o de los Estados miembros; el tratamiento de tales datos

por dichas autoridades públicas será conforme con las normas en materia de

protección de datos aplicables a los fines del tratamiento (artículo 4,

apartado 9).

----

“Receptor” significa la persona física o jurídica, la


cualquier otro organismo al cual le sean divulgados o

puestos a disposición datos personales;

Esta definición no está prevista en la LGPDPPSO ni en sus disposiciones de

desarrollo

Datos sensibles

Aquellos que se refieran a la esfera más íntima de su titular, o cuya utilización

indebida pueda dar origen a discriminación o conlleve un riesgo grave para éste. De manera enunciativa más no

limitativa, se consideran sensibles los datos

personales que puedan revelar aspectos como origen racial o étnico,

estado de salud presente o futuro, información genética,

creencias religiosas,

---- ---- ----

Artículo 6 – Categorías particulares de datos

b. El procesamiento

de: datos genéticos; datos personales

relacionados a delitos, procedimientos en materia penal y compurgación de la

pena, y medidas de seguridad relacionadas; datos biométricos que identifiquen de manera

inequívoca a una persona;

La LGPDPPSO incluye bajo esta categoría a aquellos

que puedan revelar aspectos como origen racial

o étnico, estado de salud presente y futuro,

información genética, creencias religiosas, filosóficas y morales,

afiliación sindical, opiniones políticas, preferencia sexual

pero no los define

La LGPDPPSO no incluye a los datos biométricos y

15

filosóficas y morales, opiniones políticas y

preferencia sexual (artículo 3.X).

datos personales que revelen el origen étnico o

racial, las opiniones políticas, la afiliación a sindicatos, creencias

religiosas o de otro tipo, salud o vida sexual,

solo debe ser autorizado cuando existan las garantías

adecuadas en la ley, de manera complementaria a

las de este Convenio.

datos relativos a condenas penales como datos sensibles (categorías

especiales)

Tercero ---- ----

«tercero»: persona física o jurídica, autoridad pública,

servicio u organismo distinto del interesado, del

responsable del tratamiento, del encargado del

tratamiento y de las personas autorizadas para tratar los datos personales bajo la autoridad directa del

responsable o del encargado (artículo 4,

apartado 10).

---- ----

Esta definición no está prevista en la LGPDPPSO ni en su normatividad de

desarrollo.

Interesado

Titular: La persona física a quien corresponden los

datos personales (artículo 3. XXI)

----

Toda información sobre una persona física identificada o

identificable («el interesado»); se considerará persona física identificable

toda persona cuya identidad pueda determinarse, directa

o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un

número de identificación, datos de localización, un

identificador en línea o uno o varios elementos propios

de la identidad física, fisiológica, genética, psíquica, económica,

cultural o social de dicha persona (artículo 4,

apartado 1).

---- ---- La definición de la

LGPDPPSO es consistente con el RGPD.

16

Consentimiento del interesado

Consentimiento: Manifestación de la voluntad

del titular de los datos mediante la cual se efectúa el tratamiento de los mismos

(Artículo 3.VIII)

Principio del consentimiento Articulo 12. Previo al

tratamiento de los datos personales, el responsable

deberá obtener el consentimiento del titular, de

manera libre, especifica e informada, en términos del

articulo 20 de la Ley General, salvo que se

actualice algunas de las causales de excepción

previstas en el articulo 22 del mismo ordenamiento.

La actualización de alguna de las fracciones previstas en el artículo 22 de la Ley

General, no exime al responsable del

cumplimiento de las demás obligaciones establecidas

en dicho ordenamiento y los presentes Lineamientos

generales. (Artículo 12, LGPDPSP)

«consentimiento del interesado»: toda

manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea

mediante una declaración o una clara acción afirmativa,

el tratamiento de datos personales que le

conciernen;

---- ----

La LGPDPPSO no indica que el consentimiento se refiera a la manifestación del titular mediante ya sea

mediante una declaración o una clara acción afirmativa.

Limitación del tratamiento ---- ----

«limitación del tratamiento»: el marcado de los datos de

carácter personal conservados con el fin de limitar su tratamiento en el futuro (artículo 4, apartado

3).

---- ---- Esta definición no está

prevista en la LGPDPPSO.

Elaboración de perfiles ---- ----

«elaboración de perfiles»: toda forma de tratamiento

automatizado de datos personales consistente en utilizar datos personales

para evaluar determinados aspectos personales de una persona física, en particular

para analizar o predecir aspectos relativos al

rendimiento profesional, situación económica, salud,

preferencias personales,

---- ----


desarrollo.

17

intereses, fiabilidad, comportamiento, ubicación

o movimientos de dicha persona física;

Seudonimización ---- ----

«seudonimización»: el tratamiento de datos

personales de manera tal que ya no puedan atribuirse a un interesado sin utilizar

información adicional, siempre que dicha

información adicional figure por separado y esté sujeta a

medidas técnicas y organizativas destinadas a

garantizar que los datos personales no se atribuyan

a una persona física identificada o identificable;

---- ----


desarrollo.

Fichero

Conjunto ordenado de datos personales referentes a una persona física identificada o identificable, condicionados

a criterios determinados, con independencia de la forma o modalidad de su creación, tipo de soporte,

procesamiento, almacenamiento y

organización (artículo 2.III)

---

«fichero»: todo conjunto estructurado de datos

personales, accesibles con arreglo a criterios

determinados, ya sea centralizado,

descentralizado o repartido de forma funcional o

geográfica;

b) «fichero automatizado» significa cualquier conjunto de informaciones que sea objeto de un tratamiento

automatizado;

----

Esta definición no está prevista en la LGPDPPSO ni en su normatividad de desarrollo, sino que hace uso del concepto de base

de datos que es equivalente, aunque la

LGPDPPSO no indica que se trate de un conjunto de

datos con arreglo a criterios determinados.

Violación de la seguridad

Artículo 38. Además de las que señalen las leyes

respectivas y la normatividad aplicable, se

considerarán como vulneraciones de

seguridad, en cualquier fase del tratamiento de

datos, al menos, las siguientes:

b. La pérdida o destrucción no autorizada;

II. El robo, extravío o copia no autorizada;

b. El uso, acceso o

----

«violación de la seguridad de los datos personales»:

toda violación de la seguridad que ocasione la

destrucción, pérdida o alteración accidental o ilícita

de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos;

---- ----

La LGPDPPSO usa el concepto de vulneración,

pero no indica que se trate de datos personales

transmitidos, conservados o tratados de otra forma.

18

tratamiento no autorizado, o

IV. El daño, la alteración o modificación

no autorizada.

Datos genéticos ---- ----

«datos genéticos»: datos personales relativos a las características genéticas

heredadas o adquiridas de una persona física que

proporcionen una información única sobre la fisiología o la salud de esa

persona, obtenidos en particular del análisis de una

muestra biológica de tal persona;

---- ----


desarrollo.

Datos biométricos ---- ----

«datos biométricos»: datos personales obtenidos a partir de un tratamiento

técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la

identificación única de dicha persona, como imágenes

faciales o datos dactiloscópicos;

---- ----


desarrollo.

Datos relativos a la salud ---- ----

«datos relativos a la salud»: datos personales relativos a la salud física o mental de

una persona física, incluida la prestación de servicios de

atención sanitaria, que revelen información sobre

su estado de salud;

---- ----


desarrollo.

Establecimiento principal ---- ----

«establecimiento principal»: a) en lo que se refiere a un

responsable del tratamiento con

establecimientos en más de un Estado miembro,

el lugar de su administración central en la Unión, salvo que las

---- ----


desarrollo.

19

decisiones sobre los fines y los medios del

tratamiento se tomen en otro establecimiento del responsable en la Unión

y este último establecimiento tenga el poder de hacer aplicar

tales decisiones, en cuyo caso el establecimiento que haya adoptado tales

decisiones se considerará

establecimiento principal; b) en lo que se refiere a un

encargado del tratamiento con

establecimientos en más de un Estado miembro,

el lugar de su administración central en la Unión o, si careciera

de esta, el establecimiento del

encargado en la Unión en el que se realicen las principales actividades

de tratamiento en el contexto de las

actividades de un establecimiento del

encargado en la medida en que el encargado esté

sujeto a obligaciones específicas con arreglo al

presente Reglamento;

Representante ---- ----

«representante»: persona física o jurídica establecida en la Unión que, habiendo sido designada por escrito por el responsable o el encargado

del tratamiento con arreglo al artículo 27, represente al

responsable o al encargado en lo que respecta a sus

respectivas obligaciones en virtud del presente

---- ----


desarrollo.

20

Reglamento;

Empresa ---- ----

«empresa»: persona física o jurídica dedicada a una actividad económica,

independientemente de su forma jurídica, incluidas las sociedades o asociaciones

que desempeñen regularmente una actividad

económica;

---- ----


desarrollo.

Grupo empresarial ---- ----

«grupo empresarial»: grupo constituido por una empresa que ejerce el control y sus

empresas controladas;

---- ----


desarrollo.

Normas corporativas vinculantes

---- ----

«normas corporativas vinculantes»: las políticas de

protección de datos personales asumidas por un

responsable o encargado del tratamiento establecido en el territorio de un Estado miembro para transferencias

o un conjunto de transferencias de datos

personales a un responsable o encargado en uno o más países terceros,

dentro de un grupo empresarial o una unión de empresas dedicadas a una

actividad económica conjunta;

---- ----


desarrollo.

Autoridad de control pública ---- ----

«autoridad de control»: la autoridad pública

independiente establecida por un Estado miembro con arreglo a lo dispuesto en el

artículo 51;

---- ----


desarrollo.

Autoridad de control interesada ---- ----

«autoridad de control interesada»: la autoridad de

control a la que afecta el tratamiento de datos

personales debido a que:

---- ----


desarrollo.

21

a) el responsable o el encargado del

tratamiento está establecido en el

territorio del Estado miembro de esa

autoridad de control; b) los interesados que

residen en el Estado miembro de esa

autoridad de control se ven sustancialmente

afectados o es probable que se vean

sustancialmente afectados por el tratamiento, o

c) se ha presentado una reclamación ante esa autoridad de control;

Tratamiento transfronterizo»: ---- ----

«tratamiento transfronterizo»:

a) el tratamiento de datos personales realizado en

el contexto de las actividades de

establecimientos en más de un Estado miembro de un responsable o un

encargado del tratamiento en la Unión,

si el responsable o el encargado está

establecido en más de un Estado miembro, o

b) el tratamiento de datos personales realizado en

el contexto de las actividades de un único establecimiento de un

responsable o un encargado del

tratamiento en la Unión, pero que afecta

sustancialmente o es probable que afecte sustancialmente a

---- ----


desarrollo.

22

interesados en más de un Estado miembro;

Objeción pertinente y motivada ---- ----

«objeción pertinente y motivada»: la objeción a una propuesta de decisión sobre

la existencia o no de infracción del presente Reglamento, o sobre la

conformidad con el presente Reglamento de acciones

previstas en relación con el responsable o el encargado

del tratamiento, que demuestre claramente la

importancia de los riesgos que entraña el proyecto de

decisión para los derechos y libertades fundamentales de

los interesados y, en su caso, para la libre

circulación de datos personales dentro de la

Unión;

---- ----


desarrollo.

Servicio de la sociedad de la información ---- ----

«servicio de la sociedad de la información»: todo servicio conforme a la

definición del artículo 1, apartado 1, letra b), de la Directiva (UE) 2015/1535 del Parlamento Europeo y

del Consejo (19);

---- ----


desarrollo.

Organización internacional ---- ----

«organización internacional»: una

organización internacional y sus entes subordinados de

Derecho internacional público o cualquier otro

organismo creado mediante un acuerdo entre dos o más

países o en virtud de tal acuerdo.

---- ----


desarrollo.

23

B. Fundamentos del tratamiento lícito y leal para fines legítimos La siguiente tabla presenta el análisis de la LGPDPPSO y su normatividad de desarrollo a partir de los fundamentos jurídicos existentes para considerar la existencia de un tratamiento lícito y leal para fines legítimos. Al respecto, el WP 254 señala lo siguiente:

El tratamiento de los datos debe ser lícito, leal y legítimo. Las bases legítimas, según las cuales el tratamiento de los datos personales puede ser lícito, leal y legítimo, deben establecerse de manera clara. El marco europeo reconoce varios de estos fundamentos legítimos, incluidas disposiciones en el Derecho nacional, el consentimiento del interesado, la ejecución de un contrato o los intereses legítimos del responsable del tratamiento o de una tercera parte que no prevalezcan sobre los intereses del interesado.

De esta manera, se presentan los distintos fundamentos jurídicos para considerar la existencia de un tratamiento lícito y leal para fines legítimos incluidos en la LGPDPPSO y sus Lineamientos realizando una comparación con el contenido del RGPD, el C108 y el C108+.

24


A. Principios relativos al contenido 2) Fundamentos del tratamiento lícito para fines legítimos

LGPDPPSO LGPDPSP RGPD C108 C108+ Comentarios Artículo 16. El responsable deberá observar los principios de licitud, finalidad, lealtad, consentimiento, calidad, proporcionalidad, información y responsabilidad en el tratamiento de datos personales. Artículo 17. El tratamiento de datos personales por parte del responsable deberá sujetarse a las facultades o atribuciones que la normatividad aplicable le confiera. Artículo 20. Cuando no se actualicen algunas de las causales de excepción previstas en el artículo 22 de la presente Ley, el responsable deberá contar con el consentimiento previo del titular para el tratamiento de los datos personales, el cual deberá otorgarse de forma: I. Libre: Sin que medie error, mala fe, violencia o dolo que puedan afectar la manifestación de voluntad del titular; II. Específica: Referida a finalidades concretas, lícitas, explícitas y legítimas que

Principios generales de protección de datos personales Articulo 7. En todo tratamiento de datos personales el responsable debería observar los siguientes principios rectores de la protección de datos personales: l. Licitud; II. Finalidad; III. Lealtad; IV. Consentimiento; V. Calidad; VI. Proporcionalidad; VII. Información, y VIII. Responsabilidad. Principio de licitud Articulo 8. En términos del articulo 17 de la Ley General, el responsable deberá tratar los datos personales que posea sujetándose a las atribuciones o facultades que la normatividad aplicable le confiera, así como con estricto apego y cumplimiento de lo dispuesto en dicho ordenamiento, los presentes Lineamientos generales, la legislación mexicana que le resulte aplicable y, en su caso, el derecho internacional, respetando los derechos y libertades de los titulares. Principio del consentimiento Articulo 12. Previo al tratamiento de los datos personales, el

Artículo 5 Principios relativos al tratamiento 1. Los datos personales serán: a)tratados de manera lícita, leal y

transparente en relación con el interesado («licitud, lealtad y transparencia»);

b)recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines; de acuerdo con el artículo 89, apartado 1, el tratamiento ulterior de los datos personales con fines de archivo en interés público, fines de investigación científica e histórica o fines estadísticos no se considerará incompatible con los fines iniciales («limitación de la finalidad»);

c) adecuados, pertinentes ylimitados a lo necesario enrelación con los fines para losque son tratados («minimizaciónde datos»);

d)exactos y, si fuera necesario, actualizados; se adoptarán todas las medidas razonables para que se supriman o rectifiquen sin dilación los datos personales que sean inexactos con respecto a los fines para los que se tratan («exactitud»);

e)mantenidos de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento de los datos personales; los datos personales podrán conservarse durante períodos más largos siempre que

Artículo 5. Calidad de los datos Los datos de carácter personal que sean objeto de un tratamiento automatizado: a. Se obtendrán y tratarán leal y legítimamente; b. se registrarán para finalidades determinadas y legítimas, y no se utilizarán de una forma incompatible con dichas finalidades; c. serán adecuados, pertinentes y no excesivos en relación con las finalidades para las cuales se hayan registrado; d. serán exactos y si fuera necesario puestos al día; e. se conservarán bajo una forma que permita la identificación de las personas concernidas durante un período de tiempo que no exceda del necesario para las finalidades para las cuales se hayan registrado.

Artículo 5 – Legitimidad de los datos, procesamiento y calidad de los datos 1. El tratamiento de datos debe ser proporcional en relación con el propósito legítimo que se persigue y reflejar, en todas las etapas del procesamiento, un balance justo entre todos los intereses involucrados, ya sean públicos o privados, así como los derechos y libertades en juego. 2. Cada Parte debe establecer que el tratamiento de datos podrá realizarse en la base del consentimiento libre, específico, informado e inequívoco de la persona concernida o, de lo contrario, por alguna otra causa legítima establecida en la ley. 3. Los datos personales sometidos a tratamiento deben ser procesados de manera legal. 4. Los datos personales sometidos a tratamiento deben ser: a. Procesados de manera clara y de una manera transparente; b. Recolectados para propósitos explícitos, específicos y legítimos, además de no ser procesados en un modo incompatible con aquellos propósitos; el tratamiento adicional con motivos archivísticos, científicos, de investigación histórica o con fines estadísticos es, siempre que sea sujeto a las limitaciones apropiadas, compatible con estos propósitos; c. adecuado, relevante y no

La LGPDPPSO y su normatividad de desarrollo no consideran el interés legítimo como una base para la legitimación del tratamiento de datos personales. La LGPDPPSO y su normatividad de desarrollo no consideran el interés público como una base para la legitimación del tratamiento de datos personales. En la LGPDPPSO y su normatividad de desarrollo el consentimiento es la principal base para legitimar el tratamiento de datos personales:

25



justifiquen el tratamiento, e III. Informada: Que el titular tenga conocimiento del aviso de privacidad previo al tratamiento a que serán sometidos sus datos personales. En la obtención del consentimiento de menores de edad o de personas que se encuentren en estado de interdicción o incapacidad declarada conforme a la ley, se estará a lo dispuesto en las reglas de representación previstas en la legislación civil que resulte aplicable. … Artículo 22. El responsable no estará obligado a recabar el consentimiento del titular para el tratamiento de sus datos personales en los siguientes casos: I. Cuando una ley así lo disponga, debiendo dichos supuestos ser acordes con las bases, principios y disposiciones establecidos en esta Ley, en ningún caso, podrán contravenirla; II. Cuando las transferencias que se realicen entre responsables, sean sobre datos personales que se utilicen para el ejercicio de facultades propias, compatibles o análogas con la finalidad que motivó el tratamiento de los datos personales; III. Cuando exista una orden judicial, resolución o mandato fundado y motivado de autoridad

responsable deberá obtener el consentimiento del titular, de manera libre, específica e informada, en términos del articulo 20 de la Ley General, salvo que se actualice algunas de las causales de excepción previstas en el articulo 22 del mismo ordenamiento. La actualización de alguna de las fracciones previstas en el artículo 22 de la Ley General, no exime al responsable del cumplimiento de las demás obligaciones establecidas en dicho ordenamiento y los presentes Lineamientos generales.

se traten exclusivamente con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, de conformidad con el artículo 89, apartado 1, sin perjuicio de la aplicación de las medidas técnicas y organizativas apropiadas que impone el presente Reglamento a fin de proteger los derechos y libertades del interesado («limitación del plazo de conservación»);

f)tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas («integridad y confidencialidad»).

2. El responsable del tratamiento será responsable del cumplimiento de lo dispuesto en el apartado 1 y capaz de demostrarlo («responsabilidad proactiva»). Artículo 6 Licitud del tratamiento 1. El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones: a) el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos; b) el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la

excesivo con relación a los propósitos para los que son procesados; d. exactos y, cuando es el caso, actualizados; e. se conservarán bajo una forma que permita la identificación de las personas concernidas durante un período de tiempo que no exceda del necesario para las finalidades para las cuales se hayan registrado.

26



competente; IV. Para el reconocimiento o defensa de derechos del titular ante autoridad competente; V. Cuando los datos personales se requieran para ejercer un derecho o cumplir obligaciones derivadas de una relación jurídica entre el titular y el responsable; VI. Cuando exista una situación de emergencia que potencialmente pueda dañar a un individuo en su persona o en sus bienes; VII. Cuando los datos personales sean necesarios para efectuar un tratamiento para la prevención, diagnóstico, la prestación de asistencia sanitaria; VIII. Cuando los datos personales figuren en fuentes de acceso público; IX. Cuando los datos personales se sometan a un procedimiento previo de disociación, o X. Cuando el titular de los datos personales sea una persona reportada como desaparecida en los términos de la ley en la materia.

aplicación a petición de este de medidas precontractuales; c) el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento; d) el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física; e) el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento; f) el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño. Lo dispuesto en la letra f) del párrafo primero no será de aplicación al tratamiento realizado por las autoridades públicas en el ejercicio de sus funciones.

Artículo 19. El responsable no deberá obtener y tratar datos personales, a través de medios engañosos o fraudulentos, privilegiando la protección de los intereses del titular y la expectativa razonable de privacidad.

Principio de lealtad Articulo 11. En términos de lo dispuesto en el artículo 19 de la Ley General y los presentes Lineamientos generales, se entenderá: I. Por medios engañosos o fraudulentos aquellos que el responsable utilice para tratar los

Artículo 5 Principios relativos al tratamiento 1. Los datos personales serán: a)tratados de manera lícita, leal y

transparente en relación con el interesado («licitud, lealtad y transparencia»);

y capaz de demostrarlo («responsabilidad proactiva»).

Artículo 5. Calidad de los datos Los datos de carácter personal que sean objeto de un tratamiento automatizado: a. Se obtendrán y tratarán leal y legítimamente; b. se registrarán para finalidades determinadas y legítimas, y no se utilizarán de una forma

Artículo 5 – Legitimidad de los datos, procesamiento y calidad de los datos 1. El tratamiento de datos debe ser proporcional en relación con el propósito legítimo que se persigue y reflejar, en todas las etapas del procesamiento, un balance justo entre todos los

En la LGPDPPSO el principio de lealtad y licitud son independientes. En general este principio es compatible con las disposiciones del RGPD.

27



datos personales con dolo, mala fe o negligencia; II. Que el responsable privilegia los intereses del titular cuando el tratamiento de datos personales que efectúa no da lugar a una discriminación o trato injusto o arbitrario contra este, y III. Por expectativa razonable de privacidad, la confianza que el titular ha depositado en el responsable respecto a que sus datos personales serán tratados conforme a lo señalado en el aviso de privacidad y en cumplimiento a las disposiciones previstas en la Ley General y los presentes Lineamientos generales.

… incompatible con dichas finalidades; c. serán adecuados, pertinentes y no excesivos en relación con las finalidades para las cuales se hayan registrado; d. serán exactos y si fuera necesario puestos al día; e. se conservarán bajo una forma que permita la identificación de las personas concernidas durante un período de tiempo que no exceda del necesario para las finalidades para las cuales se hayan registrado.

intereses involucrados, ya sean públicos o privados, así como los derechos y libertades en juego. 2. Cada Parte debe establecer que el tratamiento de datos podrá realizarse en la base del consentimiento libre, específico, informado e inequívoco de la persona concernida o, de lo contrario, por alguna otra causa legítima establecida en la ley. 3. Los datos personales sometidos a tratamiento deben ser procesados de manera legal. …

29

C. Principio de limitación de la finalidad La siguiente tabla presenta el análisis de la LGPDPPSO y los LGPDPSP a partir del cumplimento al principio de limitación de la finalidad. Al respecto, el WP 254 señala que “los datos deben ser tratados para un fin específico y utilizados posteriormente solo en la medida en que esto no sea incompatible con el fin del tratamiento.” De esta manera, se presentan los distintos fundamentos jurídicos en los que se regula el principio de limitación de la finalidad en la LGPDPPSO y sus Lineamientos realizando una comparación con el contenido del RGPD, el C108 y el C108+.

30


A. Principios relativos al contenido 3) Principio de limitación de la finalidad

LGPDPPSO LGPDPSP RGPD C108 C108+ Comentarios Artículo 18. Todo tratamiento de datos personales que efectúe el responsable deberá estar justificado por finalidades concretas, lícitas, explícitas y legítimas, relacionadas con las atribuciones que la normatividad aplicable les confiera. El responsable podrá tratar datos personales para finalidades distintas a aquéllas establecidas en el aviso de privacidad, siempre y cuando cuente con atribuciones conferidas en la ley y medie el consentimiento del titular, salvo que sea una persona reportada como desaparecida, en los términos previstos en la presente Ley y demás disposiciones que resulten aplicables en la materia. Artículo 25. El responsable sólo deberá tratar los datos personales que resulten adecuados, relevantes y estrictamente necesarios para la finalidad que justifica su tratamiento.

Principio de finalidad Articulo 9. Para efectos de lo previsto en el articulo 18, primer párrafo de la Ley General y los presentes Lineamientos generales, se entenderá� que las finalidades son: l. Concretas: cuando el tratamiento de los datos personales atiende a la consecución de fines específicos o determinados, sin que admitan errores, distintas interpretaciones o provoquen incertidumbre, dudas o confusión en el titular; II. Explicitas: cuando las finalidades se expresan y dan a conocer de manera clara en el aviso de privacidad; III. Licitas: cuando las finalidades que justifican el tratamiento de los datos personales son acordes con las atribuciones o facultades del responsable, conforme a lo previsto en la legislación mexicana y el derecho internacional que le resulte aplicable, IV. Legítimas: cuando las finalidades que motivan el tratamiento de los datos personales se encuentran habilitadas por el consentimiento del titular, salvo que se actualice alguna de las causales de excepción previstas en el articulo 22 de la Ley General. Tratamiento para finalidades distintas Artículo 10. En el tratamiento de datos personales para finalidades distintas a aquellas que motivaron

Artículo 5 Principios relativos al tratamiento 1. Los datos personales serán: … b) recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines; de acuerdo con el artículo 89, apartado 1, el tratamiento ulterior de los datos personales con fines de archivo en interés público, fines de investigación científica e histórica o fines estadísticos no se considerará incompatible con los fines iniciales («limitación de la finalidad»);


Artículo 5 – Legitimidad de los datos, procesamiento y calidad de los datos 1. El tratamiento de datos debe ser proporcional en relación con el propósito legítimo que se persigue y reflejar, en todas las etapas del procesamiento, un balance justo entre todos los intereses involucrados, ya sean públicos o privados, así como los derechos y libertades en juego. 2, Cada Parte debe establecer que el tratamiento de datos podrá realizarse en la base del consentimiento libre, específico, informado e inequívoco de la persona concernida o, de lo contrario, por alguna otra causa legítima establecida en la ley. 3. Los datos personales sometidos a tratamiento deben ser procesados de manera legal. 4. Los datos personales sometidos a tratamiento deben ser: a. Procesados de manera clara y de una manera transparente; b. Recolectados para propósitos explícitos, específicos y legítimos, además de no ser procesados en un modo incompatible con aquellos propósitos; el tratamiento adicional con motivos archivísticos, científicos, de investigación histórica o con fines estadísticos es, siempre que sea sujeto a las limitaciones apropiadas, compatible con estos propósitos; c. adecuado, relevante y no excesivo en relación con los

La previsión del principio de finalidad resulta congruente con el RGPD ya que la Ley prohíbe el tratamiento para finalidades distintas (art. 18 de la LGPDPPSO). Sin embargo, la LGPDPPSO no señala que el tratamiento ulterior de los datos personales con fines de archivo en interés público, fines de investigación científica e histórica o fines estadísticos no se considerará incompatible con los fines iniciales

31

su tratamiento original a que se refiere el articulo 18, segundo párrafo de la Ley General, el responsable deberá� considerar: l. La expectativa razonable de privacidad de la titular basada en la relación que tiene con este; II. La naturaleza de los datos personales; III. Las consecuencias del tratamiento posterior de los datos personales para el titular, y IV. Las medidas adoptadas para que el tratamiento posterior de los datos personales cumpla con las disposiciones previstas en la Ley General y los presentes Lineamientos generales.

propósitos para los que son procesados; d. exactos y, cuando es el caso, actualizados; e. se conservarán bajo una forma que permita la identificación de las personas concernidas durante un período de tiempo que no exceda del necesario para las finalidades para las cuales se hayan registrado.

33

D. Principio de calidad de los datos y proporcionalidad La siguiente tabla presenta el análisis de la LGPDPPSO y los LGPDPSP a partir del cumplimento de los principios de calidad y proporcionalidad. Al respecto, el WP 254 señala que “los datos deberán ser precisos y, en caso necesario, se mantendrán actualizados. Los datos deberán ser adecuados, pertinentes y no excesivos con respecto a los fines para los que se traten”. De esta manera, se presentan los distintos fundamentos jurídicos en los que se regulan los principios de calidad y proporcionalidad en la LGPDPPSO y sus Lineamientos realizando una comparación con el contenido del RGPD, el C108 y el C108+.

34


A. Principios relativos al contenido Principios de calidad y proporcionalidad

LGPDPPSO LGPDPSP RGPD C108 C108+ Comentarios Artículo 23. El responsable deberá adoptar las medidas necesarias para mantener exactos, completos, correctos y actualizados los datos personales en su posesión, a fin de que no se altere la veracidad de éstos. Se presume que se cumple con la calidad en los datos personales cuando éstos son proporcionados directamente por el titular y hasta que éste no manifieste y acredite lo contrario. Cuando los datos personales hayan dejado de ser necesarios para el cumplimiento de las finalidades previstas en el aviso de privacidad y que motivaron su tratamiento conforme a las disposiciones que resulten aplicables, deberán ser suprimidos, previo bloqueo en su caso, y una vez que concluya el plazo de conservación de los mismos. Los plazos de conservación de los datos personales no deberán exceder aquéllos que sean necesarios para el cumplimiento de las finalidades que justificaron su tratamiento, y deberán atender a las disposiciones aplicables en la materia de que se trate y considerar los aspectos administrativos, contables, fiscales, jurídicos e históricos de los datos personales. Artículo 24. El responsable

Principio de calidad Articulo 21. Para efectos del artículo 23 de la Ley General y los presentes Lineamientos generales, se entenderá� que los datos personales son: I. Exactos y correctos: cuando los datos personales en posesión del responsable no presentan errores que pudieran afectar su veracidad; II. Completos: cuando su integridad permite el cumplimiento de las finalidades que motivaron su tratamiento y de las atribuciones del responsable, y III. Actualizados: cuando los datos personales responden fielmente a la situación actual del titular. Presunción de calidad de los datos personales cuando se obtienen indirectamente del titular Articulo 22. Cuando los datos personales fueron obtenidos indirectamente del titular, el responsable deberá� adoptar medidas de cualquier naturaleza dirigidas a garantizar que estos responden al principio de calidad, de acuerdo con la categoría de datos personales y las condiciones y medios del tratamiento. Supresión de los datos personales Articulo 23. En la supresión de los

Artículo 5 Principios relativos al tratamiento 1. Los datos personales serán: … c) adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados («minimización de datos») d) exactos y, si fuera necesario, actualizados; se adoptarán todas las medidas razonables para que se supriman o rectifiquen sin dilación los datos personales que sean inexactos con respecto a los fines para los que se tratan («exactitud»);


Artículo 5 – Legitimidad de los datos, procesamiento y calidad de los datos 1. El tratamiento de datos debe ser proporcional en relación con el propósito legítimo que se persigue y reflejar, en todas las etapas del procesamiento, un balance justo entre todos los intereses involucrados, ya sean públicos o privados, así como los derechos y libertades en juego. 2. Cada Parte debe establecer que el tratamiento de datos podrá realizarse en la base del consentimiento libre, específico, informado e inequívoco de la persona concernida o, de lo contrario, por alguna otra causa legítima establecida en la ley. 3. Los datos personales sometidos a tratamiento deben ser procesados de manera legal. 4. Los datos personales sometidos a tratamiento deben ser: a. Procesados de manera clara y de una manera transparente; b. Recolectados para propósitos explícitos, específicos y legítimos, además de no ser procesados en un modo incompatible con aquellos propósitos; el tratamiento adicional con motivos archivísticos, científicos, de investigación histórica o con fines estadísticos es, siempre que sea sujeto a las limitaciones apropiadas, compatible con estos propósitos; c. adecuado, relevante y no

La previsión del principio de calidad en la LGPDPPSO y los LGPDPSP y su Reglamento resulta congruente con el RGPD

35

deberá establecer y documentar los procedimientos para la conservación y, en su caso, bloqueo y supresión de los datos personales que lleve a cabo, en los cuales se incluyan los periodos de conservación de los mismos, de conformidad con lo dispuesto en el artículo anterior de la presente Ley. En los procedimientos a que se refiere el párrafo anterior, el responsable deberá incluir mecanismos que le permitan cumplir con los plazos fijados para la supresión de los datos personales, así como para realizar una revisión periódica sobre la necesidad de conservar los datos personales.

datos personales a que se refiere el articulo 23, párrafo tercero de la Ley General, el responsable deberá� establecer políticas, métodos y técnicas orientadas a la supresión definitiva de estos, de tal manera que la probabilidad de recuperarlos o reutilizarlos sea mínima. En el establecimiento de las políticas, métodos y técnicas a que se refiere el párrafo anterior, el responsable deberá� considerar, al menos, los siguientes atributos y el o los medios de almacenamiento, físicos y/o electrónicos en los que se encuentren los datos personales: I. Irreversibilidad: que el proceso utilizado no permita recuperar los datos personales; II. Seguridad y confidenciada: que en la eliminación definitiva de los datos personales se consideren los deberes de confidencialidad y seguridad a que se refieren la Ley General y los presentes Lineamientos generales, y III. Favorable al medio ambiente: que el método utilizado produzca el mínimo de emisiones y desperdicios que afecten el medio ambiente.

excesivo en relación a los propósitos para los que son procesados; d. exactos y, cuando es el caso, actualizados; e. se conservarán bajo una forma que permita la identificación de las personas concernidas durante un período de tiempo que no exceda del necesario para las finalidades para las cuales se hayan registrado.

Artículo 25. El responsable sólo deberá tratar los datos personales que resulten adecuados, relevantes y estrictamente necesarios para la finalidad que justifica su tratamiento.

Principio de proporcionalidad Articulo 24. En términos del artículo 25 de la Ley General y los presentes Lineamientos generales, se entenderá� que los datos personales son adecuados, relevantes y estrictamente necesarios cuando son apropiados, indispensables y no excesivos para el cumplimiento de las finalidades que motivaron su obtención, de acuerdo con las

El RGPD en el apartado c) de su artículo 5 señala lo siguiente: Artículo 5 Principios relativos al tratamiento 1. Los datos personales serán: … c) adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados («minimización de datos»)

Artículo 5. Calidad de los datos Los datos de carácter personal que sean objeto de un tratamiento automatizado: a. Se obtendrán y tratarán leal y legítimamente; b. se registrarán para finalidades determinadas y legítimas, y no se utilizarán de una forma incompatible con dichas finalidades; c. serán adecuados, pertinentes y

Artículo 5 – Legitimidad de los datos, procesamiento y calidad de los datos 1. El tratamiento de datos debe ser proporcional en relación con el propósito legítimo que se persigue y reflejar, en todas las etapas del procesamiento, un balance justo entre todos los intereses involucrados, ya sean públicos o privados, así como los derechos y libertades en juego.

La previsión del principio de proporcionalidad resulta congruente con el RGPD.

36

atribuciones conferidas al responsable por la normatividad que le resulte aplicable. Criterio de minimización Articulo 25. El responsable deberá realizar esfuerzos razonables para limitar los datos personales tratados al mínimo necesario, con relación a las finalidades que motivan su tratamiento.

no excesivos en relación con las finalidades para las cuales se hayan registrado; d. serán exactos y si fuera necesario puestos al día; e. se conservarán bajo una forma que permita la identificación de las personas concernidas durante un período de tiempo que no exceda del necesario para las finalidades para las cuales se hayan registrado.

2. Cada Parte debe establecer que el tratamiento de datos podrá realizarse en la base del consentimiento libre, específico, informado e inequívoco de la persona concernida o, de lo contrario, por alguna otra causa legítima establecida en la ley. 3. Los datos personales sometidos a tratamiento deben ser procesados de manera legal. 4. Los datos personales sometidos a tratamiento deben ser: a. Procesados de manera clara y de una manera transparente; b. Recolectados para propósitos explícitos, específicos y legítimos, además de no ser procesados en un modo incompatible con aquellos propósitos; el tratamiento adicional con motivos archivísticos, científicos, de investigación histórica o con fines estadísticos es, siempre que sea sujeto a las limitaciones apropiadas, compatible con estos propósitos; c. adecuado, relevante y no excesivo con relación a los propósitos para los que son procesados; d. exactos y, cuando es el caso, actualizados; e. se conservarán bajo una forma que permita la identificación de las personas concernidas durante un período de tiempo que no exceda del necesario para las finalidades para las cuales se hayan registrado.

37

E. Principio de retención de datos La siguiente tabla presenta el análisis de la LGPDPPSO y los LGPDPSP a partir del cumplimento del principio de retención de datos. Al respecto, el WP 254 señala que “por regla general, los datos deben almacenarse durante un período no superior al necesario para los fines para los que se tratan”. De esta manera, se presentan los distintos fundamentos jurídicos en los que se regula el principio de retención de datos en la LGPDPPSO y sus Lineamientos realizando una comparación con el contenido del RGPD, el C108 y el C108+.

38


A. Principios relativos al contenido 5) Principio de retención de datos

LGPDPPSO LGPDPSP RGPD C108 C108+ Comentarios Artículo 23. El responsable deberá adoptar las medidas necesarias para mantener exactos, completos, correctos y actualizados los datos personales en su posesión, a fin de que no se altere la veracidad de éstos. Se presume que se cumple con la calidad en los datos personales cuando éstos son proporcionados directamente por el titular y hasta que éste no manifieste y acredite lo contrario. Cuando los datos personales hayan dejado de ser necesarios para el cumplimiento de las finalidades previstas en el aviso de privacidad y que motivaron su tratamiento conforme a las disposiciones que resulten aplicables, deberán ser suprimidos, previo bloqueo en su caso, y una vez que concluya el plazo de conservación de los mismos. Los plazos de conservación de los datos personales no deberán exceder aquéllos que sean necesarios para el cumplimiento de las finalidades que justificaron su tratamiento, y deberán atender a las disposiciones aplicables en la materia de que se trate y considerar los aspectos administrativos, contables, fiscales, jurídicos e históricos de los datos personales. Artículo 24. El responsable deberá establecer y documentar los procedimientos para la conservación y, en su caso,

Supresión de los datos personales Articulo 23. En la supresión de los datos personales a que se refiere el articulo 23, párrafo tercero de la Ley General, el responsable deberá establecer políticas, métodos y técnicas orientadas a la supresión definitiva de estos, de tal manera que la probabilidad de recuperarlos o reutilizarlos sea mínima. En el establecimiento de las políticas, métodos y técnicas a que se refiere el párrafo anterior, el responsable deberá considerar, al menos, los siguientes atributos y el o los medios de almacenamiento, físicos y/o electrónicos en los que se encuentren los datos personales: I. Irreversibilidad: que el proceso utilizado no permita recuperar los datos personales; II. Seguridad y confidenciada: que en la eliminación definitiva de los datos personales se consideren los deberes de confidencialidad y seguridad a que se refieren la Ley General y los presentes Lineamientos generales, y III. Favorable al medio ambiente: que el método utilizado produzca el mínimo de emisiones y desperdicios que afecten el medio ambiente.

Artículo 5 Principios relativos al tratamiento 1. Los datos personales serán: … e) mantenidos de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento de los datos personales; los datos personales podrán conservarse durante períodos más largos siempre que se traten exclusivamente con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, de conformidad con el artículo 89, apartado 1, sin perjuicio de la aplicación de las medidas técnicas y organizativas apropiadas que impone el presente Reglamento a fin de proteger los derechos y libertades del interesado («limitación del plazo de conservación»);


Artículo 5 – Legitimidad de los datos, procesamiento y calidad de los datos 1. El tratamiento de datos debe ser proporcional en relación con el propósito legítimo que se persigue y reflejar, en todas las etapas del procesamiento, un balance justo entre todos los intereses involucrados, ya sean públicos o privados, así como los derechos y libertades en juego. 2. Cada Parte debe establecer que el tratamiento de datos podrá realizarse en la base del consentimiento libre, específico, informado e inequívoco de la persona concernida o, de lo contrario, por alguna otra causa legítima establecida en la ley. 3. Los datos personales sometidos a tratamiento deben ser procesados de manera legal. 4. Los datos personales sometidos a tratamiento deben ser: a. Procesados de manera clara y de una manera transparente; b. Recolectados para propósitos explícitos, específicos y legítimos, además de no ser procesados en un modo incompatible con aquellos propósitos; el tratamiento adicional con motivos archivísticos, científicos, de investigación histórica o con fines estadísticos es, siempre que sea sujeto a las limitaciones apropiadas, compatible con estos propósitos; c. adecuado, relevante y no excesivo con relación a los

El principio de retención de datos forma parte del principio de calidad en la LGPDPPSO y los LGPDPSP. La LGPDPPSO no considera la conservación de datos con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos. Sin embargo, el artículo 6 contempla las siguientes limitaciones al ejercicio del derecho de protección de datos: Artículo 6. El Estado garantizará la privacidad de los individuos y deberá velar porque terceras personas no incurran en conductas que puedan afectarla arbitrariamente. El derecho a la protección de los datos personales solamente se limitará por razones de seguridad nacional, en términos de la ley en la materia, disposiciones de orden público, seguridad y salud públicas o para proteger los derechos de terceros. .

39

bloqueo y supresión de los datos personales que lleve a cabo, en los cuales se incluyan los periodos de conservación de los mismos, de conformidad con lo dispuesto en el artículo anterior de la presente Ley. En los procedimientos a que se refiere el párrafo anterior, el responsable deberá incluir mecanismos que le permitan cumplir con los plazos fijados para la supresión de los datos personales, así como para realizar una revisión periódica sobre la necesidad de conservar los datos personales.

propósitos para los que son procesados; d. exactos y, cuando es el caso, actualizados; e. se conservarán bajo una forma que permita la identificación de las personas concernidas durante un período de tiempo que no exceda del necesario para las finalidades para las cuales se hayan registrado.

41

F. Principio de seguridad y confidencialidad La siguiente tabla presenta el análisis de la LGPDPPSO y sus Lineamientos a partir del cumplimento de los principios de seguridad y confidencialidad. Al respecto, el WP 254 señala:

Cualquier entidad que trate datos personales debe garantizar que estos son tratados de tal manera que se garantice su seguridad, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidentales, mediante la aplicación de medidas técnicas u organizativas adecuadas, y que el nivel de seguridad debe tener en cuenta el estado de la técnica y los costes relacionados.

De esta manera, se presentan los distintos fundamentos jurídicos en los que se regulan los principios de seguridad y confidencialidad en la LGPDPPSO y sus Lineamientos realizando una comparación con el contenido del RGPD, el C108 y el C108+.

42


A. Principios relativos al contenido 6) Principio de seguridad

LGPDPPSO LGPDPSP Otras disposiciones RGPD C108 C108+ Comentarios Artículo 31. Con independencia del tipo de sistema en el que se encuentren los datos personales o el tipo de tratamiento que se efectúe, el responsable deberá establecer y mantener las medidas de seguridad de carácter administrativo, físico y técnico para la protección de los datos personales, que permitan protegerlos contra daño, pérdida, alteración, destrucción o su uso, acceso o tratamiento no autorizado, así como garantizar su confidencialidad, integridad y disponibilidad. Artículo 32. Las medidas de seguridad adoptadas por el responsable deberán considerar: I. El riesgo inherente a los datos personales tratados; II. La sensibilidad de los datos personales tratados; III. El desarrollo tecnológico; IV. Las posibles consecuencias de una vulneración para los titulares; V. Las transferencias de datos personales que se realicen; VI. El número de titulares; VII. Las vulneraciones previas ocurridas en los sistemas de tratamiento, y

Deber de seguridad Articulo 55. El responsable deberá� establecer y mantener medidas de seguridad de carácter administrativo, físico y técnico para la protección de los datos personales en su posesión de conformidad con lo previsto en los artículos 31, 32 Y33 de la Ley General, con el objeto de impedir, que cualquier tratamiento de datos personales contravenga las disposiciones de dicho ordenamiento y los presentes Lineamientos generales. Las medidas de seguridad a las que se refiere el párrafo anterior constituyen mínimos exigibles, por lo que el responsable podrá� adoptar las medidas adicionales que estime necesarias para brindar mayores garantías en la protección de los datos personales en su posesión, Lo anterior, sin perjuicio de lo establecido por aquellas disposiciones vigentes en materia de seguridad de la información emitidas por otras autoridades, cuando estas contemplen una mayor protección para el titular o complementen lo dispuesto en la Ley General y los presentes Lineamientos generales.

-Guía para el Borrado Seguro de Datos Personales: Describe métodos y técnicas basadas en las mejores prácticas y estándares, para la eliminación segura de los datos personales en los sistemas de tratamiento. - Recomendaciones para el Manejo de Incidentes de Seguridad: Tienen por objeto describir los procesos y controles recomendados por el Instituto para generar un plan de respuesta a incidentes de seguridad, en particular para mitigar las vulneraciones a la seguridad de los datos personales - Criterios Mínimos Sugeridos para la Contratación de Servicios de Cómputo en la Nube que Impliquen el Tratamiento de Datos Personales: Los Criterios tienen por objeto establecer consideraciones mínimas que orienten a los responsables del tratamiento de datos personales en la selección y contratación de proveedores, para los servicios de infraestructura, plataforma y software del denominado cómputo en la nube, que ofrezcan garantías de un debido tratamiento de datos personales, a fin de

Artículo 32 Seguridad del tratamiento 1. Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya, entre otros: 2. Al evaluar la adecuación del nivel de seguridad se tendrán particularmente en cuenta los riesgos que presente el tratamiento de datos, en particular como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos. a) la seudonimización y el cifrado de datos personales; b) la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de

Artículo 7. Seguridad de los datos Se tomarán medidas de seguridad apropiadas para la protección de datos de carácter personal registrados en ficheros automatizados contra la destrucción accidental o no autorizada, o la pérdida accidental, así como contra el acceso, la modificación o la difusión no autorizados.

Artículo 7 – Seguridad de los datos 1. Cada Parte debe establecer que el responsable, y, de ser el caso, el procesador, toma las medidas de seguridad apropiadas en contra de riesgos como el acceso accidental o no autorizado, la destrucción, pérdida, uso, modificación o divulgación de los datos personales. 2. Cada Parte debe establecer la obligación del responsable de notificar sin demora a la autoridad competente en los términos del Artículo 15 de este Convenio, de aquéllas filtraciones de datos que puedan interferir de manera seria con los derechos y las libertades fundamentales de las personas concernidas.

Las medidas y elementos previstos en los LGPDPSP son amplios e incluso prevén mayores elementos que el RGPD por lo que se puede considerar que existe suficiencia en el cumplimiento del deber de seguridad. Aunque los factores para considerar la seguridad de datos del artículo 32 de la LGPDPPSO no son idénticos al RGPD pueden ser equivalentes ya que se incluye el enfoque de riesgo como parte de ellos. Las acciones desarrolladas por el INAI aportan una gran concreción práctica que permite delimitar el alcance del deber de seguridad y cumplirlo en la práctica. La LGPDPPSO no establece la obligación de implementar medidas de seguridad como la seudonimización, la capacidad de garantizar la confidencialidad, integridad, disponibilidad, la resiliencia permanentes de los sistemas y servicios de tratamiento; la capacidad de restaurar la disponibilidad y el acceso a los datos personales de

43

VIII. El riesgo por el valor potencial cuantitativo o cualitativo que pudieran tener los datos personales tratados para una tercera persona no autorizada para su posesión. Artículo 33. Para establecer y mantener las medidas de seguridad para la protección de los datos personales, el responsable deberá realizar, al menos, las siguientes actividades interrelacionadas: I. Crear políticas internas para la gestión y tratamiento de los datos personales, que tomen en cuenta el contexto en el que ocurren los tratamientos y el ciclo de vida de los datos personales, es decir, su obtención, uso y posterior supresión; II. Definir las funciones y obligaciones del personal involucrado en el tratamiento de datos personales; III. Elaborar un inventario de datos personales y de los sistemas de tratamiento; IV. Realizar un análisis de riesgo de los datos personales, considerando las amenazas y vulnerabilidades existentes para los datos personales y los recursos involucrados en su tratamiento, como pueden ser, de manera enunciativa más no limitativa, hardware, software, personal del responsable, entre otros; V. Realizar un análisis de brecha, comparando las

Contenido de las políticas internas de gestión y tratamiento de los datos personales Artículo 56. Con relación a lo previsto en el articulo 33, fracción I de la Ley General, el responsable deberá� incluir en el diseño e implementación de las políticas internas para la gestión y el tratamiento de los datos personales, al menos, lo siguiente: I. El cumplimiento de todos los principios, deberes, derechos y demás obligaciones en la materia, de conformidad con lo previsto en la Ley General y los presentes Lineamientos generales; Los roles y responsabilidades especificas de los involucrados internos y externos dentro de su organización, relacionados con los tratamientos de datos personales que se efectúen; II. Los roles y responsabilidades especificas de los involucrados internos y externos dentro de su organización, relacionados con los tratamientos de datos personales que se efectúen; III. Las sanciones en caso de incumplimiento; IV. La identificación del ciclo de vida de los datos personales respecto de cada tratamiento que se efectúe; considerando la obtención, almacenamiento, uso,

cumplir con las obligaciones que establece la normatividad en la materia y evitar una vulneración en la protección de los datos personales en su posesión

tratamiento; c) la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico; d) un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento. 3. La adhesión a un código de conducta aprobado a tenor del artículo 40 o a un mecanismo de certificación aprobado a tenor del artículo 42 podrá servir de elemento para demostrar el cumplimiento de los requisitos establecidos en el apartado 1 del presente artículo. 4. El responsable y el encargado del tratamiento tomarán medidas para garantizar que cualquier persona que actúe bajo la autoridad del responsable o del encargado y tenga acceso a datos personales solo pueda tratar dichos datos siguiendo instrucciones del responsable, salvo que esté obligada a ello en virtud del Derecho de la Unión o de los Estados miembros. Artículo 33 Notificación de una violación de la seguridad de los datos personales a la autoridad de control 1. En caso de violación de la seguridad de los datos personales, el responsable

forma rápida en caso de incidente físico o técnico y un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento. No se establece la obligación de que la autoridad (INAI) pueda obligar al responsable a notificar una vulneración que reporte un alto riesgo a los derechos y libertades de los titulares.

44

medidas de seguridad existentes contra las faltantes en la organización del responsable; VI. Elaborar un plan de trabajo para la implementación de las medidas de seguridad faltantes, así como las medidas para el cumplimiento cotidiano de las políticas de gestión y tratamiento de los datos personales; VII. Monitorear y revisar de manera periódica las medidas de seguridad implementadas, así como las amenazas y vulneraciones a las que están sujetos los datos personales, y VIII. Diseñar y aplicar diferentes niveles de capacitación del personal bajo su mando, dependiendo de sus roles y responsabilidades respecto del tratamiento de los datos personales. Artículo 34. Las acciones relacionadas con las medidas de seguridad para el tratamiento de los datos personales deberán estar documentadas y contenidas en un sistema de gestión. Se entenderá por sistema de gestión al conjunto de elementos y actividades interrelacionadas para establecer, implementar, operar, monitorear, revisar, mantener y mejorar el tratamiento y seguridad de los datos personales, de conformidad con lo previsto en la presente Ley y las

procesamiento, divulgación, retención, destrucción o cualquier otra operación realizada durante dicho ciclo en función de las finalidades para las que fueron recabados; V. El proceso general para el establecimiento, actualización, monitoreo y revisión de los mecanismos y medidas de seguridad; considerando el análisis de riesgo realizado previamente al tratamiento de los datos personales, y VI. El proceso general de atención de los derechos ARCO. Funciones y obligaciones Artículo 57. Con relación a lo dispuesto en el articulo 33, fracción II de la Ley General, el responsable deberá� establecer y documentar los roles y responsabilidades, así como la cadena de rendición de cuentas de todas las personas que traten datos personales en su organización, conforme al sistema de gestión implementado. El responsable deberá� establecer mecanismos para asegurar que todas las personas involucradas en el tratamiento de datos personales en su organización conozcan sus funciones para el cumplimiento de los objetivos del sistema de gestión, así� como las consecuencias de su incumplimiento.

del tratamiento la notificará a la autoridad de control competente de conformidad con el artículo 55 sin dilación indebida y, de ser posible, a más tardar 72 horas después de que haya tenido constancia de ella, a menos que sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas. Si la notificación a la autoridad de control no tiene lugar en el plazo de 72 horas, deberá ir acompañada de indicación de los motivos de la dilación. 2. El encargado del tratamiento notificará sin dilación indebida al responsable del tratamiento las violaciones de la seguridad de los datos personales de las que tenga conocimiento. 3.La notificación contemplada en el apartado 1 deberá, como mínimo: a) describir la naturaleza de la

violación de la seguridad delos datos personales,inclusive, cuando seaposible, las categorías y elnúmero aproximado deinteresados afectados, y lascategorías y el númeroaproximado de registros dedatos personalesafectados;

b) comunicar el nombre y losdatos de contacto deldelegado de protección dedatos o de otro punto decontacto en el que puedaobtenerse más información;

c) describir las posibles

45

demás disposiciones que le resulten aplicables en la materia. Artículo 35. De manera particular, el responsable deberá elaborar un documento de seguridad que contenga, al menos, lo siguiente: I. El inventario de datos personales y de los sistemas de tratamiento; II. Las funciones y obligaciones de las personas que traten datos personales; III. El análisis de riesgos; IV. El análisis de brecha; V. El plan de trabajo; VI. Los mecanismos de monitoreo y revisión de las medidas de seguridad, y VII. El programa general de capacitación. Artículo 36. El responsable deberá actualizar el documento de seguridad cuando ocurran los siguientes eventos: I. Se produzcan modificaciones sustanciales al tratamiento de datos personales que deriven en un cambio en el nivel de riesgo; II. Como resultado de un proceso de mejora continua, derivado del monitoreo y revisión del sistema de gestión; III. Como resultado de un proceso de mejora para mitigar el impacto de una vulneración a la seguridad ocurrida, y IV. Implementación de acciones correctivas y

Inventario de datos personales Artículo 58. Con relación a lo previsto en el articulo 33, fracción 111 de la Ley General, el responsable deberá� elaborar un inventario con la información básica de cada tratamiento de datos personales, considerando, al menos, los siguientes elementos: l. El catálogo de medios físicos y electrónicos a través de los cuales se obtienen los datos personales; II. Las finalidades de cada tratamiento de datos personales; III. El catálogo de los tipos de datos personales que se traten, indicando si son sensibles o no; IV. El catálogo de formatos de almacenamiento, así� como la descripción general de la ubicación física y/o electrónica de los datos personales; V. La lista de servidores públicos que tienen acceso a los sistemas de tratamiento; VI. En su caso, el nombre completo o denominación o razón social del encargado y el instrumento jurídico que formaliza la prestación de los servicios que brinda al responsable, y VII. En su caso, los destinatarios o terceros receptores de las transferencias que se efectúen, así� como las

consecuencias de laviolación de la seguridad delos datos personales;

d) describir las medidasadoptadas o propuestas porel responsable deltratamiento para ponerremedio a la violación de laseguridad de los datospersonales, incluyendo, siprocede, las medidasadoptadas para mitigar losposibles efectos negativos.

4. Si no fuera posible facilitar la información simultáneamente, y en la medida en que no lo sea, la información se facilitará de manera gradual sin dilación indebida. 5. El responsable del tratamiento documentará cualquier violación de la seguridad de los datos personales, incluidos los hechos relacionados con ella, sus efectos y las medidas correctivas adoptadas. Dicha documentación permitirá a la autoridad de control verificar el cumplimiento de lo dispuesto en el presente artículo. Artículo 34 Comunicación de una violación de la seguridad de los datos personales al interesado 1. Cuando sea probable que la violación de la seguridad de los datos personales entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento la comunicará al interesado sin dilación indebida.

46

preventivas ante una vulneración de seguridad. Artículo 37. En caso de que ocurra una vulneración a la seguridad, el responsable deberá analizar las causas por las cuales se presentó e implementar en su plan de trabajo las acciones preventivas y correctivas para adecuar las medidas de seguridad y el tratamiento de los datos personales si fuese el caso a efecto de evitar que la vulneración se repita. Artículo 38. Además de las que señalen las leyes respectivas y la normatividad aplicable, se considerarán como vulneraciones de seguridad, en cualquier fase del tratamiento de datos, al menos, las siguientes: I. La pérdida o destrucción no autorizada; II. El robo, extravío o copia no autorizada; III. El uso, acceso o tratamiento no autorizado, o IV. El daño, la alteración o modificación no autorizada. Artículo 39. El responsable deberá llevar una bitácora de las vulneraciones a la seguridad en la que se describa ésta, la fecha en la que ocurrió, el motivo de ésta y las acciones correctivas implementadas de forma inmediata y definitiva. Artículo 40. El responsable deberá informar sin dilación alguna al titular, y según

finalidades que justifican éstas. Ciclo de vida de los datos personales en el inventario de éstos Artículo 59. Aunado a lo dispuesto en el artículo anterior de los presentes Lineamientos generales, en la elaboración del inventario de datos personales el responsable deberá� considerar el ciclo de vida de los datos personales conforme lo siguiente: l. La obtención de los datos personales; II. El almacenamiento de los datos personales; III. El uso de los datos personales conforme a su acceso, manejo, aprovechamiento, monitoreo y procesamiento, incluyendo los sistemas físicos y/o electrónicos utilizados para tal fin; IV. La divulgación de los datos personales considerando las remisiones y transferencias que, en su caso, se efectúen; V. El bloqueo de los datos personales, en su caso, y VI. La cancelación, supresión o destrucción de los datos personales. El responsable deberá� identificar el riesgo inherente de los datos personales, contemplando su ciclo de vida y los activos involucrados en su tratamiento, como podrían ser hardware, software, personal, o cualquier otro recurso humano o material

2. La comunicación al interesado contemplada en el apartado 1 del presente artículo describirá en un lenguaje claro y sencillo la naturaleza de la violación de la seguridad de los datos personales y contendrá como mínimo la información y las medidas a que se refiere el artículo 33, apartado 3, letras b), c) y d). 3. La comunicación al interesado a que se refiere el apartado 1 no será necesaria si se cumple alguna de las condiciones siguientes: a) el responsable del

tratamiento ha adoptadomedidas de proteccióntécnicas y organizativasapropiadas y estas medidasse han aplicado a los datospersonales afectados por laviolación de la seguridad delos datos personales, enparticular aquellas quehagan ininteligibles losdatos personales paracualquier persona que noesté autorizada a acceder aellos, como el cifrado;

b) el responsable deltratamiento ha tomadomedidas ulteriores quegaranticen que ya no existala probabilidad de que seconcretice el alto riesgopara los derechos ylibertades del interesado aque se refiere elapartado 1;

c) suponga un esfuerzodesproporcionado. En estecaso, se optará en su lugarpor una comunicaciónpública o una medidasemejante por la que se

47

corresponda, al Instituto y a los Organismos garantes de las Entidades Federativas, las vulneraciones que afecten de forma significativa los derechos patrimoniales o morales, en cuanto se confirme que ocurrió la vulneración y que el responsable haya empezado a tomar las acciones encaminadas a detonar un proceso de revisión exhaustiva de la magnitud de la afectación, a fin de que los titulares afectados puedan tomar las medidas correspondientes para la defensa de sus derechos. Artículo 41. El responsable deberá informar al titular al menos lo siguiente: I. La naturaleza del incidente; II. Los datos personales comprometidos; III. Las recomendaciones al titular acerca de las medidas que éste pueda adoptar para proteger sus intereses; IV. Las acciones correctivas realizadas de forma inmediata, y V. Los medios donde puede obtener más información al respecto.

que resulte pertinente considerar. Análisis de riesgos Artículo 60. Para dar cumplimiento al artículo 33, fracción IV de la Ley General, el responsable deberá� realizar un análisis de riesgos de los datos personales tratados considerando lo siguiente: I. Los requerimientos regulatorios, códigos de conducta o mejores prácticas de un sector específico; II. El valor de los datos personales de acuerdo a su clasificación previamente definida y su ciclo de vida; III. El valor y exposición de los activos involucrados en el tratamiento de los datos personales; IV. Las consecuencias negativas para los titulares que pudieran derivar de una vulneración de seguridad ocurrida, y V. Los factores previstos en el artículo 32 de la Ley General. Análisis de brecha Articulo 61. Con relación al artículo 33, fracción V de la Ley General, para la realización del análisis de brecha el responsable deberá� considerar lo siguiente: l. Las medidas de seguridad existentes y efectivas; II. Las medidas de seguridad faltantes, y III. La existencia de nuevas medidas de seguridad que

informe de maneraigualmente efectiva a losinteresados.

4. Cuando el responsable todavía no haya comunicado al interesado la violación de la seguridad de los datos personales, la autoridad de control, una vez considerada la probabilidad de que tal violación entrañe un alto riesgo, podrá exigirle que lo haga o podrá decidir que se cumple alguna de las condiciones mencionadas en el apartado 3.

48

pudieran remplazar a uno o más controles implementados actualmente. Plan de trabajo Artículo 62. De conformidad con lo dispuesto en el artículo 33, fracción VI de la Ley General, el responsable deberá� elaborar un plan de trabajo que defina las acciones a implementar de acuerdo con el resultado del análisis de riesgos y del análisis de brecha, priorizando las medidas de seguridad más relevantes e inmediatas a establecer. Lo anterior, considerando los recursos designados; el personal interno y externo en su organización y las fechas compromiso para la implementación de las medidas de seguridad nuevas o faltantes. Monitoreo y supervisión periódica de las medidas de seguridad implementadas Artículo 63. Con relación al artículo 33, fracción VII de la Ley General, el responsable deberá� evaluar y medir los resultados de las políticas, planes, procesos y procedimientos implementados en materia de seguridad y tratamiento de los datos personales, a fin de verificar el cumplimiento de los objetivos propuestos y, en su caso, implementar mejoras de manera continua. Para cumplir con lo dispuesto en el párrafo

49

anterior del presente artículo, el responsable deberá� monitorear continuamente lo siguiente: I. Los nuevos activos que se incluyan en la gestión de riesgos; II. Las modificaciones necesarias a los activos, como podría ser el cambio o migración tecnológica, entre otras; III. Las nuevas amenazas que podrían estar activas dentro y fuera de su organización y que no han sido valoradas; IV. La posibilidad de que vulnerabilidades nuevas o incrementadas sean explotadas por las amenazas correspondientes; V. Las vulnerabilidades identificadas para determinar aquéllas expuestas a amenazas nuevas o pasadas que vuelvan a surgir; VI. El cambio en el impacto o consecuencias de amenazas valoradas, vulnerabilidades y riesgos en conjunto, que resulten en un nivel inaceptable de riesgo, y VII. Los incidentes y vulneraciones de seguridad ocurridas. Aunado a lo previsto en las fracciones anteriores del presente artículo, el responsable deberá� contar con un programa de auditoría, interno y/o externo, para monitorear y revisar la eficacia y eficiencia del sistema de gestión.

50

Capacitación Artículo 64. Para el cumplimiento de lo previsto en el artículo 33, fracción VIII de la Ley General, el responsable deberá� diseñar e implementar programas a corto, mediano y largo plazo que tengan por objeto capacitar a los involucrados internos y externos en su organización, considerando sus roles y responsabilidades asignadas para el tratamiento y seguridad de los datos personales y el perfil de sus puestos. En el diseño e implementación de los programas de capacitación a que se refiere el párrafo anterior del presente articulo, el responsable deberá� tomar en cuenta lo siguiente: l. Los requerimientos y actualizaciones del sistema de gestión; II. La legislación vigente en materia de protección de datos personales y las mejores prácticas relacionadas con el tratamiento de éstos; III. Las consecuencias del incumplimiento de los requerimientos legales o requisitos organizacionales, y IV. Las herramientas tecnológicas relacionadas o utilizadas para el tratamiento de los datos personales y para la implementación de las medidas de seguridad. Sistema de gestión Artículo 65. El responsable

51

deberá� implementar un sistema de gestión de seguridad de los datos personales a que se refiere el artículo 34 de la Ley General, el cual permita planificar, establecer, implementar, operar, monitorear, mantener, revisar y mejorar las medidas de seguridad de carácter administrativo, físico y técnico aplicadas a los datos personales; tomando en consideración los estándares nacionales e internacionales en materia de protección de datos personales y seguridad. Plazo para notificar las vulneraciones de seguridad Artículo 66. De conformidad con lo dispuesto en el articulo 40 de la Ley General, el responsable deberá� notificar al titular y al Instituto las vulneraciones de seguridad que de forma significativa afecten los derechos patrimoniales o morales del titular dentro en un plazo máximo de setenta y dos horas, a partir de que confirme la ocurrencia de éstas y el responsable haya empezado a tomar las acciones encaminadas a detonar un proceso de mitigación de la afectación. El plazo a que se refiere el párrafo anterior, comenzará a correr el mismo día natural en que el responsable confirme la vulneración de seguridad. Para efectos del presente articulo, se entenderá� que se afectan los derechos

52

patrimoniales del titular cuando la vulneración esté relacionada, de manera enunciativa más no limitativa, con sus bienes muebles e inmuebles, información fiscal, historial crediticio, ingresos y egresos, cuentas bancarias, seguros, afores, fianzas, servicios contratados o las cantidades o porcentajes relacionados con la situación económica del titular. Para los efectos del presente artículo, se entenderá� que se afectan los derechos morales del titular cuando la vulneración esté relacionada, de manera enunciativa más no limitativa, con sus sentimientos, afectos, creencias, decoro, honor, reputación, vida privada, configuracióny aspecto físicos, consideración que de sí mismo tienen los demás o cuando se menoscabe ilegítimamente la libertad o la integridad física o psíquica de éste. Notificación de las vulneraciones de seguridad al Instituto Artículo 67. En la notificación a que se refiere el artículo anterior, el responsable deberá� informar mediante escrito presentado en el domicilio del Instituto, o bien, a través de cualquier otro medio que se habilite para tal efecto, al menos, lo siguiente: l. La hora y fecha de la identificación de la

53

vulneración; II. La hora y fecha del inicio de la investigación sobre la vulneración; III. La naturaleza del incidente vulneración ocurrida; IV. La descripción detallada de las circunstancias en torno a la vulneración ocurrida; V. Las categorías y número aproximado de titulares afectados; VI. Los sistemas de tratamiento y datos personales comprometidos; VII. Las acciones correctivas realizadas de forma inmediata; VIII. La descripción de las posibles consecuencias de la vulneración de seguridad ocurrida; IX. Las recomendaciones dirigidas al titular; X. El medio puesto a disposición del titular para que pueda obtener mayor información al respecto; XI. El nombre completo de la o las personas designadas y sus datos de contacto, para que puedan proporcionar mayor información al Instituto, en caso de requerirse, y XII. Cualquier otra información y documentación que considere conveniente hacer del conocimiento del Instituto. Notificación de las vulneraciones de seguridad al titular Articulo 68. En la notificación

54

que realice el responsable al titular sobre las vulneraciones de seguridad a que se refieren los artículos 40 de la Ley General y 66 de los presentes Lineamientos generales deberá� informar, al menos, lo siguiente: I. La naturaleza del incidente o vulneración ocurrida; II. Los datos personales comprometidos; III. Las recomendaciones dirigidas al titular sobre las medidas que éste pueda adoptar para proteger sus intereses; IV. Las acciones correctivas realizadas de forma inmediata; V. Los medios puestos a disposición del titular para que pueda obtener mayor información al respecto; VI. La descripción de las circunstancias generales en torno a la vulneración ocurrida, que ayuden al titular a entender el impacto del incidente, y VII. Cualquier otra información y documentación que considere conveniente para apoyar a los titulares. El responsable deberá� notificar directamente al titular la información a que se refieren las fracciones anteriores a través de los medios que establezca para tal fin. Para seleccionar y definir los medios de comunicación, el responsable deberá� considerar el perfil de los titulares, la forma en que

55

mantiene contacto o comunicación con éstos, que sean gratuitos; de fácil acceso; con la mayor cobertura posible y que estén debidamente habilitados y disponibles en todo momento para el titular.

Artículo 42. El responsable deberá establecer controles o mecanismos que tengan por objeto que todas aquellas personas que intervengan en cualquier fase del tratamiento de los datos personales guarden confidencialidad respecto de éstos, obligación que subsistirá aún después de finalizar sus relaciones con el mismo. Lo anterior, sin menoscabo de lo establecido en las disposiciones de acceso a la información pública.

Deber de confidencialidad Articulo 71. El responsable deberá� establecer controles o mecanismos que tengan por objeto que todas aquellas personas que intervengan en cualquier fase del tratamiento de los datos personales guarden confidencialidad respecto de éstos, obligación que subsistirá� aún después de finalizar sus relaciones con el mismo. Cumplimiento de los deberes de seguridad y confidencialidad Artículo 72. La carga de la prueba para acreditar el cumplimiento de las obligaciones previstas en el presente Capitulo, recaerá�, en todo momento, en el responsable.

----

Artículo 5 Principios relativos al tratamiento 1. Los datos personales serán: … f) tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas («integridad y confidencialidad»).

La obligación de confidencialidad se establece para los miembros de las autoridades supervisoras (artículo 15)

La obligación de confidencialidad se establece para los miembros de las autoridades supervisoras (artículo 15)

El deber de confidencialidad previsto en la LGPDPPSO y su normatividad de desarrollo resulta sustancialmente equivalente al del RGPD.

57

G. Principio de transparencia La siguiente tabla presenta el análisis de la LGPDPPSO y demás normatividad aplicable a partir del cumplimento del principio transparencia (información). Al respecto, el WP 254 señala:

“Todas las personas deben ser informadas acerca de los elementos principales del tratamiento de sus datos personales en forma clara, de fácil acceso, concisa, transparente e inteligible. Dicha información debe incluir los fines del tratamiento, la identidad del responsable, los derechos a su disposición y otra información en la medida en que esto sea necesario para garantizar la lealtad. En determinadas condiciones, pueden existir ciertas excepciones a este derecho de información como, por ejemplo, salvaguardar investigaciones penales, la seguridad del Estado, la independencia y los procedimientos judiciales u otros objetivos importantes de interés público general como en el caso del artículo 23 del RGPD.”

De esta manera, se presentan los distintos fundamentos jurídicos en los que se regula el principio de transparencia (información) de datos en la LGPDPPSO y los LGPDPSP realizando una comparación con el contenido del RGPD, el C108 y el C108+.

58


A. Principios relativos al contenido 7) Principio de transparencia

LGPDPPSO LGPDPSP Otras disposiciones RGPD C108 C108+ Comentarios Artículo 26. El responsable deberá informar al titular, a través del aviso de privacidad, la existencia y características principales del tratamiento al que serán sometidos sus datos personales, a fin de que pueda tomar decisiones informadas al respecto. Por regla general, el aviso de privacidad deberá ser difundido por los medios electrónicos y físicos con que cuente el responsable. Para que el aviso de privacidad cumpla de manera eficiente con su función de informar, deberá estar redactado y estructurado de manera clara y sencilla. Cuando resulte imposible dar a conocer al titular el aviso de privacidad, de manera directa o ello exija esfuerzos desproporcionados, el responsable podrá instrumentar medidas compensatorias de comunicación masiva de acuerdo con los criterios que para tal efecto emita el Sistema Nacional de Transparencia, Acceso a la Información Pública y Protección de Datos Personales. Artículo 27. El aviso de privacidad a que se refiere

Artículo 26. El responsable deberá� informar a los titulares, a través del aviso de privacidad, la existencia y las características principales del tratamiento al que serán sometidos sus datos personales. Por regla general, todo responsable está obligado a cumplir con el principio de información y poner a disposición del titular el aviso de privacidad de conformidad con lo dispuesto en los artículos 3, fracción 11, 26, 27 Y 28 de la Ley General y los presentes Lineamientos generales, con independencia de que no se requiera el consentimiento del titular para el tratamiento de sus datos personales. Objeto del aviso de privacidad Artículo 27. El aviso de privacidad tiene por objeto informar al titular sobre los alcances y condiciones generales del tratamiento a que serán sometidos sus datos personales, a fin de que esté en posibilidad de tomar decisiones informadas sobre el uso de éstos y, en consecuencia, mantener el control y disposición de los mismos.

- Criterios generales para la instrumentación de medidas compensatorias en el sector público del orden federal, estatal y municipal: tienen por objeto establecer los parámetros a través de los cuales cualquier autoridad, dependencia, entidad, órgano u organismo de los Poderes Ejecutivo, Legislativo y Judicial, organismos constitucionales autónomos, tribunales administrativos, fideicomisos y fondos públicos, del orden federal, estatal y municipal, así como partidos políticos podrán instrumentar medidas compensatorias. .

Sección 1 Transparencia y modalidades Artículo 12 Transparencia de la información, comunicación y modalidades de ejercicio de los derechos del interesado 1. El responsable del tratamiento tomará las medidas oportunas para facilitar al interesado toda información indicada en los artículos 13 y 14, así como cualquier comunicación con arreglo a los artículos 15 a 22 y 34 relativa al tratamiento, en forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo, en particular cualquier información dirigida específicamente a un niño. La información será facilitada por escrito o por otros medios, inclusive, si procede, por medios electrónicos. Cuando lo solicite el interesado, la información podrá facilitarse verbalmente siempre que se demuestre la identidad del interesado por otros medios. 2. El responsable del tratamiento facilitará al interesado el ejercicio de sus derechos en virtud de los artículos 15 a 22. En los casos a que se refiere el artículo 11, apartado 2, el

Artículo 8. Garantías complementarias para la persona concernida Cualquier persona deberá poder: a. Conocer la existencia de un fichero automatizado de datos de carácter personal, sus finalidades principales, así como la identidad y la residencia habitual o el establecimiento principal de la autoridad controladora del fichero; …

Artículo 8 – Transparencia del procesamiento 1. Cada Parte debe establecer que el responsable informará a las personas concernidas de: su identidad y su residencia o establecimiento habitual; los fundamentos legales y los propósitos del procesamiento planeado; las categorías de datos personales que se procesarán; los receptores o categorías de receptores de los datos personales, de ser el caso; y el propósito del ejercicio de los derechos establecidos en el Artículo 9, así como cualquier información adicional en aras de asegurar el procesamiento justo y transparente de los datos personales. 2. El Párrafo 1 no deberá aplicar en los casos donde la persona ya cuenta con la información relevante. 3. Donde los datos personales no son obtenidos de las personas concernidas, no debe exigírsele al responsable el establecimiento de esta información donde el procesamiento se encuentra prescrito de manera expresa en la ley o éste resulta imposible o requiere

La LGPDPPSO y los LGPDPSP prevén elementos distintos para cumplir con el principio de transparencia. La normatividad mexicana no obliga a informar aspectos como: plazo de conservación, derecho a la limitación del tratamiento, derecho a presentar una reclamación, existencia de decisiones automatizada y la fuente de la que proceden los datos.

59



LGPDPPSO LGPDPSP Otras disposiciones RGPD C108 C108+ Comentarios el artículo 3, fracción II, se pondrá a disposición del titular en dos modalidades: simplificado e integral. El aviso simplificado deberá contener la siguiente información: I. La denominación del responsable; II. Las finalidades del tratamiento para las cuales se obtienen los datos personales, distinguiendo aquéllas que requieran el consentimiento del titular; III. Cuando se realicen transferencias de datos personales que requieran consentimiento, se deberá informar: a) Las autoridades, poderes, entidades, órganos y organismos gubernamentales de los tres órdenes de gobierno y las personas físicas o morales a las que se transfieren los datos personales, y b) Las finalidades de estas transferencias; IV. Los mecanismos y medios disponibles para que el titular, en su caso, pueda manifestar su negativa para el tratamiento de sus datos personales para finalidades y transferencias de datos personales que requieren el consentimiento del titular, y V. El sitio donde se podrá consultar el aviso de privacidad integral.

Características del aviso de privacidad Artículo 28. El aviso de privacidad deberá� caracterizarse por ser sencillo, con la información necesaria, expresado en lenguaje claro y comprensible y con una estructura y diseño que facilite su entendimiento, atendiendo al perfil de los titulares a quien irá dirigido, con la finalidad de que sea un mecanismo de información práctico y eficiente. En el aviso de privacidad queda prohibido: I. Usar frases inexactas, ambiguas o vagas; II. Incluir textos o formatos que induzcan a los titulares a elegir una opción en específico; III. Marcar previamente casillas, en caso de que éstas se incluyan, para que los titulares otorguen su consentimiento, o bien, incluir declaraciones orientadas a afirmar que el titular ha consentido el tratamiento de sus datos personales sin manifestación alguna de su parte, y IV. Remitir a textos o documentos que no estén disponibles para los titulares.

responsable no se negará a actuar a petición del interesado con el fin de ejercer sus derechos en virtud de los artículos 15 a 22, salvo que pueda demostrar que no está en condiciones de identificar al interesado. 3. El responsable del tratamiento facilitará al interesado información relativa a sus actuaciones sobre la base de una solicitud con arreglo a los artículos 15 a 22, y, en cualquier caso, en el plazo de un mes a partir de la recepción de la solicitud. Dicho plazo podrá prorrogarse otros dos meses en caso necesario, teniendo en cuenta la complejidad y el número de solicitudes. El responsable informará al interesado de cualquiera de dichas prórrogas en el plazo de un mes a partir de la recepción de la solicitud, indicando los motivos de la dilación. Cuando el interesado presente la solicitud por medios electrónicos, la información se facilitará por medios electrónicos cuando sea posible, a menos que el interesado solicite que se facilite de otro modo. 4. Si el responsable del tratamiento no da curso a la solicitud del interesado, le

esfuerzos desproporcionados.

60



LGPDPPSO LGPDPSP Otras disposiciones RGPD C108 C108+ Comentarios La puesta a disposición del aviso de privacidad al que refiere este artículo no exime al responsable de su obligación de proveer los mecanismos para que el titular pueda conocer el contenido del aviso de privacidad al que se refiere el artículo siguiente. Los mecanismos y medios a los que se refiere la fracción IV de este artículo, deberán estar disponibles para que el titular pueda manifestar su negativa al tratamiento de sus datos personales para las finalidades o transferencias que requieran el consentimiento del titular, previo a que ocurra dicho tratamiento. Artículo 28. El aviso de privacidad integral, además de lo dispuesto en las fracciones del artículo anterior, al que refiere la fracción V del artículo anterior deberá contener, al menos, la siguiente información: I. El domicilio del responsable; II. Los datos personales que serán sometidos a tratamiento, identificando aquéllos que son sensibles; III. El fundamento legal que faculta al responsable para llevar a cabo el tratamiento; IV. Las finalidades del

Medios de difusión del aviso de privacidad Articulo 29. El responsable podrá� difundir, poner a disposición o reproducir el aviso de privacidad en formatos físicos y electrónicos, ópticos, sonoros, visuales o a través de cualquier otra tecnología que permita su eficaz comunicación. En todos los casos, el responsable deberá� ubicar el aviso de privacidad en un lugar visible que facilite la consulta del titular y que le permita acreditar fehacientemente el cumplimiento de esta obligación ante el Instituto. Denominación del responsable en el aviso de privacidad simplificado Artículo 30. Para dar cumplimiento a lo establecido en el artículo 27, fracción I de la Ley General, el responsable deberá� señalar su denominación completa y podrá� incluir, de manera adicional, la denominación, abreviaturas o acrónimos por los cuales es identificado comúnmente por el público en general, concretamente por el público objetivo a quien va dirigido el aviso de privacidad. Finalidades del tratamiento en el aviso de privacidad

informará sin dilación, y a más tardar transcurrido un mes de la recepción de la solicitud, de las razones de su no actuación y de la posibilidad de presentar una reclamación ante una autoridad de control y de ejercitar acciones judiciales. 5. La información facilitada en virtud de los artículos 13 y 14 así como toda comunicación y cualquier actuación realizada en virtud de los artículos 15 a 22 y 34 serán a título gratuito. Cuando las solicitudes sean manifiestamente infundadas o excesivas, especialmente debido a su carácter repetitivo, el responsable del tratamiento podrá: a) cobrar un canon razonable

en función de los costesadministrativos afrontadospara facilitar la informacióno la comunicación orealizar la actuaciónsolicitada, o

b) negarse a actuar respectode la solicitud.

El responsable del tratamiento soportará la carga de demostrar el carácter manifiestamente infundado o excesivo de la solicitud. 6. Sin perjuicio de lo dispuesto en el artículo 11, cuando el responsable del tratamiento tenga dudas razonables en relación con la

61



LGPDPPSO LGPDPSP Otras disposiciones RGPD C108 C108+ Comentarios tratamiento para las cuales se obtienen los datos personales, distinguiendo aquéllas que requieren el consentimiento del titular; V. Los mecanismos, medios y procedimientos disponibles para ejercer los derechos ARCO; VI. El domicilio de la Unidad de Transparencia, y VII. Los medios a través de los cuales el responsable comunicará a los titulares los cambios al aviso de privacidad.

simplificado Artículo 26. El responsable deberá� informar a los titulares, a través del aviso de privacidad, la existencia y las características principales del tratamiento al que serán sometidos sus datos personales. Por regla general, todo responsable está obligado a cumplir con el principio de información y poner a disposición del titular el aviso de privacidad de conformidad con lo dispuesto en los artículos 3, fracción 11, 26, 27 Y 28 de la Ley General y los presentes Lineamientos generales, con independencia de que no se requiera el consentimiento del titular para el tratamiento de sus datos personales. Objeto del aviso de privacidad Artículo 27. El aviso de privacidad tiene por objeto informar al titular sobre los alcances y condiciones generales del tratamiento a que serán sometidos sus datos personales, a fin de que esté en posibilidad de tomar decisiones informadas sobre el uso de éstos y, en consecuencia, mantener el control y disposición de los mismos.

identidad de la persona física que cursa la solicitud a que se refieren los artículos 15 a 21, podrá solicitar que se facilite la información adicional necesaria para confirmar la identidad del interesado. 7. La información que deberá facilitarse a los interesados en virtud de los artículos 13 y 14 podrá transmitirse en combinación con iconos normalizados que permitan proporcionar de forma fácilmente visible, inteligible y claramente legible una adecuada visión de conjunto del tratamiento previsto. Los iconos que se presenten en formato electrónico serán legibles mecánicamente. 8. La Comisión estará facultada para adoptar actos delegados de conformidad con el artículo 92 a fin de especificar la información que se ha de presentar a través de iconos y los procedimientos para proporcionar iconos normalizados. Artículo 13 Información que deberá facilitarse cuando los datos personales se obtengan del interesado 1. Cuando se obtengan de un interesado datos personales relativos a él, el

62



LGPDPPSO LGPDPSP Otras disposiciones RGPD C108 C108+ Comentarios Características del aviso de privacidad Artículo 28. El aviso de privacidad deberá� caracterizarse por ser sencillo, con la información necesaria, expresado en lenguaje claro y comprensible y con una estructura y diseño que facilite su entendimiento, atendiendo al perfil de los titulares a quien irá dirigido, con la finalidad de que sea un mecanismo de información práctico y eficiente. En el aviso de privacidad queda prohibido: I. Usar frases inexactas, ambiguas o vagas; II. Incluir textos o formatos que induzcan a los titulares a elegir una opción en específico; III. Marcar previamente casillas, en caso de que éstas se incluyan, para que los titulares otorguen su consentimiento, o bien, incluir declaraciones orientadas a afirmar que el titular ha consentido el tratamiento de sus datos personales sin manifestación alguna de su parte, y IV. Remitir a textos o documentos que no estén disponibles para los titulares. Medios de difusión del aviso de privacidad Articulo 29. El responsable

responsable del tratamiento, en el momento en que estos se obtengan, le facilitará toda la información indicada a continuación: a) la identidad y los datos de

contacto del responsabley, en su caso, de surepresentante;

b) los datos de contacto deldelegado de protección dedatos, en su caso;

c) los fines del tratamiento aque se destinan los datospersonales y la basejurídica del tratamiento;

d) cuando el tratamiento sebase en el artículo 6,apartado 1, letra f), losintereses legítimos delresponsable o de untercero;

e) los destinatarios o lascategorías de destinatariosde los datos personales,en su caso;

f) en su caso, la intención delresponsable de transferirdatos personales a untercer país u organizacióninternacional y laexistencia o ausencia deuna decisión deadecuación de laComisión, o, en el caso delas transferenciasindicadas en losartículos 46 o 47 o elartículo 49, apartado 1,párrafo segundo,referencia a las garantíasadecuadas o apropiadas y

63



LGPDPPSO LGPDPSP Otras disposiciones RGPD C108 C108+ Comentarios podrá� difundir, poner a disposición o reproducir el aviso de privacidad en formatos físicos y electrónicos, ópticos, sonoros, visuales o a través de cualquier otra tecnología que permita su eficaz comunicación. En todos los casos, el responsable deberá� ubicar el aviso de privacidad en un lugar visible que facilite la consulta del titular y que le permita acreditar fehacientemente el cumplimiento de esta obligación ante el Instituto. Denominación del responsable en el aviso de privacidad simplificado Artículo 30. Para dar cumplimiento a lo establecido en el artículo 27, fracción I de la Ley General, el responsable deberá� señalar su denominación completa y podrá� incluir, de manera adicional, la denominación, abreviaturas o acrónimos por los cuales es identificado comúnmente por el público en general, concretamente por el público objetivo a quien va dirigido el aviso de privacidad. Finalidades del tratamiento en el aviso de privacidad simplificado Artículo 26. El responsable deberá� informar a los

a los medios para obteneruna copia de estas o alhecho de que se hayanprestado.

2. Además de la información mencionada en el apartado 1, el responsable del tratamiento facilitará al interesado, en el momento en que se obtengan los datos personales, la siguiente información necesaria para garantizar un tratamiento de datos leal y transparente: a) el plazo durante el cual se

conservarán los datospersonales o, cuando nosea posible, los criteriosutilizados para determinareste plazo;

b) la existencia del derecho asolicitar al responsable deltratamiento el acceso a losdatos personales relativosal interesado, y surectificación o supresión, ola limitación de sutratamiento, o a oponerseal tratamiento, así como elderecho a la portabilidadde los datos;

c) cuando el tratamiento estébasado en el artículo 6,apartado 1, letra a), o elartículo 9, apartado 2,letra a), la existencia delderecho a retirar elconsentimiento encualquier momento, sinque ello afecte a la licituddel tratamiento basado en

64



LGPDPPSO LGPDPSP Otras disposiciones RGPD C108 C108+ Comentarios titulares, a través del aviso de privacidad, la existencia y las características principales del tratamiento al que serán sometidos sus datos personales. Por regla general, todo responsable está obligado a cumplir con el principio de información y poner a disposición del titular el aviso de privacidad de conformidad con lo dispuesto en los artículos 3, fracción 11, 26, 27 Y 28 de la Ley General y los presentes Lineamientos generales, con independencia de que no se requiera el consentimiento del titular para el tratamiento de sus datos personales. Objeto del aviso de privacidad Artículo 27. El aviso de privacidad tiene por objeto informar al titular sobre los alcances y condiciones generales del tratamiento a que serán sometidos sus datos personales, a fin de que esté en posibilidad de tomar decisiones informadas sobre el uso de éstos y, en consecuencia, mantener el control y disposición de los mismos.

el consentimiento previo asu retirada;

d) el derecho a presentar unareclamación ante unaautoridad de control;

e) si la comunicación dedatos personales es unrequisito legal ocontractual, o un requisitonecesario para suscribir uncontrato, y si el interesadoestá obligado a facilitar losdatos personales y estáinformado de las posiblesconsecuencias de que nofacilitar tales datos;

f) la existencia de decisionesautomatizas, incluida laelaboración de perfiles, aque se refiere elartículo 22, apartados 1y 4, y, al menos en talescasos, informaciónsignificativa sobre la lógicaaplicada, así como laimportancia y lasconsecuencias previstasde dicho tratamiento parael interesado.

3. Cuando el responsable del tratamiento proyecte el tratamiento ulterior de datos personales para un fin que no sea aquel para el que se recogieron, proporcionará al interesado, con anterioridad a dicho tratamiento ulterior, información sobre ese otro fin y cualquier información adicional pertinente a tenor del apartado 2. 4. Las disposiciones de los

65



LGPDPPSO LGPDPSP Otras disposiciones RGPD C108 C108+ Comentarios Características del aviso de privacidad Artículo 28. El aviso de privacidad deberá� caracterizarse por ser sencillo, con la información necesaria, expresado en lenguaje claro y comprensible y con una estructura y diseño que facilite su entendimiento, atendiendo al perfil de los titulares a quien irá dirigido, con la finalidad de que sea un mecanismo de información práctico y eficiente. En el aviso de privacidad queda prohibido: I. Usar frases inexactas, ambiguas o vagas; II. Incluir textos o formatos que induzcan a los titulares a elegir una opción en específico; III. Marcar previamente casillas, en caso de que éstas se incluyan, para que los titulares otorguen su consentimiento, o bien, incluir declaraciones orientadas a afirmar que el titular ha consentido el tratamiento de sus datos personales sin manifestación alguna de su parte, y IV. Remitir a textos o documentos que no estén disponibles para los titulares.

apartados 1, 2 y 3 no serán aplicables cuando y en la medida en que el interesado ya disponga de la información. Artículo 14 Información que deberá facilitarse cuando los datos personales no se hayan obtenido del interesado 1. Cuando los datos personales no se hayan obtenidos del interesado, el responsable del tratamiento le facilitará la siguiente información: a) la identidad y los datos de

contacto del responsabley, en su caso, de surepresentante;

b) los datos de contacto deldelegado de protección dedatos, en su caso;

c) los fines del tratamiento aque se destinan los datospersonales, así como labase jurídica deltratamiento;

d) las categorías de datospersonales de que se trate;

e) los destinatarios o lascategorías de destinatariosde los datos personales,en su caso;

f) en su caso, la intención delresponsable de transferirdatos personales a undestinatario en un tercerpaís u organizacióninternacional y laexistencia o ausencia de

66



LGPDPPSO LGPDPSP Otras disposiciones RGPD C108 C108+ Comentarios Medios de difusión del aviso de privacidad Articulo 29. El responsable podrá� difundir, poner a disposición o reproducir el aviso de privacidad en formatos físicos y electrónicos, ópticos, sonoros, visuales o a través de cualquier otra tecnología que permita su eficaz comunicación. En todos los casos, el responsable deberá� ubicar el aviso de privacidad en un lugar visible que facilite la consulta del titular y que le permita acreditar fehacientemente el cumplimiento de esta obligación ante el Instituto. Denominación del responsable en el aviso de privacidad simplificado Artículo 30. Para dar cumplimiento a lo establecido en el artículo 27, fracción I de la Ley General, el responsable deberá� señalar su denominación completa y podrá� incluir, de manera adicional, la denominación, abreviaturas o acrónimos por los cuales es identificado comúnmente por el público en general, concretamente por el público objetivo a quien va dirigido el aviso de privacidad.

una decisión deadecuación de laComisión, o, en el caso delas transferenciasindicadas en losartículos 46 o 47 o elartículo 49, apartado 1,párrafo segundo,referencia a las garantíasadecuadas o apropiadas ya los medios para obteneruna copia de ellas o alhecho de que se hayanprestado.

2. Además de la información mencionada en el apartado 1, el responsable del tratamiento facilitará al interesado la siguiente información necesaria para garantizar un tratamiento de datos leal y transparente respecto del interesado: a) el plazo durante el cual se

conservarán los datospersonales o, cuando esono sea posible, los criteriosutilizados para determinareste plazo;

b) cuando el tratamiento sebase en el artículo 6,apartado 1, letra f), losintereses legítimos delresponsable deltratamiento o de untercero;

c) la existencia del derecho asolicitar al responsable deltratamiento el acceso a losdatos personales relativosal interesado, y surectificación o supresión, o

67



LGPDPPSO LGPDPSP Otras disposiciones RGPD C108 C108+ Comentarios Artículo 31. Para dar cumplimiento a lo establecido en el artículo 27, fracción 11 de la Ley General, el responsable deberá� describir puntualmente cada una de las finalidades para las cuales se tratarán los datos personales conforme lo siguiente: I. El listado de finalidades deberá� ser completo y no utilizar frases inexactas, ambiguas o vagas, como "entre otras finalidades", "otros fines análogos" o "por ejemplo"; II. Las finalidades descritas en el aviso de privacidad deberán ser especificas, redactadas con claridad y de tal manera que el titular identifique cada una de éstas y no tenga confusión sobre el alcance de las mismas, y III. El listado de finalidades deberá� identificar y distinguir aquéllas finalidades que requieren del consentimiento del titular de aquéllas que no lo requieren. Información sobre transferencias de datos personales en el aviso de privacidad simplificado Artículo 32. Para dar cumplimiento a lo establecido en el articulo 27, fracción 111 de la Ley

la limitación de sutratamiento, y a oponerseal tratamiento, así como elderecho a la portabilidadde los datos;

d) cuando el tratamiento estébasado en el artículo 6,apartado 1, letra a), o elartículo 9, apartado 2,letra a), la existencia delderecho a retirar elconsentimiento encualquier momento, sinque ello afecte a la licituddel tratamiento basada enel consentimiento antes desu retirada;

e) el derecho a presentar unareclamación ante unaautoridad de control;

f) la fuente de la queproceden los datospersonales y, en su caso,si proceden de fuentes deacceso público;

g) la existencia de decisionesautomatizadas, incluida laelaboración de perfiles, aque se refiere elartículo 22, apartados 1y 4, y, al menos en talescasos, informaciónsignificativa sobre la lógicaaplicada, así como laimportancia y lasconsecuencias previstasde dicho tratamiento parael interesado.

3. El responsable del tratamiento facilitará la información indicada en los apartados 1 y 2:

68



LGPDPPSO LGPDPSP Otras disposiciones RGPD C108 C108+ Comentarios General, el responsable deberá� señalar las transferencias de datos personales que requieran para su realización del consentimiento del titular, precisando: l. Los destinatarios o terceros receptores, de carácter público o privado, nacional y/o internacional, de los datos personales, ya sea identificando cada uno de éstos por su nombre, denominación o razón social; o bien, clasificándolos por categorías según corresponda, y II. Las finalidades de las transferencias de los datos personales relacionadas por cada destinatario o tercero receptor. Mecanismos y medios para manifestar la negativa del titular en el aviso de privacidad simplificado Articulo 33. Para dar cumplimiento a lo establecido en el articulo 27, fracción IV de la Ley General, el responsable deberá� incluir o informar sobre los mecanismos y medios que tiene habilitados para que el titular pueda manifestar su negativa para el tratamiento de sus datos personales para aquellas finalidades que requieran de su consentimiento en términos de los artículos 18

a) dentro de un plazorazonable, una vezobtenidos los datospersonales, y a más tardardentro de un mes, habidacuenta de lascircunstancias específicasen las que se traten dichosdatos;

b) si los datos personales hande utilizarse paracomunicación con elinteresado, a más tardaren el momento de laprimera comunicación adicho interesado, o

c) si está previstocomunicarlos a otrodestinatario, a más tardaren el momento en que losdatos personales seancomunicados por primeravez.

4. Cuando el responsable del tratamiento proyecte el tratamiento ulterior de los datos personales para un fin que no sea aquel para el que se obtuvieron, proporcionará al interesado, antes de dicho tratamiento ulterior, información sobre ese otro fin y cualquier otra información pertinente indicada en el apartado 2. 5. Las disposiciones de los apartados 1 a 4 no serán aplicables cuando y en la medida en que: a) el interesado ya disponga

de la información; b) la comunicación de dicha

69



LGPDPPSO LGPDPSP Otras disposiciones RGPD C108 C108+ Comentarios de la Ley General y 10 de los presentes Lineamientos generales, así como para la transferencia de sus datos personales cuando su autorización sea exigible en términos de lo previsto en el artículo 65 de la Ley General. El responsable podrá� valerse de la inclusión de casillas u opciones de marcado en el propio aviso de privacidad, o bien, cualquier otro medio que determine pertinente, siempre y cuando el medio esté disponible al momento en que el titular consulte el aviso de privacidad y permita que éste manifieste su negativa, previo al tratamiento de sus datos personales o a la transferencia de éstos, según corresponda. Consulta del aviso de privacidad integral en el aviso de privacidad simplificado Articulo 34. Para dar cumplimiento a lo establecido en el articulo 27, fracción V de la Ley General, el responsable deberá� señalar el sitio, lugar o mecanismo implementado para que los titulares puedan conocer el aviso de privacidad integral. Para seleccionar este mecanismo, el responsable

información resulteimposible o suponga unesfuerzo desproporcionado, enparticular para eltratamiento con fines dearchivo en interés público,fines de investigacióncientífica o histórica o finesestadísticos, a reserva delas condiciones y garantíasindicadas en el artículo 89,apartado 1, o en la medidaen que la obligaciónmencionada en elapartado 1 del presenteartículo pueda imposibilitaru obstaculizar gravementeel logro de los objetivos detal tratamiento. En talescasos, el responsableadoptará medidasadecuadas para protegerlos derechos, libertades eintereses legítimos delinteresado, inclusivehaciendo pública lainformación;

c) la obtención o lacomunicación estéexpresamente establecidapor el Derecho de la Unióno de los Estados miembrosque se aplique alresponsable deltratamiento y queestablezca medidasadecuadas para protegerlos intereses legítimos delinteresado, o

d) cuando los datospersonales deban seguir

70



LGPDPPSO LGPDPSP Otras disposiciones RGPD C108 C108+ Comentarios deberá� considerar el perfil de los titulares, la forma en que mantiene contacto o comunicación con éstos, que sean gratuitos; de fácil acceso; con la mayor cobertura posible y que estén debidamente habilitados y disponibles en todo momento para el titular. Aviso de privacidad integral Articulo 35. Además de los elementos informativos a que se refieren los artículos 27 y 28 de la Ley General, el responsable podrá� comunicar en el aviso de privacidad integral, al menos, las transferencias de datos personales que no requieran del consentimiento del titular. Información de las transferencias de datos personales en el aviso de privacidad integral Artículo 36. Para informar al titular sobre las Iransferencias, nacionales y/o internacionales, de datos personales que, en su caso, efectúe y que no requieran de su consentimiento, el responsable deberá� indicar lo siguiente en el aviso de privacidad integral: I. Los destinatarios o terceros receptores, de carácter público o privado, nacional y/o internacional, de los datos personales;

teniendo carácterconfidencial sobre la basede una obligación desecreto profesionalregulada por el Derecho dela Unión o de los Estadosmiembros, incluida unaobligación de secreto denaturaleza estatutaria.

71



LGPDPPSO LGPDPSP Otras disposiciones RGPD C108 C108+ Comentarios identificando cada uno de éstos por su nombre, denominación o razón social; II. Las finalidades de las transferencias de los datos personales relacionadas por cada destinatario o tercero receptor, y III. El fundamento legal que lo faculta o autoriza para llevarlas a cabo, señalando el o los artículos, apartados, fracciones, incisos y nombre de los ordenamientos o disposición normativa vigente, precisando su fecha de publicación o, en su caso, la fecha de la última reforma o modificación. Domicilio del responsable en el aviso de privacidad integral Artículo 37. Para dar cumplimiento a lo establecido en el articulo 28, fracción I de la Ley General, el responsable deberá� indicar su domicilio sin omitir la calle, número, colonia, ciudad, municipio o delegación, código postal y entidad federativa. El responsable podrá� incluir otros datos de contacto como podrían ser, de manera enunciativa más no limitativa, la dirección de su página de Internet, correo electrónico y número telefónico habilitados para la atención del público en

72



LGPDPPSO LGPDPSP Otras disposiciones RGPD C108 C108+ Comentarios general. Datos personales en el aviso de privacidad integral Artículo 38. Para dar cumplimiento a lo establecido en el articulo 28, fracción 11 de la Ley General, el responsable deberá� indicar los datos personales solicitados para el tratamiento que llevará a cabo, tanto los que recaba directamente del titular como aquéllos que obtiene indirectamente, distinguiendo expresamente los datos personales de carácter sensible. El responsable deberá� cumplir con esta obligación ya sea identificando puntualmente cada uno de los datos personales solicitados para el tratamiento que llevará a cabo, o bien, señalando el tipo de datos personales según corresponda. De manera enunciativa más no limitativa, el responsable podrá� considerar los siguientes tipos de datos personales: de identificación, laborales, académicos, biométricos, patrimoniales, sobre procedimientos judiciales o seguidos en forma de juicio, características físicas, migratorios y socioeconómicos. El responsable podrá�

73



LGPDPPSO LGPDPSP Otras disposiciones RGPD C108 C108+ Comentarios informar sobre los medios y/o fuentes a través de las cuales obtiene los datos personales, así como asociar el tipo de dato personal o categoría a cada una de las fuentes señaladas. Finalidades del tratamiento en el aviso de privacidad simplificado Artículo 39. Para dar cumplimiento a lo establecido en el articulo 28, fracción 111 de la Ley General, el responsable deberá� señalar el o los artículos, apartados, fracciones, incisos y nombre de los ordenamientos o disposición normativa vigente que lo faculta o le confiera atribuciones para realizar el tratamiento de datos personales que informa en el aviso de privacidad, precisando su fecha de publicación o, en su caso, la fecha de la última reforma o modificación, con independencia de que dicho tratamiento requiera del consentimiento del titular. Mecanismos y medios para el ejercicio de los derechos ARCO Articulo 40. Para dar cumplimiento a lo establecido en el articulo 28, fracción V de la Ley General,

74



LGPDPPSO LGPDPSP Otras disposiciones RGPD C108 C108+ Comentarios el responsable deberá� informar sobre los mecanismos, medios y procedimientos habilitados para atender las solicitudes para el ejercicio de los derechos ARCO. En el caso del procedimiento, el responsable podrá� describirlo puntualmente en el aviso de privacidad integral, o bien, remitir al titular a los medios que tiene disponibles para que conozca dicho procedimiento. En ambos casos, el responsable deberá� informar, al menos, lo siguiente: l. Los requisitos que deberá� contener la solicitud para el ejercicio de los derechos ARCO a que se refiere el artículo 52 de la Ley General; II. Los medios a través de los cuales el titular podrá� presentar solicitudes para el ejercicio de los derechos ARCO; III. Los formularios, sistemas y otros métodos simplificados que, en su caso, el Instituto hubiere establecido para facilitar al titular el ejercicio de sus derechos ARCO; Los medios habilitados para dar respuesta a las solicitudes para el ejercicio

75



LGPDPPSO LGPDPSP Otras disposiciones RGPD C108 C108+ Comentarios de los derechos ARCO; La modalidad o medios de reproducción de los datos personales; Los plazos establecidos dentro del procedimiento, los cuales no deberán contravenir lo previsto en los artículos 51, 52, 53 Y54 de la Ley General, y El derecho que tiene el titular de presentar un recurso de revisión ante el Instituto en caso de estar inconforme con la respuesta. Domicilio de la Unidad de Transparencia en el aviso de privacidad integral Articulo 41. Para dar cumplimiento a lo establecido en el articulo 28, fracción VI de la Ley General, el responsable deberá� indicar el domicilio de la Unidad de Transparencia señalando, al menos, la calle, número, colonia, ciudad, municipio o delegación, código postal y entidad federativa, así como su número y extensión telefónica. Cambios al aviso de privacidad en el aviso de privacidad integral Artículo 42. Para dar cumplimiento a lo establecido en el articulo 28, fracción VII de la Ley

76



LGPDPPSO LGPDPSP Otras disposiciones RGPD C108 C108+ Comentarios General, el responsable deberá� señalar el o los medios disponibles y a través de los cuales hará� del conocimiento del titular los cambios o actualizaciones efectuados al aviso de privacidad simplificado e integral. Para tal efecto, el responsable deberá� incluir en el aviso de privacidad simplificado e integral la fecha de su elaboración, o bien, la última fecha en que éstos hubieren sido actualizados, en su caso. Momentos para la puesta a disposición del aviso de privacidad simplificado e integral Artículo 43. El responsable deberá� poner a disposición del titular el aviso de privacidad simplificado en un primer momento. Lo cual no le impide que pueda dar a conocer el aviso de privacidad integral desde un inicio si lo prefiere. En ambos casos, el aviso de privacidad se pondrá� a disposición conforme a las siguientes reglas: I. De manera previa a la obtención de los datos personales, cuando los mismos se obtengan directamente del titular, independientemente de 105 formatos o medios físicos y/o

77



LGPDPPSO LGPDPSP Otras disposiciones RGPD C108 C108+ Comentarios electrónicos utilizados para tal fin, o II. Al primer contacto con el titular o previo al aprovechamiento de los datos personales, cuando éstos se hubieren obtenido de manera indirecta del titular. Una vez puesto a disposición del titular el aviso de privacidad simplificado conforme a lo dispuesto en el párrafo anterior del presente artículo; el aviso de privacidad integral deberá� estar publicado, de manera permanente, en el sitio o medio que se informe en el aviso de privacidad simplificado, a efecto de que el titular lo consulte en cualquier momento y el Instituto pueda acreditar tal situación fehacientemente, conforme a lo dispuesto en los artículos 29 y 45 de los presentes Lineamientos generales. Casos en 105 que se requiere un nuevo aviso de privacidad Artículo 44. El responsable deberá� poner a disposición del titular, un nuevo aviso de privacidad, en sus dos modalidades, de conformidad con lo que establece la Ley General y los presentes Lineamientos generales cuando:

78



LGPDPPSO LGPDPSP Otras disposiciones RGPD C108 C108+ Comentarios I. Cambie su identidad; II. Requiera recabar datos personales sensibles adicionales a aquéllos informados en el aviso de privacidad original, los cuales no se obtengan de manera directa del titular y se requiera de su consentimiento para el tratamiento de éstos; III. Cambie las finalidades señaladas en el aviso de privacidad original, o IV. Modifique las condiciones de las transferencias de datos personales o se pretendan realizar transferencias no previstas inicialmente y el consentimiento del titular sea necesario. Carga de la prueba para acreditar la puesta a disposición del aviso de privacidad Artículo 45. La carga de la prueba para acreditar la puesta a disposición del aviso de privacidad, recaerá�, en todos los casos, en el responsable.

79

H. Derecho de acceso, rectificación, supresión y oposición La siguiente tabla presenta el análisis de la LGPDPPSO y los LGPDPSP con el objeto de identificar los artículos aplicables a los derechos de acceso, rectificación, supresión y oposición. Al respecto, el WP 254 señala:

“El interesado debe tener derecho a obtener confirmación de si se están tratando o no datos personales que le conciernen, así como derecho de acceso a sus datos personales, incluida una copia de los datos personales objeto de tratamiento. El interesado debe tener derecho a obtener la rectificación de sus datos según proceda, por razones específicas, por ejemplo, por ser inexactos o incompletos, y a suprimir sus datos personales cuando, por ejemplo, su tratamiento ya no sea necesario o sea ilícito. Asimismo, el interesado debe tener derecho a oponerse en cualquier momento, por motivos legítimos imperiosos relacionados con su situación particular, al tratamiento de sus datos en condiciones específicas establecidas en el marco jurídico del tercer país. Por ejemplo, en el RGPD estas condiciones incluyen cuando el tratamiento es necesario para la realización de una misión en interés público, cuando es necesario para el ejercicio de poderes públicos conferidos al responsable del tratamiento o cuando el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero. El ejercicio de estos derechos no debe ser excesivamente complicado para el interesado. Pueden existir ciertas restricciones a estos derechos, por ejemplo, salvaguardar investigaciones penales, la seguridad del Estado, la independencia y los procedimientos judiciales u otros objetivos importantes de interés público general como en el caso del artículo 23 del RGPD.”

De esta manera, se presentan los distintos fundamentos jurídicos en los que se regula los derechos de acceso, rectificación, supresión y oposición en la LGPDPPSO y los LGPDPSP realizando una comparación con el contenido del RGPD, el C108 y el C108+.

80

Capítulo 3 del WP 254: Principios generales en materia de protección de datos para garantizar que el nivel de protección en un tercer país, territorio o uno o varios sectores específicos de ese tercer país, u

organización internacional es sustancialmente equivalente al garantizado por la legislación de la UE A. Principios relativos al contenido

8) Derecho de acceso, rectificación, supresión y oposición

LGPDPPSO LGPDPSP/Otras disposiciones

RGPD C108 C108+ Comentarios

Artículo 43. En todo momento el titular o su representante podrán

solicitar al responsable, el acceso, rectificación,

cancelación u oposición al tratamiento de los datos

personales que le conciernen, de conformidad

con lo establecido en el presente Título. El ejercicio

de cualquiera de los derechos ARCO no es

requisito previo, ni impide el ejercicio de otro.

Artículo 44. El titular tendrá derecho de acceder a sus

datos personales que obren en posesión del

responsable, así como conocer la información

relacionada con las condiciones y

generalidades de su tratamiento.

Acceso a datos personales

Artículo 92. La obligación de acceso a los datos personales se dará́ por

cumplida cuando el responsable ponga a disposición del titular,

previa acreditación de su identidad y, en su caso, la

identidad y personalidad de su representante, los datos

personales a través de consulta directa, en el sitio

donde se encuentren, o mediante la expedición de

copias simples, copias certificadas, medios magnéticos, ópticos, sonoros, visuales u

holográficos, o cualquier otra tecnología que

determine el titular, dentro del plazo de quince días a que se refiere el articulo 51

de la Ley General y de conformidad con lo dispuesto en dicho ordenamiento y los

presentes Lineamientos generales, así como previa

acreditación del pago de los derechos

correspondientes.

Artículo 15 Derecho de acceso del

interesado 1. El interesado tendrá derecho a obtener del

responsable del tratamiento confirmación de si se están

tratando o no datos personales que le conciernen

y, en tal caso, derecho de acceso a los datos

personales y a la siguiente información:

a) los fines del tratamiento;b) las categorías de datos

personales de que se trate;c) los destinatarios o las

categorías de destinatarios a los que se comunicaron o

serán comunicados los datos personales, en

particular destinatarios en terceros u organizaciones

internacionales;d) de ser posible, el plazo

previsto de conservación de los datos personales o, de no ser posible, los criterios utilizados para determinar

este plazo;e) la existencia del derecho a

solicitar del responsable la rectificación o supresión de

datos personales o la limitación del tratamiento de datos personales relativos al interesado, o a oponerse

a dicho tratamiento;f) el derecho a presentar una

reclamación ante una

Artículo 8. Garantías complementarias para la

persona concernida Cualquier persona deberá

poder: a) Conocer la existencia

de un fichero automatizado de datos de carácter

personal, sus finalidades principales, así como la identidad y la residencia

habitual o el establecimiento principal

de la autoridad controladora del fichero; b) obtener a intervalos

razonables y sin demora o gastos excesivos la confirmación de la

existencia o no en el fichero automatizado de

datos de carácter personal que conciernan a dicha persona, así como la

comunicación de dichos datos en forma inteligible;

c) obtener, llegado el caso, la rectificación de dichos datos o el borrado de los

mismos, cuando se hayan tratado con infracción de

las disposiciones del derecho interno que hagan

efectivos los principios básicos enunciados en los artículos 5 y 6 del presente

Convenio; d) disponer de un recurso si no se ha atendido a una petición de confirmación o,

Artículo 9 – Derechos del titular de los datos

1. Toda persona debe tener derecho a:

a) no ser sujeto a una decisión que le afecte de

manera significativa tomada únicamente con

base en un proceso automatizado de datos, sin

tomar su postura en consideración;

b) obtener, mediante solicitud, a intervalos

regulares y sin excesiva demora o costo, confirmación del

procesamiento de sus datos personales, la

comunicación en forma inteligible de los datos

procesados, toda la información disponible

sobre su origen, sobre el periodo de preservación, así como cualquier otra

información que el responsable deberá

establecer en aras de asegurar la transparencia

del procesamiento, en concordancia con el Artículo 8, párrafo 1;

c) obtener, bajo solicitud, conocimiento del

razonamiento que subyace al tratamiento de sus datos cuando los resultados de dicho procesamiento le

sean aplicados;

El derecho de acceso

previsto en la LGPDPPSO y los LGPDPSP resulta

congruente con el RGPD.

81

autoridad de control;g) cuando los datos

personales no se hayan obtenido del interesado,

cualquier información disponible sobre su origen;

h) la existencia de decisiones automatizadas, incluida la elaboración de perfiles, a

que se refiere el artículo 22, apartados 1 y 4, y, al

menos en tales casos, información significativa

sobre la lógica aplicada, así como la importancia y las

consecuencias previstas de dicho tratamiento para el

interesado.2. Cuando se transfieran

datos personales a un tercer país o a una organización internacional, el interesado

tendrá derecho a ser informado de las garantías

adecuadas en virtud del artículo 46 relativas a la

transferencia. 3. El responsable del

tratamiento facilitará una copia de los datos personales

objeto de tratamiento. El responsable podrá percibir

por cualquier otra copia solicitada por el interesado un canon razonable basado en los costes administrativos.

Cuando el interesado presente la solicitud por medios electrónicos, y a

menos que este solicite que se facilite de otro modo, la

información se facilitará en un formato electrónico de uso

común. 4. El derecho a obtener copia mencionado en el apartado 3 no afectará negativamente a

si así fuere el caso, de comunicación, de

ratificación o de borrado, a que se refieren los párrafos b) y c) del presente artículo.

d) objetar en cualquier momento, con base en sus

circunstancias, al procesamiento de sus

datos personales, a menos de que responsable

demuestre contar con bases legítimas para el

procesamiento tales que superen sus intereses, derechos y libertades

fundamentales; e) obtener, bajo solicitud,

sin costo y sin demora excesiva, la rectificación o supresión, según sea el

caso, de sus datos si éstos son o han sido procesados de manera contraria a las

disposiciones de este Convenio;

f) tener un recurso en los términos del Artículo 12

cuando los derechos establecidos en este Convenio le han sido

violados; g) a beneficiarse, sin

importar su nacionalidad o residencia, de la asistencia

de una Autoridad Supervisora en los términos establecidos en el Artículo 15, para el ejercicio de los derechos reconocidos en

este Convenio. 2. El párrafo 1.a no aplicará si la decisión es autorizada

por una ley a la que el Responsable está sujeto y

que también establece medidas apropiadas para garantizar los derechos,

libertades e intereses legítimos de las personas

concernida.

82

los derechos y libertades de otros.

Artículo 57. Cuando se traten datos personales por

vía electrónica en un formato estructurado y

comúnmente utilizado, el titular tendrá derecho a obtener del responsable una copia de los datos

objeto de tratamiento en un formato electrónico

estructurado y comúnmente utilizado que le permita

seguir utilizándolos. Cuando el titular haya

facilitado los datos personales y el tratamiento

se base en el consentimiento o en un

contrato, tendrá derecho a transmitir dichos datos

personales y cualquier otra información que haya

facilitado y que se conserve en un sistema de

tratamiento automatizado a otro sistema en un formato electrónico comúnmente

utilizado, sin impedimentos por parte del responsable

del tratamiento de quien se retiren los datos

personales. El Sistema Nacional

establecerá mediante lineamientos los parámetros

a considerar para determinar los supuestos

en los que se está en presencia de un formato

estructurado y comúnmente utilizado, así como las

normas técnicas, modalidades y

procedimientos para la transferencia de datos

Los Lineamientos que establecen los parámetros,

modalidades y procedimientos para la portabilidad de datos

personales regulan este derecho. Los lineamientos tienen por objeto tienen por

objeto establecer los parámetros a considerar

para determinar los supuestos en los que se está en presencia de un formato estructurado y

comúnmente utilizado, que contengan datos

personales, así como las normas técnicas,

modalidades y procedimientos para la

transmisión de los referidos datos personales para

garantizar la portabilidad de los datos personales a

que se refiere la LGPDPPSO o las

legislaciones estatales en la materia.

Artículo 20 Derecho a la portabilidad de

los datos 1. El interesado tendrá

derecho a recibir los datos personales que le incumban,

que haya facilitado a un responsable del tratamiento, en un formato estructurado,

de uso común y lectura mecánica, y a transmitirlos a

otro responsable del tratamiento sin que lo impida el responsable al que se los hubiera facilitado, cuando:

a) el tratamiento esté basado en el consentimiento con

arreglo al artículo 6, apartado 1, letra a), o el artículo 9, apartado 2,

letra a), o en un contrato con arreglo al artículo 6,

apartado 1, letra b), yb) el tratamiento se efectúe

por medios automatizados.2. Al ejercer su derecho a la portabilidad de los datos de

acuerdo con el apartado 1, el interesado tendrá derecho a que los datos personales se transmitan directamente de responsable a responsable cuando sea técnicamente

posible. 3. El ejercicio del derecho

mencionado en el apartado 1 del presente artículo se

entenderá sin perjuicio del artículo 17. Tal derecho no se

aplicará al tratamiento que sea necesario para el

cumplimiento de una misión realizada en interés público o

en el ejercicio de poderes públicos conferidos al

--- ---

El derecho de portabilidad coincide con el derecho regulado por el RGPD e

incluso tiene una concreción mayor.

83

personales.

responsable del tratamiento. 4. El derecho mencionado en

el apartado 1 no afectará negativamente a los derechos

y libertades de otros.

Artículo 45. El titular tendrá derecho a solicitar al

responsable la rectificación o corrección de sus datos personales, cuando estos

resulten ser inexactos, incompletos o no se

encuentren actualizados.

Rectificación de datos personales

Artículo 93. La obligación de rectificar los datos

personales se dará́ por cumplida cuando el

responsable notifique al titular, previa acreditación de su identidad y, en su

caso, la identidad y personalidad de su representante, una

constancia que acredite la corrección solicitada,

dentro del plazo de quince días a que se refiere el

artículo 51 de la Ley General y de conformidad con lo dispuesto en dicho

ordenamiento y los presentes Lineamientos

generales. En la constancia a que se refiere el párrafo anterior del presente articulo, el

responsable deberá señalar, al menos, el nombre completo del

titular, los datos personales corregidos, así como la fecha a partir de la cual fueron rectificados los

datos personales en sus registros, archivos,

sistemas de información, expedientes, bases de

datos o documentos en su posesión.

Artículo 16

Derecho de rectificación El interesado tendrá derecho

a obtener sin dilación indebida del responsable del tratamiento la rectificación de

los datos personales inexactos que le conciernan. Teniendo en cuenta los fines del tratamiento, el interesado

tendrá derecho a que se completen los datos personales que sean incompletos, inclusive

mediante una declaración adicional.



































sean aplicados; d) objetar en cualquier

momento, con base en sus

El derecho de rectificación previsto en la LGPDPPSO

y los LGPDPSP resulta congruente con el RGPD.

84


circunstancias, al procesamiento de sus

datos personales, a menos de que responsable

demuestre contar con bases legítimas para el

procesamiento tales que superen sus intereses, derechos y libertades














concernida.

Artículo 46. El titular tendrá derecho a solicitar la

Cancelación de datos personales

Artículo 17 Derecho de supresión («el



El derecho de supresión (cancelación) previsto en

85

cancelación de sus datos personales de los archivos,

registros, expedientes y sistemas del responsable, a fin de que los mismos ya no

estén en su posesión y dejen de ser tratados por

este último.

Articulo 94. La obligación de cancelar [os datos

personales se dará por cumplida cuando el

responsable notifique al titular, previa acreditación de su identidad y, en su

caso la identidad y personalidad de su representante, una

constancia que señale: I. Los documentos, bases

de datos personales, archivos, registros,

expedientes y/o sistemas de tratamiento donde se

encuentren los datos personales objeto de

cancelación; II. El periodo de bloqueo de los datos personales, en su

caso; III. Las medidas de

seguridad de carácter administrativo, fisico y técnico implementadas durante el periodo de

bloqueo, en su caso, y IV. Las políticas, métodos y técnicas utilizadas para la supresión definitiva de los datos personales, de tal

manera que la probabilidad de recuperarlos o

reutilizarlos sea mínima. El responsable deberá

notificar al titular la constancia a que se refiere

el párrafo anterior de los presentes Lineamientos

generales dentro del plazo de quince dias establecido en el articulo 51 de la Ley General y de conformidad con lo dispuesto en dicho


derecho al olvido») 1. El interesado tendrá

derecho a obtener sin dilación indebida del responsable del tratamiento la supresión de los datos personales que le conciernan, el cual estará

obligado a suprimir sin dilación indebida los datos

personales cuando concurra alguna de las circunstancias

siguientes: a) los datos personales ya no

sean necesarios en relación con los fines para los que

fueron recogidos o tratados de otro modo;

b) el interesado retire el consentimiento en que se

basa el tratamiento de conformidad con el

artículo 6, apartado 1, letra a), o el artículo 9,

apartado 2, letra a), y este no se base en otro

fundamento jurídico;c) el interesado se oponga al

tratamiento con arreglo al artículo 21, apartado 1, y no prevalezcan otros motivos

legítimos para el tratamiento, o el interesado

se oponga al tratamiento con arreglo al artículo 21,

apartado 2;d) los datos personales hayan

sido tratados ilícitamente;e) los datos personales deban

suprimirse para el cumplimiento de una

obligación legal establecida en el Derecho de la Unión o

de los Estados miembros que se aplique al responsable del

tratamiento;f) los datos personales se



































momento, con base en sus circunstancias, al

procesamiento de sus datos personales, a menos

de que responsable demuestre contar con

bases legítimas para el procesamiento tales que

la LGPDPPSO tiene un alcance general pero no

detallado como lo previsto en RGPD en sus apartados 1) y 2).

La LGPDPPSO no

establece condiciones para la supresión de los datos considerando la

tecnología disponible y el coste de su aplicación,

adoptará medidas razonables, incluidas

medidas técnicas, con miras a informar a los

responsables que estén tratando los datos

personales de la solicitud del interesado de

supresión de cualquier enlace a esos datos

personales, o cualquier copia o réplica de los

mismos

86

generales.

hayan obtenido en relación con la oferta de servicios de

la sociedad de la información mencionados

en el artículo 8, apartado 1.2. Cuando haya hecho

públicos los datos personales y esté obligado, en virtud de

lo dispuesto en el apartado 1, a suprimir dichos datos, el

responsable del tratamiento, teniendo en cuenta la

tecnología disponible y el coste de su aplicación,

adoptará medidas razonables, incluidas

medidas técnicas, con miras a informar a los responsables que estén tratando los datos personales de la solicitud del interesado de supresión de

cualquier enlace a esos datos personales, o cualquier copia

o réplica de los mismos. 3. Los apartados 1 y 2 no se

aplicarán cuando el tratamiento sea necesario:

a) para ejercer el derecho a la libertad de expresión e

información;b) para el cumplimiento de

una obligación legal que requiera el tratamiento de

datos impuesta por el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento, o para el

cumplimiento de una misión realizada en interés público o en el ejercicio de poderes

públicos conferidos al responsable;

c) por razones de interés público en el ámbito de la

salud pública de conformidad con el

superen sus intereses, derechos y libertades














concernida.

87

artículo 9, apartado 2, letras h) e i), y apartado 3;

d) con fines de archivo en interés público, fines de investigación científica o

histórica o fines estadísticos, de

conformidad con el artículo 89, apartado 1, en

la medida en que el derecho indicado en el

apartado 1 pudiera hacer imposible u obstaculizar

gravemente el logro de los objetivos de dicho

tratamiento, oe) para la formulación, el

ejercicio o la defensa de reclamaciones.

Artículo 47. El titular podrá oponerse al tratamiento de

sus datos personales o exigir que se cese en el

mismo, cuando: I. Aun siendo lícito el

tratamiento, el mismo debe cesar para evitar que su

persistencia cause un daño o perjuicio al titular, y

II. Sus datos personales sean objeto de un

tratamiento automatizado, el cual le produzca efectos

jurídicos no deseados o afecte de manera

significativa sus intereses, derechos o libertades, y

estén destinados a evaluar, sin intervención humana, determinados aspectos personales del mismo o analizar o predecir, en

particular, su rendimiento profesional, situación económica, estado de

salud, preferencias sexuales, fiabilidad o

Oposición de datos personales

Articulo 95. La obligación de cesar el tratamiento de los datos personales se

dará por cumplida cuando el responsable notifique a[ titular, previa acreditación de su identidad y, en su


constancia que señale dicha situación dentro del

plazo de quince dias a que se refiere el artículo 51 de

la Ley General y de conformidad con lo dispuesto en dicho ordenamiento y los

presentes Lineamientos generales.

Envio de datos personales o constancias por correo

certificado

Artículo 21 Derecho de oposición 1. El interesado tendrá derecho a oponerse en cualquier momento, por

motivos relacionados con su situación particular, a que datos personales que le

conciernan sean objeto de un tratamiento basado en lo dispuesto en el artículo 6, apartado 1, letras e) o f), incluida la elaboración de perfiles sobre la base de dichas disposiciones. El

responsable del tratamiento dejará de tratar los datos

personales, salvo que acredite motivos legítimos

imperiosos para el tratamiento que prevalezcan

sobre los intereses, los derechos y las libertades del

interesado, o para la formulación, el ejercicio o la defensa de reclamaciones. 2. Cuando el tratamiento de datos personales tenga por

---














El derecho de oposición previsto en la LGPDPPSO

y los LGPDPSP resulta congruente con el RGPD.

88

comportamiento.

objeto la mercadotecnia directa, el interesado tendrá derecho a oponerse en todo momento al tratamiento de los datos personales que le

conciernan, incluida la elaboración de perfiles en la

medida en que esté relacionada con la citada

mercadotecnia. 3. Cuando el interesado se oponga al tratamiento con

fines de mercadotecnia directa, los datos personales dejarán de ser tratados para

dichos fines. 4. A más tardar en el

momento de la primera comunicación con el

interesado, el derecho indicado en los apartados 1

y 2 será mencionado explícitamente al interesado y será presentado claramente y al margen de cualquier otra

información. 5. En el contexto de la

utilización de servicios de la sociedad de la información, y no obstante lo dispuesto en la

Directiva 2002/58/CE, el interesado podrá ejercer su

derecho a oponerse por medios automatizados que apliquen especificaciones

técnicas. 6. Cuando los datos

personales se traten con fines de investigación científica o histórica o fines estadísticos

de conformidad con el artículo 89, apartado 1, el

interesado tendrá derecho, por motivos relacionados con

su situación particular, a oponerse al tratamiento de

datos personales que le






momento, con base en sus circunstancias, al

procesamiento de sus datos personales, a menos

de que responsable demuestre contar con

bases legítimas para el procesamiento tales que superen sus intereses, derechos y libertades










89

conciernan, salvo que sea necesario para el

cumplimiento de una misión realizada por razones de

interés público.





concernida.

---- ----

Artículo 18 Derecho a la limitación del

tratamiento 1. El interesado tendrá derecho a obtener del

responsable del tratamiento la limitación del tratamiento

de los datos cuando se cumpla alguna de las

condiciones siguientes: a) el interesado impugne la

exactitud de los datos personales, durante un

plazo que permita al responsable verificar la

exactitud de los mismos;b)el tratamiento sea ilícito y el

interesado se oponga a la supresión de los datos

personales y solicite en su lugar la limitación de su

uso;c) el responsable ya no

necesite los datos personales para los fines del tratamiento, pero el interesado los necesite para la formulación, el

ejercicio o la defensa de reclamaciones;

d) el interesado se haya opuesto al tratamiento en

virtud del artículo 21, apartado 1, mientras se verifica si los motivos

… ---

El derecho de limitación del tratamiento no está

previsto en la LGPDPPSO ni en su normatividad de

desarrollo.

90

legítimos del responsable prevalecen sobre los del

interesado.2. Cuando el tratamiento de datos personales se haya

limitado en virtud del apartado 1, dichos datos solo

podrán ser objeto de tratamiento, con excepción de

su conservación, con el consentimiento del interesado

o para la formulación, el ejercicio o la defensa de

reclamaciones, o con miras a la protección de los derechos

de otra persona física o jurídica o por razones de

interés público importante de la Unión o de un determinado

Estado miembro. 3. Todo interesado que haya

obtenido la limitación del tratamiento con arreglo al apartado 1 será informado

por el responsable antes del levantamiento de dicha

limitación.

Artículo 6. El Estado garantizará la privacidad de

los individuos y deberá velar porque terceras

personas no incurran en conductas que puedan

afectarla arbitrariamente. El derecho a la protección de los datos personales

solamente se limitará por razones de seguridad

nacional, en términos de la ley en la materia,

disposiciones de orden público, seguridad y salud

públicas o para proteger los derechos de terceros.

Artículo 55. Las únicas causas en las que el

ejercicio de los derechos ARCO no será procedente

son: I. Cuando el titular o su representante no estén

debidamente acreditados para ello;

II. Cuando los datos personales no se

encuentren en posesión del responsable;

III. Cuando exista un impedimento legal;

IV. Cuando se lesionen los derechos de un tercero;

V. Cuando se obstaculicen actuaciones judiciales o

Artículo 23 Limitaciones

1. El Derecho de la Unión o de los Estados miembros que se aplique al responsable o el

encargado del tratamiento podrá limitar, a través de medidas legislativas, el

alcance de las obligaciones y de los derechos establecidos en los artículos 12 a 22 y el artículo 34, así como en el artículo 5 en la medida en que sus disposiciones se

correspondan con los derechos y obligaciones

contemplados en los artículos 12 a 22, cuando tal

limitación respete en lo

Artículo 9. Excepción y restricciones

1. No se admitirá excepción alguna en las

disposiciones de los artículos 5, 6 y 8 del

presente Convenio, salvo que sea dentro de los

límites que se definen en el presente artículo. 2. Será posible una

excepción en las disposiciones de los artículos 5, 6 y 8 del

presente Convenio cuando tal excepción, prevista por

la ley de la Parte, constituya una medida

necesaria en una sociedad

Artículo 11 – Excepciones y restricciones 1. Ninguna excepción a

las disposiciones establecidas en este

Capítulo debe permitirse, salvo lo

dispuesto en el Artículo 5 párrafo 4, Artículo 7 párrafo 2, Artículo 8

párrafo 1 and Artículo 9. Dicha excepción deberá establecerse en la ley, respetará la esencia de

los derechos fundamentales y

constituye una medida necesaria y

proporcional en una

Las limitaciones para el ejercicio de los derechos

previstas en la LGPDPPSO únicamente

son protección de la seguridad nacional, el

orden, la seguridad y la salud públicos, así como los derechos de terceros.

Los supuestos de

improcedencia de los derechos previstos en la LGPDPPSO y el RGPD son semejantes, pero no idénticos. La LGPDPPSO

incluye mayores supuestos de limitación

91

administrativas; VI. Cuando exista una

resolución de autoridad competente que restrinja el

acceso a los datos personales o no permita la rectificación, cancelación u oposición de los mismos;

VII. Cuando la cancelación u oposición haya sido previamente realizada;

VIII. Cuando el responsable no sea

competente; IX. Cuando sean

necesarios para proteger intereses jurídicamente

tutelados del titular; X. Cuando sean

necesarios para dar cumplimiento a

obligaciones legalmente adquiridas por el titular;

XI. Cuando en función de sus atribuciones legales el uso cotidiano, resguardo y manejo sean necesarios y

proporcionales para mantener la integridad,

estabilidad y permanencia del Estado mexicano, o XII. Cuando los datos

personales sean parte de la información que las entidades sujetas a la

regulación y supervisión financiera del sujeto

obligado hayan proporcionado a éste, en

cumplimiento a requerimientos de dicha información sobre sus

operaciones, organización y actividades.

En todos los casos anteriores, el responsable deberá informar al titular el

esencial los derechos y libertades fundamentales y

sea una medida necesaria y proporcionada en una

sociedad democrática para salvaguardar:

a) la seguridad del Estado;b) la defensa;c) la seguridad pública;d) la prevención,

investigación, detección o enjuiciamiento de

infracciones penales o la ejecución de sanciones

penales, incluida la protección frente a

amenazas a la seguridad pública y su prevención;

e) otros objetivos importantes de interés público general

de la Unión o de un Estado miembro, en particular un

interés económico o financiero importante de la

Unión o de un Estado miembro, inclusive en los

ámbitos fiscal, presupuestario y monetario,

la sanidad pública y la seguridad social;

f) la protección de la independencia judicial y de

los procedimientos judiciales;

g) la prevención, la investigación, la detección y

el enjuiciamiento de infracciones de normas

deontológicas en las profesiones reguladas;

h) una función de supervisión, inspección o

reglamentación vinculada, incluso ocasionalmente,

con el ejercicio de la autoridad pública en los

casos contemplados en las

democrática: a) Para la protección de la seguridad del Estado, de la seguridad pública, para los intereses monetarios

del Estado o para la represión de infracciones

penales;b) para la protección de la persona

concernida y de los derechos y libertades de

otras personas. 3. Podrán preverse por la

ley restricciones en el ejercicio de los derechos a

que se refieren los párrafos b), c) y d) del

artículo 8 para los ficheros automatizados de datos de carácter personal que se

utilicen con fines estadísticos o de

investigación científica, cuando no existan

manifiestamente riesgos de atentado a la vida

privada de las personas concernidas.

sociedad democrática para:

a. la protección de la seguridad nacional, defensa, seguridad pública, intereses

económicos y financieros primordiales

del Estado, la imparcialidad e

independencia del Poder Judicial o la

prevención, investigación y persecución de

crímenes y delitos, así como la ejecución de

penas y otros objetivos esenciales del interés

público general;

b. la protección de las personas concernidas o

los derechos y libertades

fundamentales de otros, de manera notable, la libertad de expresión.

2. Las restricciones al ejercicio de lo dispuesto

en los Artículos 8 y 9 podrán ser establecidas

en la ley respecto del tratamiento de datos

para propósitos archivísticos en aras del

interés público, científico, de

investigación histórica o con propósitos

estadísticos cuando no exista un riesgo

reconocible de violación de los derechos y

libertades fundamentales de las

personas concernidas.

92

motivo de su determinación, en el plazo de hasta veinte días a los que se refiere el primer

párrafo del artículo 51 de la presente Ley y demás

disposiciones aplicables, y por el mismo medio en que se llevó a cabo la solicitud, acompañando en su caso, las pruebas que resulten

pertinentes.

letras a) a e) y g);i) la protección del interesado

o de los derechos y libertades de otros;

j) la ejecución de demandas civiles.

2. En particular, cualquier medida legislativa indicada en el apartado 1 contendrá como

mínimo, en su caso, disposiciones específicas

relativas a: a) la finalidad del tratamiento

o de las categorías de tratamiento;

b) las categorías de datos personales de que se trate;

c) el alcance de las limitaciones establecidas;

d) las garantías para evitar accesos o transferencias

ilícitos o abusivos;e) la determinación del

responsable o de categorías de responsables;

f) los plazos de conservación y las garantías aplicables

habida cuenta de la naturaleza alcance y

objetivos del tratamiento o las categorías de

tratamiento;g) los riesgos para los

derechos y libertades de los interesados, y

h) el derecho de los interesados a ser

informados sobre la limitación, salvo si puede

ser perjudicial a los fines de esta.

De manera adicional a las excepciones

permitidas en el párrafo 1 de este Artículo, con

relación a las actividades de

procesamiento en materia de seguridad nacional y defensa, cada Parte podrá

establecer, en la ley y sólo en la medida en la

que constituye una medida necesaria y proporcional en una

sociedad democrática para cumplir este fin,

excepciones a lo establecido en el

Artículo 4 párrafo 3, Artículo 14, párrafos 5 y

6 así como en el Artículo 15, párrafo 2,

incisos a, b, c y d. Esto, sin prejuicio al requerimiento de que

las actividades de procesamiento con fines de seguridad

nacional y defensa sean sujetas a revisión

independiente y efectiva bajo la legislación

nacional de la Parte respectiva.

Artículo 48. La recepción y trámite de las solicitudes para el ejercicio de los

derechos ARCO que se formulen a los

Personas facultadas para el ejercicio de los derechos ARCO

Artículo 73. Los derechos ARCO se podrán ejercer

Artículo 12 Transparencia de la

información, comunicación y modalidades de ejercicio

de los derechos del

--- ---

Las disposiciones para el ejercicio de Derechos de

los titulares son detalladas y extensas en la

LGPDPPSO y los

93

responsables, se sujetará al procedimiento establecido

en el presente Título y demás disposiciones que resulten aplicables en la

materia.

Artículo 49. Para el ejercicio de los derechos

ARCO será necesario acreditar la identidad del titular y, en su caso, la

identidad y personalidad con la que actúe el

representante. El ejercicio de los derechos ARCO por persona distinta

a su titular o a su representante, será posible,

excepcionalmente, en aquellos supuestos

previstos por disposición legal, o en su caso, por

mandato judicial. En el ejercicio de los derechos ARCO de

menores de edad o de personas que se

encuentren en estado de interdicción o incapacidad,

de conformidad con las leyes civiles, se estará a las

reglas de representación dispuestas en la misma

legislación. Tratándose de datos

personales concernientes a personas fallecidas, la

persona que acredite tener un interés jurídico, de

conformidad con las leyes aplicables, podrá ejercer los derechos que le confiere el presente Capítulo, siempre

que el titular de los derechos hubiere

expresado fehacientemente

por el titular o, en su caso, su representante,

acreditando su identidad y, en su caso, la identidad y

personalidad de este último al presentar su solicitud o,

de manera previa, al momento de hacer efectivo

su derecho ante el responsable, conforme a lo dispuesto en el articulo 91

de los presentes Lineamientos generales. Ejercicio de derechos ARCO de menores de edad y personas en

estado de interdicción o incapacidad

Articulo 74. En términos del articulo 49, párrafo

tercero de la Ley General, en el ejercicio de los derechos ARCO de

menores de edad o de personas fisicas que se

encuentren en estado de interdicción o incapacidad

declarada por ley o por autoridad judicial, se estará

a las reglas de representación dispuestas en el Código Civil Federal y demás disposiciones que resulten aplicables en la materia, asi como a los

articulos 76, 77, 78, 79, 80, 81 Y 82 de los presentes Lineamientos generales.

Además de lo dispuesto en el párrafo anterior del

presente artículo, tratándose de menores de edad se deberá privilegiar

el interés superior del menor conforme a la

legislación que resulte aplicable en la materia.

interesado 1. El responsable del

tratamiento tomará las medidas oportunas para

facilitar al interesado toda información indicada en los artículos 13 y 14, así como cualquier comunicación con

arreglo a los artículos 15 a 22 y 34 relativa al tratamiento,

en forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo, en particular cualquier información dirigida específicamente a un niño. La información será facilitada por

escrito o por otros medios, inclusive, si procede, por

medios electrónicos. Cuando lo solicite el interesado, la

información podrá facilitarse verbalmente siempre que se demuestre la identidad del

interesado por otros medios. 2. El responsable del

tratamiento facilitará al interesado el ejercicio de sus

derechos en virtud de los artículos 15 a 22. En los casos a que se refiere el artículo 11, apartado 2, el

responsable no se negará a actuar a petición del

interesado con el fin de ejercer sus derechos en

virtud de los artículos 15 a 22, salvo que pueda demostrar que no está en condiciones de identificar al interesado.

3. El responsable del tratamiento facilitará al interesado información

relativa a sus actuaciones sobre la base de una solicitud con arreglo a los artículos 15 a 22, y, en cualquier caso, en

LGPDPSP.

Los plazos de atención a los derechos son distintos de aquellos previstos en el

RGPD

La LGPDPPSO no establece que la información deba

facilitarse en combinación con iconos normalizados

que permitan proporcionar de forma fácilmente visible, inteligible y

claramente legible una adecuada visión de

conjunto del tratamiento previsto. Los iconos que se presenten en formato electrónico serán legibles

mecánicamente.

94

su voluntad en tal sentido o que exista un mandato

judicial para dicho efecto.

Artículo 50. El ejercicio de los derechos ARCO deberá

ser gratuito. Sólo podrán realizarse cobros para recuperar los costos de

reproducción, certificación o envío, conforme a la

normatividad que resulte aplicable.

Para efectos de acceso a datos personales, las leyes que establezcan los costos

de reproducción y certificación deberán

considerar en su determinación que los

montos permitan o faciliten el ejercicio de este derecho.

Cuando el titular proporcione el medio

magnético, electrónico o el mecanismo necesario para

reproducir los datos personales, los mismos

deberán ser entregados sin costo a éste.

La información deberá ser

entregada sin costo, cuando implique la entrega de no más de veinte hojas simples. Las unidades de

transparencia podrán exceptuar el pago de reproducción y envío

atendiendo a las circunstancias

socioeconómicas del titular. El responsable no podrá

establecer para la presentación de las

solicitudes del ejercicio de los derechos ARCO algún

Ejercicio de derechos ARCO de personas

fallecidas, incapaces e interdictos

Articulo 75. De conformidad con el articulo 49, último párrafo de la Ley

General, tratándose de datos personales

concernientes a personas fallecidas, la persona que acredite tener un interés juridico podrá ejercer los

derechos ARCO. En caso de que la persona

fallecida no hubiere expresado

fehacientemente su voluntad a que se refiere el

párrafo anterior, bastará que la persona que pretende ejercer los

derechos ARCO acredite su interés jurídico en los términos previstos en el

presente Capítulo. Para los efectos de la Ley General y los presentes

Lineamientos generales, se entenderá por interés

jurídico aquel que tiene una persona física que,

con motivo del fallecimiento del titular,

pretende ejercer los derechos ARCO de éste, para el reconocimiento de

derechos sucesorios, atendiendo a la relación de

parentesco por consanguinidad o afinidad

que haya tenido con el titular, el cual se acreditará

en términos de las disposiciones legales

aplicables. Puede alegar interés

el plazo de un mes a partir de la recepción de la solicitud.

Dicho plazo podrá prorrogarse otros dos meses en caso necesario, teniendo en cuenta la complejidad y el

número de solicitudes. El responsable informará al

interesado de cualquiera de dichas prórrogas en el plazo

de un mes a partir de la recepción de la solicitud,

indicando los motivos de la dilación. Cuando el

interesado presente la solicitud por medios

electrónicos, la información se facilitará por medios electrónicos cuando sea posible, a menos que el

interesado solicite que se facilite de otro modo.

4. Si el responsable del tratamiento no da curso a la solicitud del interesado, le informará sin dilación, y a más tardar transcurrido un mes de la recepción de la

solicitud, de las razones de su no actuación y de la

posibilidad de presentar una reclamación ante una

autoridad de control y de ejercitar acciones judiciales.

5. La información facilitada en virtud de los artículos 13 y 14 así como toda comunicación

y cualquier actuación realizada en virtud de los

artículos 15 a 22 y 34 serán a título gratuito. Cuando las

solicitudes sean manifiestamente infundadas o

excesivas, especialmente debido a su carácter

repetitivo, el responsable del tratamiento podrá:

95

servicio o medio que implique un costo al titular. Artículo 51. El responsable

deberá establecer procedimientos sencillos

que permitan el ejercicio de los derechos ARCO, cuyo

plazo de respuesta no deberá exceder de veinte días contados a partir del

día siguiente a la recepción de la solicitud.

El plazo referido en el párrafo anterior podrá ser ampliado por una sola vez hasta por diez días cuando

así lo justifiquen las circunstancias, y siempre y

cuando se le notifique al titular dentro del plazo de

respuesta. En caso de resultar

procedente el ejercicio de los derechos ARCO, el

responsable deberá hacerlo efectivo en un plazo que no

podrá exceder de quince días contados a partir del día siguiente en que se

haya notificado la respuesta al titular.

Artículo 52. En la solicitud

para el ejercicio de los derechos ARCO no podrán

imponerse mayores requisitos que los

siguientes: I. El nombre del titular y su domicilio o cualquier otro

medio para recibir notificaciones;

II. Los documentos que acrediten la identidad del

titular y, en su caso, la personalidad e identidad de

su representante;

jurídico, de manera enunciativa más no

limitativa, el albacea, herederos, legatarios,

familiares en línea recta sin limitación de grado y en línea colateral hasta el cuarto grado, lo que se

acreditará con copia simple del documento delegatorio,

pasado ante la fe de notario público o suscrito

ante dos testigos. En el supuesto de que el titular sea un menor de

edad, el interés jurídico se acreditará con la copia del

acta de defuncíón del menor, el acta de

nacimiento o identificación del menor, así como la identificación de quien

ejercía la patria potestad y/o tutela,

En el supuesto de que el titular sea una persona en estado de interdicción o

incapacidad declarada por ley o por autoridad judicial,

el interés jurídico se acreditará con la copia de su acta de defunción, el

documento de su identificación oficial y de

quien ejercía la tutela, así como el instrumento legal de designación del tutor.

Medios para la

acreditación de la identidad del titular

Artículo 76. El titular podrá acreditar su identidad a través de los siguientes

medios: l. Identificación oficial;

II. Instrumentos

a) cobrar un canon razonable en función de los costes

administrativos afrontados para facilitar la información o la comunicación o realizar

la actuación solicitada, ob) negarse a actuar respecto

de la solicitud.El responsable del

tratamiento soportará la carga de demostrar el carácter

manifiestamente infundado o excesivo de la solicitud.

6. Sin perjuicio de lo dispuesto en el artículo 11, cuando el responsable del tratamiento tenga dudas

razonables en relación con la identidad de la persona física que cursa la solicitud a que se refieren los artículos 15 a 21, podrá solicitar que se

facilite la información adicional necesaria para confirmar la identidad del

interesado. 7. La información que deberá facilitarse a los interesados en virtud de los artículos 13 y 14 podrá transmitirse en combinación con iconos

normalizados que permitan proporcionar de forma

fácilmente visible, inteligible y claramente legible una

adecuada visión de conjunto del tratamiento previsto. Los iconos que se presenten en formato electrónico serán legibles mecánicamente.

8. La Comisión estará facultada para adoptar actos delegados de conformidad con el artículo 92 a fin de

especificar la información que se ha de presentar a través

de iconos y los

96

III. De ser posible, el área responsable que trata los datos personales y ante el

cual se presenta la solicitud;

IV. La descripción clara y precisa de los datos

personales respecto de los que se busca ejercer

alguno de los derechos ARCO, salvo que se trate del derecho de acceso; V. La descripción del

derecho ARCO que se pretende ejercer, o bien, lo

que solicita el titular, y VI. Cualquier otro elemento o documento que facilite la localización de los datos personales, en su caso.

Tratándose de una solicitud de acceso a datos

personales, el titular deberá señalar la modalidad en la que prefiere que éstos se

reproduzcan. El responsable deberá atender la solicitud en la modalidad

requerida por el titular, salvo que exista una imposibilidad física o jurídica que lo limite a reproducir los datos personales en dicha

modalidad, en este caso deberá ofrecer otras

modalidades de entrega de los datos personales

fundando y motivando dicha actuación.

En caso de que la solicitud de protección de datos no

satisfaga alguno de los requisitos a que se refiere

este artículo, y el Instituto o los organismos garantes no

cuenten con elementos

electrónicos o mecanismos de autenticación permitidos

por otras disposiciones legales o reglamentarias

que permitan su identificación

fehacientemente, o III. Aquellos mecanismos

establecidos por el responsable de manera

previa, siempre y cuando permitan de forma

inequívoca la acreditación de la identidad del titular. Para efectos del presente Capítulo, la identidad de los menores de edad se podrá acreditar mediante

su acta de nacimiento, Clave Única de Registro de

Población, credenciales expedidas por instituciones educativas o instituciones

de seguridad social, pasaporte, o cualquier otro documento oficial utilizado

para tal fin. La identidad de personas

en estado de interdicción o incapacidad declarada por

ley se podrá acreditar mediante su acta de

nacimiento, Clave Única de Registro de Población,

pasaporte o cualquier otro documento o identificación oficial expedida para tal fin.

Medios para la

acreditación de la identidad y personalidad

del representante Artículo 77. Cuando el

titular ejerza sus derechos ARCO a través de su

representante, éste deberá acreditar la identidad del

procedimientos para proporcionar iconos

normalizados.

97

para subsanarla, se prevendrá al titular de los datos dentro de los cinco

días siguientes a la presentación de la solicitud de ejercicio de los derechos

ARCO, por una sola ocasión, para que subsane las omisiones dentro de un plazo de diez días contados a partir del día siguiente al

de la notificación. Transcurrido el plazo sin

desahogar la prevención se tendrá por no presentada la solicitud de ejercicio de los

derechos ARCO. La prevención tendrá el efecto de interrumpir el

plazo que tiene el Instituto, o en su caso, los

organismos garantes, para resolver la solicitud de

ejercicio de los derechos ARCO.

Con relación a una solicitud de cancelación, el titular

deberá señalar las causas que lo motiven a solicitar la

supresión de sus datos personales en los archivos, registros o bases de datos

del responsable. En el caso de la solicitud de oposición, el titular deberá

manifestar las causas legítimas o la situación

específica que lo llevan a solicitar el cese en el

tratamiento, así como el daño o perjuicio que le

causaría la persistencia del tratamiento, o en su caso, las finalidades específicas

respecto de las cuales requiere ejercer el derecho

de oposición.

titular y su identidad y personalidad presentando

ante el responsable lo siguiente:

I. Copia simple de la identificación oficial del

titular; II. Identificación oficial del

representante, e III. Instrumento público;

carta poder simple firmada ante dos testigos anexando

copia simple de las identificaciones oficiales de quienes intervengan en la suscripción del mismo, o

declaración en comparecencia personal

del titular.

Acreditación de menores de edad cuando sus

padres ejercen la patria potestad

Articulo 78. Cuando el titular sea un menor de

edad y sus padres sean los que ejerzan la patria potestad y los que

pretendan ejercer los derechos ARCO de éste, además de acreditar la identidad del menor, se

deberá acreditar la identidad y representación de los padres mediante los

siguientes documentos: l. Acta de nacimiento del

menor de edad, y II. Documento de

identificación oficial del padre o de la madre que

pretenda ejercer el derecho.

98

Las solicitudes para el ejercicio de los derechos

ARCO deberán presentarse ante la Unidad de Transparencia del

responsable, que el titular considere competente, a

través de escrito libre, formatos, medios

electrónicos o cualquier otro medio que al efecto

establezca el Instituto y los Organismos garantes, en el ámbito de sus respectivas

competencias. El responsable deberá dar

trámite a toda solicitud para el ejercicio de los derechos ARCO y entregar el acuse de recibo que corresponda.

El Instituto y los Organismos garantes,

según corresponda, podrán establecer formularios,

sistemas y otros métodos simplificados para facilitar a los titulares el ejercicio de

los derechos ARCO. Los medios y

procedimientos habilitados por el responsable para

atender las solicitudes para el ejercicio de los derechos ARCO deberán ser de fácil

acceso y con la mayor cobertura posible

considerando el perfil de los titulares y la forma en que

mantienen contacto cotidiano o común con el

responsable.

Artículo 53. Cuando el responsable no sea

competente para atender la solicitud para el ejercicio de los derechos ARCO, deberá

Acreditación de menores de edad cuando una

persona distinta a sus padres ejerce la patria

potestad Articulo 79. Cuando el titular sea un menor de

edad y su patria potestad la ejerce una persona

distinta a los padres y ésta sea quien presente la

solicitud para el ejercicio de los derechos ARCO, además de acreditar la identidad del menor se

deberá acreditar la identidad y representación de la persona mediante los

siguientes documentos: I. Acta de nacimiento del

menor de edad; II. Documento legal que

acredite la posesión de la patria potestad, y III. Documento de

identificación oficial de quien ejerce la patria

potestad.

Acreditación de menores de edad cuando son

representados por un tutor

Articulo 80. Cuando el titular sea un menor de

edad y la solicitud para el ejercicio de los derechos

ARCO la presente su tutor, además de acreditar la identidad del menor, el

tutor deberá acreditar su identidad yrepresentación mediante los siguientes

documentos: I. Acta de nacimiento del

menor de edad; II. Documento legal que

99

hacer del conocimiento del titular dicha situación dentro de los tres días siguientes a

la presentación de la solicitud, y en caso de

poderlo determinar, orientarlo hacia el

responsable competente. En caso de que el

responsable declare inexistencia de los datos

personales en sus archivos, registros, sistemas o

expediente, dicha declaración deberá constar

en una resolución del Comité de Transparencia

que confirme la inexistencia de los datos personales.

En caso de que el responsable advierta que la solicitud para el ejercicio de

los derechos ARCO corresponda a un derecho

diferente de los previstos en la presente Ley, deberá

reconducir la vía haciéndolo del conocimiento al titular.

Artículo 54. Cuando las

disposiciones aplicables a determinados tratamientos

de datos personales establezcan un trámite o procedimiento específico

para solicitar el ejercicio de los derechos ARCO, el

responsable deberá informar al titular sobre la

existencia del mismo, en un plazo no mayor a cinco días siguientes a la presentación

de la solicitud para el ejercicio de los derechos

ARCO, a efecto de que este último decida si ejerce sus

derechos a través del

acredite la tutela, y III. Documento de

identificación oficial del tutor.

Acreditación de personas en estado de interdicción o incapacidad declarada por ley o por autoridad

judicial Articulo 81. Cuando el

titular sea una persona en estado de interdicción o

incapacidad declarada por ley o por autoridad judicial,

además de acreditar la identidad de la persona, su

representante deberá acreditar su identidad y

representación mediante los siguientes documentos:

I Instrumento legal de designación del tutor, y

II. Documento de identificación oficial del

tutor.

Acreditación de las personas vinculadas a

fallecidos Artículo 82. En términos de los artículos 49, último párrafo, de la Ley General

y 75 de los presentes Lineamientos generales, la persona que acredite tener un interés jurídico deberá

presentar ante el responsable los siguientes

documentos: l. Acta de defunción del

titular; II. Documentos que

acrediten el interés juridico de quien pretende ejercer

el derecho, y III. Documento de

identificación oficial de

100

trámite específico, o bien, por medio del

procedimiento que el responsable haya

institucionalizado para la atención de solicitudes para el ejercicio de los derechos

ARCO conforme a las disposiciones establecidas

en este Capítulo.

Artículo 55. Las únicas causas en las que el

ejercicio de los derechos ARCO no será procedente

son: I. Cuando el titular o su representante no estén

debidamente acreditados para ello;

II. Cuando los datos personales no se

encuentren en posesión del responsable;

III. Cuando exista un impedimento legal;

IV. Cuando se lesionen los derechos de un tercero;

V. Cuando se obstaculicen actuaciones judiciales o

administrativas; VI. Cuando exista una

resolución de autoridad competente que restrinja el

acceso a los datos personales o no permita la rectificación, cancelación u oposición de los mismos;

VII. Cuando la cancelación u oposición haya sido previamente realizada;

VIII. Cuando el responsable no sea competente;

IX. Cuando sean necesarios para proteger intereses jurídicamente

tutelados del titular;

quien solicita el ejercicio de los derechos ARCO.

Solicitud para el ejercicio

de los derechos ARCO Artículo 83. En la solicitud

para el ejercicio de los derechos ARCO, el

responsable no podrá imponer o solicitar mayores

requerimientos informativos a los previstos en el artículo 52 de la Ley General y, en atención al caso concreto, deberá ir acompañada de copia

simple de los documentos previstos en los articulas

76, 77, 78, 79, 80, 81 Y82 de los presentes

Lineamientos generales. Además de lo señalado en

el párrafo anterior, el responsable deberá

observar lo siguiente: I. Cuando se trate de una solicitud para el ejercicio

de acceso a datos personales, el titular podrá acompañar a ésta, en su

caso, el medio magnético, electrónico o el mecanismo a través del cual requiere

la reproducción de éstos, el cual también podrá

entregarse una vez que el titular sea notificado sobre la procedencia del ejercicio del derecho solicitado, de

conformidad con lo previsto en el articulo 50, párrafo

tercero de la Ley General; II. Cuando el titular no

pueda cubrir los costos de reproducción y/o envio de sus datos personales en

virtud de su situación

101

X. Cuando sean necesarios para dar cumplimiento a obligaciones legalmente adquiridas por el titular;

XI. Cuando en función de sus atribuciones legales el uso cotidiano, resguardo y manejo sean necesarios y

proporcionales para mantener la integridad,

estabilidad y permanencia del Estado mexicano, o XII. Cuando los datos

personales sean parte de la información que las

entidades sujetas a la regulación y supervisión

financiera del sujeto obligado hayan

proporcionado a éste, en cumplimiento a

requerimientos de dicha información sobre sus

operaciones, organización y actividades.

En todos los casos anteriores, el responsable deberá informar al titular el

motivo de su determinación, en el plazo de hasta veinte días a los que se refiere el primer párrafo del artículo 51 de la presente Ley y

demás disposiciones aplicables, y por el mismo medio en que se llevó a

cabo la solicitud, acompañando en su caso, las pruebas que resulten

pertinentes.

Artículo 56. Contra la negativa de dar trámite a

toda solicitud para el ejercicio de los derechos

ARCO o por falta de respuesta del responsable,

socioeconómica, deberá manifestar tal circunstancia en su solicitud a efecto de

que la Unidad de Transparencia del

responsable determine lo conducente conforme a lo previsto en el articulo 50, párrafo cuarto de la Ley

General; III. Tratándose de

solicitudes de rectificación de datos personales, el

titular, además de indicar lo señalado en el artículo 52 de la Ley General, podrá aportar la documentación

que sustente la modificación solicitada, y IV. En las solicitudes para

el ejercicio de los derechos ARCO, el titular podrá

aportar las pruebas que estime pertinentes para

acreditar la procedencia de su solicitud, las cuales

deberán acompañarse a la misma desde el momento

de su presentación. En caso de que el titular o,

en su caso, su representante acuda personalmente a las

instalaciones del responsable a presentar

una solicitud para el ejercicio de los derechos

ARCO, sus servidores públicos deberán

orientarlos sobre la localización de la Unidad

de Transparencia.

Asistencia de la Unidad de Transparencia

Artículo 84. La Unidad de Transparencia del

102

procederá la interposición del recurso de revisión a

que se refiere el artículo 94 de la presente Ley.

responsable deberá auxiliar y orientar al titular en la elaboración de las

solicitudes para el ejercicio de sus derechos ARCO, en

todo momento, yen especial en aquellos casos

en que el titular no sepa leer ni escribir, así como

informar sobre la obligación del titular de

acreditar su identidad y, en su caso, la identidad y

personalidad de su representante.

Para el caso de las personas con alguna

discapacidad, la Unidad de Transparencia del

responsable procurará atender a cada uno de los titulares, de acuerdo con su situación particular,

facilitando en todo momento la información

que éstos requieran para el ejercicio de sus derechos

ARCO.

Medidas especiales para personas con

discapacidad y hablantes de lengua indígena

Artículo 85. El responsable procurará que las personas con algún tipo

de discapacidad o de lengua indígena, puedan ejercer, en igualdad de

circunstancias, sus derechos ARCO, para lo

cual deberá promover acuerdos con instituciones

públicas especializadas que pudieran auxiliarle en la recepción y entrega de

las respuestas a solicitudes

103

para el ejercicio de los derechos ARCO en lengua indígena, braille o cualquier formato que se requiera en función de la discapacidad del titular, en forma más

eficiente. Sin perjuicio de lo anterior,

el responsable podrá adoptar las siguientes

medidas: I. Contar con equipos de cómputo con tecnología

adaptada, escritura braille y lectores de texto;

II. Reservar lugares de estacionamiento para

personas con discapacidad;

III. Contar con intérpretes oficiales de lenguas

indígenas; IV. Facilitar la utilización del lenguaje de señas o cualquier otro medio o

modo de comunicación; V. Brindar las facilidades para el acceso de perros

guías o animales de apoyo; VI. Apoyar en la lectura de

documentos; VII. Contar con rampas

para personas con discapacidad, o

VIII. Cualquier otra medida física o tecnológica que

ayude a las personas con discapacidad y/o hablantes

de lengua indígena a ejercer de manera eficiente

sus derechos ARCO. En ningún caso, las

personas referidas en el presente artículo serán

objeto de discriminación en el ejercicio de sus

derechos.

104

Acuse de recibo Artículo 86. El

responsable deberá dar trámite a toda solicitud para el ejercicio de los

derechos ARCO y entregar el acuse de recibo que

corresponda. El responsable deberá registrar las solicitudes para el ejercicio de los

derechos ARCO que se presenten mediante escrito

libre en el sistema electrónico habilitado para tal efecto por el Instituto,

conforme ala normatividad que resulte aplicable.

En caso de que la solicitud para el ejercicio de los

derechos ARCO en escrito libre se presente

directamente ante una unidad administrativa distinta a la Unidad de

Transparencia del responsable, la unidad administrativa deberá remitir la solicitud a la

Unidad de Transparencia a más tardar al día siguiente

de su presentación. Para tal efecto, la solicitud

para el ejercicio de los derechos ARCO se tendrá por recibida en la fecha en que fue presentada en la unidad administrativa del responsable. Lo anterior,

de conformidad con lo previsto en el artículo 51

de la Ley General.

Prevención al titular Artículo 87. En el caso de

que la información proporcionada por el titular

105

en su solicitud para el ejercicio de los derechos ARCO sea insuficiente para atenderla por no

satisfacer alguno de los requisitos previstos en el

artículo 52 de la Ley General, o bien, no se

acompañe copia simple de los documentos a que se refieren los artículos 76,

77, 78, 79, 80, 81 Y82 de los presentes Lineamientos generales y el responsable no cuente con elementos para subsanarla, deberá prevenir al titular, por una sola vez y dentro de los

cinco dias contados a partir del día siguiente a[ que recibió la solicitud, para

que aporte los elementos o documentos necesarios

para dar trámite a la misma.

El titular contará con un plazo de diez dias para atender la prevención,

contados a partir del dia siguiente al de la

notificación. La prevención tendrá el efecto de interrumpir e[

plazo que tiene el responsable para dar

respuesta a la solicitud para el ejercicio de los derechos ARCO, por lo

que el cómputo de dicho plazo se reanudará al día siguiente del desahogo de la prevención por parte del

titular. Transcurrido e[ plazo sin desahogar la prevención por parte del titular, se

tendrá por no presentada

106

la solicitud para el ejercicio de los derechos ARCO.

Turno de las solicitudes para el ejercicio de los

derechos ARCO Articulo 88. La Unidad de

Transparencia del responsable deberá turnar

las solicitudes para el ejercicio de los derechos

ARCO admitidas, de conformidad con la Ley General y los presentes

Lineamientos generales, a la o las unidades

administrativas que conforme a sus

atribuciones, facultades, competencias o funciones

puedan o deban poseer los datos personales sobre los que versen las solicitudes,

atendiendo a la normatividad que les

resulte aplicable.

Reproducción y certificación de datos

personales Articulo 89. La

reproducción de [os datos personales en copias

simples o certificadas será gratuita cuando no

excedan de veinte hojas, o bien, las primeras veinte

hojas reproducidas o certificadas.

Respuesta del

responsable y plazo para emitirla

Articulo 90. En [a respuesta a una solicitud

para el ejercicio de los derechos ARCO, el

107

responsable deberá señalar:

I. Los costos de reproducción, certificación

y/o envio de los datos personales o de las

constancias que acrediten el ejercicio efectivo de los

derechos ARCO que, en su caso, correspondan;

II. El plazo que tiene el titular para realizar el pago, el cual no podrá ser menor

de tres dias contados a partir del dia siguiente de

que se notifique la repuesta a que hace

referencia en el presente artículo; señalando que

una vez que el titular o, en su caso, su representante

realice el pago deberá remitir copia del recibo correspondiente, con la

identificación del número de folio de la solicitud para el ejercicio de los derechos ARCO que corresponda, a más tardar al día siguiente

de realizarse el pago a través del medio que

señaló para oír y recibir notificaciones, o bien,

presentando personalmente una copia

ante la Unidad de Transparencia del

responsable, y III. El derecho que le asiste al titular para interponer un recurso de revisión ante el

Instituto, en caso de inconformidad por la respuesta recibida.

La respuesta adoptada por el responsable podrá ser notificada al titular en su

108

Unidad de Transparencia o en las oficinas que tenga

habilitadas para tal efecto, previa acreditación de su

identidad y, en su caso, de la identidad y personalidad

de su representante de manera presencial, o por la

Plataforma Nacional o correo certificado en cuyo

caso no procederá la notificación a través de

representante para estos últimos medios.

Plazo para hacer efectivo

los derechos ARCO Articulo 91. En caso de resultar procedente el

ejercicio de los derechos ARCO, el responsable

deberá hacerlo efectivo en un plazo no mayor a

quince dias contados a partir del dia siguiente en

que se hubiere notificado la respuesta al titular.

Previo a hacer efectivo el ejercicio de los derechos ARCO, el responsable

deberá acreditar la identidad del titular y, en su

caso, la identidad y personalidad con la que

actúe su representante de conformidad con lo

dispuesto en los articulos 49 de la Ley General y 76, 77, 78, 79, 80, 81 Y82 de

los presentes Lineamientos generales, asi como

verificar la realización del pago de los costos de reproducción, envio o

certificación que, en su caso, se hubieren

establecido.

109

La acreditación de la identidad del titular y, en su

caso, la identidad y personalidad del

representante a que se refiere el párrafo anterior, se deberá llevar a cabo

mediante la presentación de los documentos

originales que correspondan, siempre y

cuando el titular o su representante se presenten

en la Unidad de Transparencia del responsable y esta

situación se deje asentada en la constancia que acredite el acceso,

rectificación, cancelación u oposición de los datos

personales, según corresponda.

Cuando el titular y, en su caso, su representante hubieren acreditado su

identidad y la personalidad de este último

presencialmente ante la Unidad de Transparencia

del responsable levantando una constancia de tal

situación, la respuesta a su solicitud para el ejercicio de los derechos ARCO podrá ser notificada a través de los medios

electrónicos que determine el titular.

Acceso a datos

personales Artículo 92. La obligación

de acceso a los datos personales se dará por

cumplida cuando el responsable ponga a

110

disposición del titular, previa acreditación de su identidad y, en su caso, la

identidad y personalidad de su representante, los datos

personales a través de consulta directa, en el sitio

donde se encuentren, o mediante la expedición de

copias simples, copias certificadas, medios magnéticos, ópticos, sonoros, visuales u

holográficos, o cualquier otra tecnologia que

determine el titular, dentro del plazo de quince dias a que se refiere el articulo 51

de la Ley General y de conformidad con lo dispuesto en dicho ordenamiento y los

presentes Lineamientos generales, asi como previa acreditación del pago de

los derechos correspondientes.

Rectificación de datos

personales Artículo 93. La obligación

de rectificar los datos personales se dará por

cumplida cuando el responsable notifique al

titular, previa acreditación de su identidad y, en su


constancia que acredite la corrección solicitada,

dentro del plazo de quince días a que se refiere el

artículo 51 de la Ley General y de conformidad con lo dispuesto en dicho

111


generales. En la constancia a que se refiere el párrafo anterior del presente articulo, el

responsable deberá señalar, al menos, el nombre completo del

titular, los datos personales corregidos, asi como la fecha a partir de la cual fueron rectificados los

datos personales en sus registros, archivos,

sistemas de información, expedientes, bases de

datos o documentos en su posesión.

Cancelación de datos

personales Articulo 94. La obligación

de cancelar [os datos personales se dará por

cumplida cuando el responsable notifique al

titular, previa acreditación de su identidad y, en su

caso la identidad y personalidad de su representante, una

constancia que señale: I. Los documentos, bases

de datos personales, archivos, registros,

expedientes y/o sistemas de tratamiento donde se

encuentren los datos personales objeto de

cancelación; II. El periodo de bloqueo de los datos personales, en su

caso; III. Las medidas de

seguridad de carácter administrativo, fisico y

112

técnico implementadas durante el periodo de

bloqueo, en su caso, y IV. Las políticas, métodos y técnicas utilizadas para la supresión definitiva de los datos personales, de tal

manera que la probabilidad de recuperarlos o

reutilizarlos sea mínima. El responsable deberá

notificar al titular la constancia a que se refiere

el párrafo anterior de los presentes Lineamientos

generales dentro del plazo de quince dias establecido en el articulo 51 de la Ley General y de conformidad con lo dispuesto en dicho


generales.

Oposición de datos personales

Articulo 95. La obligación de cesar el tratamiento de los datos personales se

dará por cumplida cuando el responsable notifique a[ titular, previa acreditación de su identidad y, en su


constancia que señale dicha situación dentro del

plazo de quince dias a que se refiere el artículo 51 de

la Ley General y de conformidad con lo dispuesto en dicho ordenamiento y los


113

Envio de datos personales o constancias

por correo certificado Articulo 96. Sólo

procederá el envío por correo certificado de los

datos personales o de [as constancias del ejercicio efectivo de los derechos

ARCO, cuando [a solicitud sea presentada

personalmente por el titular ante e[ responsable, no medie representación

alguna del titular, y no se trate de menores de edad o de datos personales de

fallecidos.

Envio de datos personales o constancias por medios electrónicos

Articulo 97. Sólo procederá el envio por

medios electrónicos de los datos personales o de Las constancias que acrediten e[ ejercicio efectivo de los

derechos ARCO, cuando el titular hubiere acreditado

fehacientemente su identidad y, en su caso, la

identidad y personalidad de su representante mediante cualquier mecanismo en

los términos previstos en la Ley Genera[ y los


La Unidad de Transparencia del

responsable deberá dejar constancia de [a

acreditación del titular y, en su caso, su representante a que se refiere el párrafo

anterior.

114

Disponibilidad de los datos personales o

constancias que acrediten el ejercicio

efectivo de los derechosArticulo 98. La Unidad de

Transparencia del responsable deberá tener a disposición del titular y, en

su caso, de su representante los datos

personales en e[ medio de reproducción solicitado y/o

[as constancias que acrediten el ejercicio

efectivo de los derechos ARCO durante un plazo máximo de sesenta días, contados a partir del día

siguiente en que se hubiere notificado la

respuesta de procedencia al titular.

Transcurrido el plazo a que se refiere el párrafo

anterior, el responsable deberá dar por concluida la atención a la solicitud para el ejercicio de los derechos

ARCO y proceder a la destrucción del material en el que se reprodujeron los datos personales o de las constancias que acrediten el ejercicio efectivo de los

derechos ARCO. Lo anterior, dejando a

salvo el derecho que le asiste al titular de

presentar una nueva solicitud de derechos

ARCO ante el responsable.

Causales de improcedencia del

ejercicio de los derechos ARCO

115

Artículo 99. Cuando el responsable niegue el

ejercicio de los derechos ARCO por actualizarse

alguno de los supuestos previstos en el artículo 55

de la Ley General, la respuesta deberá constar en una resolución de su

Comité de Transparencia que confirme la

improcedencia del ejercicio de los derechos ARCO.

Incompetencia notoria y parcial del responsable Artículo 100. Cuando la Unidad de Transparencia del responsable determine la notoria incompetencia de

éste para atender la solicitud para el ejercicio de los derechos ARCO,

deberá comunicar tal situación al titular en el plazo a que se refiere el

artículo 53, primer párrafo de la Ley General, yen su

caso, orientarlo con el responsable competente, sin que sea necesario una resolución del Comité de

Transparencia que confirme la notoria

incompetencia. Si el responsable es

competente para atender parcialmente la solicitud para el ejercicio de los

derechos ARCO deberá dar respuesta en el ámbito

de su respectiva competencia, dentro del

plazo de veinte días a que se refiere el artículo 51 de

la Ley General y de conformidad con dicho

116


generales.

Inexistencia de los datos personales

Artículo 101. La resolución del Comité de

Transparencia a que se refiere el artículo 53,

segundo párrafo de la Ley General, deberá contar con los elementos mínimos que permitan al titular tener la

certeza de que se utilizó un críterio de búsqueda exhaustivo; así como

señalar las circunstancias de tiempo, modo y lugar

que generaron la inexistencia en cuestión y la unidad administrativa

competente de contar con los mismos.

Reconducción de la

solicitud para el ejercicio de los derechos ARCO

Artículo 102. En términos de lo previsto en el artículo 53, último párrafo de la Ley General, en caso de que el responsable advierta que

la solicitud para el ejercicio de los derechos ARCO

corresponde a un derecho diferente de los previstos en la Ley General y los presentes Lineamientos

generales, deberá reconducir la vía haciéndolo del

conocimiento al titular dentro de los tres dias

siguientes a la presentación de la

solicitud, dejando a salvo

117

los requisitos y plazos establecidos en la vía correcta conforme a la

normatividad que resulte aplicable.

Trámites especificos

Artículo 103. De conformidad con lo previsto en el articulo 54 de la Ley

General, el tilular tendrá un plazo de cinco dias,

contado a partir del dia siguiente de recibir la

respuesta del responsable, para dar a conocer al

responsable si ejerce sus derechos ARCO a través del trámite especifico, o bien, del procedimiento

general. En caso de que el titular no señale

manifestación alguna, se entenderá que ha elegido

esta última via.

Tramitación de solicitudes para el


Artículo 104. El responsable podrá

establecer los plazos y los procedimientos internos

que considere convenientes para recibir,

gestionar y dar respuesta a las solicitudes para el

ejercicio de los derechos ARCO, observando, en

todo momento, los requisitos, condiciones,

plazos y términos previstos en la Ley General y los presentes Lineamientos

generales.

118

Negativa para la tramitación de

solicitudes para el ejercicio de los derechos

ARCO Articulo 105. Cuando

alguna unidad administrativa del

responsable se negare a colaborar con la Unidad de

Transparencia en la atención de las solicitudes

para el ejercicio de los derechos ARCO, ésta dará aviso al superior jerárquico para que le ordene realizar

sin demora las acciones conducentes.

Si persiste la negativa de colaboración, la Unidad de Transparencia lo hará del cónocimiento del Comité de Transparencia para

que, a su vez, dé vista al órgano interno de control,

contraloria o instancia equivalente y, en su caso, dé inicio el procedimiento

de responsabilidad administrativo respectivo.

Inconformidad del titular por la respuesta recibida

o falta de ésta Artículo 106. El titular y,

en su caso, su representante, podrán

presentar un recurso de revisión ante el Instituto por la respuesta recibida o falta

de respuesta del responsable, de

conformidad con lo establecido en la Ley

General y los presentes Lineamientos generales.

119

Cumplimiento de las obligaciones para el


Artículo 107. La carga de la prueba para acreditar el

cumplimiento de las obligaciones previstas en

el presente Capitulo, recaerá, en todo momento,

en el responsable.

121

I. Restricciones a transferencias ulteriores La siguiente tabla presenta el análisis de la LGPDPPSO y los LGPDPSP a partir de las disposiciones aplicables para la limitación de las transferencias de datos personales. Al respecto, el WP 254 señala:

“Las transferencias ulteriores de datos personales por parte del destinatario inicial de la transferencia de datos original solo se permitirán cuando otro destinatario (el destinatario de la transferencia ulterior) también esté sujeto a normas (incluidas normas contractuales) que otorguen un nivel de protección adecuado y cumplan las instrucciones pertinentes al tratar los datos en nombre del responsable del tratamiento. El nivel de protección de las personas físicas cuyos datos se transfieran no debe verse menoscabado por la transferencia ulterior. El destinatario inicial de los datos transferidos desde la UE será responsable de garantizar que se ofrecen garantías adecuadas para las transferencias ulteriores de datos en ausencia de una decisión de adecuación. Estas transferencias ulteriores de datos solo se deben realizar para unos fines limitados y específicos, y siempre que existan fundamentos jurídicos para dicho tratamiento.”

De esta manera, se presentan los distintos fundamentos jurídicos en los que se regula el régimen de transferencias de datos personales en la LGPDPPSO y los LGPDPSP. Lo anterior, sin dejar de lado la comparación con el RGPD, el C108 y el C108+.

122


A. Principios relativos al contenido 9) Restricciones a transferencias ulteriores

LGPDPPSO LGPDPSP RGPD C108 C108+ ComentariosTÍTULO QUINTO COMUNICACIONES DE DATOS PERSONALES Capítulo Único De las Transferencias y Remisiones de Datos Personales Artículo 65. Toda transferencia de datos personales sea ésta nacional o internacional, se encuentra sujeta al consentimiento de su titular, salvo las excepciones previstas en los artículos 22, 66 y 70 de esta Ley. Artículo 66. Toda transferencia deberá formalizarse mediante la suscripción de cláusulas contractuales, convenios de colaboración o cualquier otro instrumento jurídico, de conformidad con la normatividad que le resulte aplicable al responsable, que permita demostrar el alcance del tratamiento de los datos personales, así como las obligaciones y responsabilidades asumidas por las partes. Lo dispuesto en el párrafo anterior, no será aplicable en los siguientes casos: I. Cuando la transferencia sea nacional y se realice entre responsables en virtud del cumplimiento de una disposición legal o en el ejercicio de atribuciones expresamente conferidas a

Título Quinto Transferencias de datos personales Capítulo Único Condiciones generales de las transferencias de datos personales Articulo 113. Toda transferencia de datos personales, sea ésta nacional o internacional, se encuentra sujeta al consentimiento de su titular, salvo las excepciones previstas en los artículos 22, fracción 11 y 70 de la Ley General y sin perjuicio de lo dispuesto en el articulo 66 del mismo ordenamiento, la cual deberá ́ ser informada al titular en el aviso de privacidad, limitando el tratamiento de los datos personales transferidos a las finalidades que la justifiquen. Por regla general, el consentimiento a que se refiere el párrafo anterior del presente articulo será́ tácito, salvo que una ley exija al responsable recabar el consentimiento expreso del titular para la transferencia de sus datos personales. El responsable transferente deberá́ comunicar al destinatario o receptor de los datos personales el aviso de privacidad, conforme al cual se obligó a tratar los datos personales frente al titular. Medios para solicitar el consentimiento expreso del titular para la transferencia

Artículo 44 Principio general de las transferencias Solo se realizarán transferencias de datos personales que sean objeto de tratamiento o vayan a serlo tras su transferencia a un tercer país u organización internacional si, a reserva de las demás disposiciones del presente Reglamento, el responsable y el encargado del tratamiento cumplen las condiciones establecidas en el presente capítulo, incluidas las relativas a las transferencias ulteriores de datos personales desde el tercer país u organización internacional a otro tercer país u otra organización internacional. Todas las disposiciones del presente capítulo se aplicarán a fin de asegurar que el nivel de protección de las personas físicas garantizado por el presente Reglamento no se vea menoscabado. Artículo 45 Transferencias basadas en una decisión de adecuación 1. Podrá realizarse una transferencia de datos personales a un tercer país u organización internacional cuando la Comisión haya decidido que el tercer país, un territorio o uno o varios sectores específicos de ese tercer país, o la organización internacional de que se trate garantizan un nivel de protección adecuado. Dicha

Artículo 12. Flujos transfronterizos de datos de carácter personal y el derecho interno 1. Las disposiciones que siguen se aplicarán a las transmisiones a través de las fronteras nacionales, por cualquier medio que fuere, de datos de carácter personal que sean objeto de un tratamiento automatizado o reunidos con el fin de someterlos a ese tratamiento. 2. Una Parte no podrá, con el fin de proteger la vida privada, prohibir o someter a una autorización especial los flujos transfronterizos de datos de carácter personal con destino al territorio de otra Parte. 3. Sin embargo, cualquier Parte tendrá la facultad de establecer una excepción a las disposiciones del párrafo 2: a. En la medida en que su legislación prevea una reglamentación específica para determinadas categorías de datos de carácter personal o de ficheros automatizados de datos de carácter personal, por razón de la naturaleza de dichos datos o ficheros, a menos que la reglamentación de la otra Parte establezca una protección equivalente; b. cuando la transmisión se lleve a cabo a partir de su territorio hacia el territorio de

Artículo 14 – Flujos transfronterizos de datos de carácter personal 1. Una Parte no deberá, con la sola motivación de la protección de datos personales, prohibir o someter a autorización especial la transferencia de estos datos a un Receptos que se encuentra sujeto a la jurisdicción de otra Parte de este Convenio. La parte donde se encuentran los datos puede, sin embargo, negarse a la transmisión si existe un peligro serio y real que la transferencia a otra Parte, o de esa Parte hacia otro Estado no contratante, pueda dar lugar a la elusión de las disposiciones del presente Convenio. Una Parte también podrá negarse a la transmisión si se encuentra obligada por las reglas de protección armonizadas compartidas por Estados que pertenecen a una organización regional internacional. 2. Cuando el receptor se encuentra sujeto a la jurisdicción de un Estado u organización internacional que no es Parte de este Convenio, la transferencia de datos personales podrá efectuarse cuando se garantice un nivel apropiado de protección basada en las disposiciones de este Convenio. 3. Un nivel apropiado de protección puede ser

No se establece el requisito de adecuación, ni normas corporativas vinculantes, cláusulas tipo, adhesión a códigos de conducta, entre otras medidas para la transferencia internacional de datos personales.

123

éstos, o II. Cuando la transferencia sea internacional y se encuentre prevista en una ley o tratado suscrito y ratificado por México, o bien, se realice a petición de una autoridad extranjera u organismo internacional competente en su carácter de receptor, siempre y cuando las facultades entre el responsable transferente y receptor sean homólogas, o bien, las finalidades que motivan la transferencia sean análogas o compatibles respecto de aquéllas que dieron origen al tratamiento del responsable transferente. Artículo 67. Cuando la transferencia sea nacional, el receptor de los datos personales deberá tratar los datos personales, comprometiéndose a garantizar su confidencialidad y únicamente los utilizará para los fines que fueron transferidos atendiendo a lo convenido en el aviso de privacidad que le será comunicado por el responsable transferente. Artículo 68. El responsable sólo podrá transferir o hacer remisión de datos personales fuera del territorio nacional cuando el tercero receptor o el encargado se obligue a proteger los datos personales conforme a los principios y deberes que establece la presente Ley y las disposiciones que resulten aplicables en la materia. Artículo 69. En toda transferencia de datos

de sus datos personalesArticulo 114. Cuando la transferencia de datos personales requiera del consentimiento expreso del titular, el responsable podrá́ establecer cualquier medio que le permita obtener esta modalidad del consentimiento de manera previa a la transferencia de sus datos personales, siempre y cuando el medio habilitado sea de fácil acceso y con la mayor cobertura posible, considerando el perfil de los titulares y la forma en que mantienen contacto cotidiano o común con el titular. Transferencias nacionales de datos personalesArticulo 115. Cuando la transferencia sea nacional, el receptor de los datos personales asumirá́ el carácter de responsable conforme a la legislación que en esta materia le resulte aplicable atendiendo su naturaleza jurídica, publica o privada, y deberá́ tratar los datos personales atendiendo a dicha legislación y a lo convenido en el aviso de privacidad que le será́ comunicado por el responsable transferente. Transferencias internacionales de datos personales Artículo 116. El responsable sólo podrá́ transferir datos personales fuera del territorio nacional, cuando el receptor o destinatario se obligue a proteger los datos personales conforme a los principios, deberes y demás

transferencia no requerirá ninguna autorización específica. 2. Al evaluar la adecuación del nivel de protección, la Comisión tendrá en cuenta, en particular, los siguientes elementos: a)el Estado de Derecho, el

respeto de los derechos humanos y las libertades fundamentales, la legislación pertinente, tanto general como sectorial, incluida la relativa a la seguridad pública, la defensa, la seguridad nacional y la legislación penal, y el acceso de las autoridades públicas a los datos personales, así como la aplicación de dicha legislación, las normas de protección de datos, las normas profesionales y las medidas de seguridad, incluidas las normas sobre transferencias ulteriores de datos personales a otro tercer país u organización internacional observadas en ese país u organización internacional, la jurisprudencia, así como el reconocimiento a los interesados cuyos datos personales estén siendo transferidos de derechos efectivos y exigibles y de recursos administrativos y acciones judiciales que sean efectivos;

b)la existencia y el funcionamiento efectivo de una o varias autoridades de control independientes en el tercer país o a las cuales esté sujeta una organización internacional, con la responsabilidad de garantizar y hacer cumplir las normas en materia de

un Estado no contratante por intermedio del territorio de otra Parte, con el fin de evitar que dichas transmisiones tengan como resultado burlar la legislación de la Parte a que se refiere el comienzo del presente párrafo.

asegurado por: a. la ley del Estado u organización internacional, incluyendo los tratados o acuerdos internacionales que apliquen; o b. garantías ad hoc o acorde a estándares establecidas en instrumentos legalmente vinculantes y ejecutables, adoptados e implementados por las personas involucradas en la transferencia y posterior procesamiento de los datos. 4. No obstante lo dispuesto en los párrafos previos, cada Parte puede establecer que la transferencia de datos personales puede tener lugar si: a. la persona concernida ha dado su consentimiento de manera explícita, específica y libre, después de haber sido informada de los riesgos relacionados con la ausencia de garantías apropiadas; o b. los intereses específicos de la persona concernida lo requieren en el caso particular; o c. prevalecen intereses legítimos, en particular, intereses públicos importantes establecidos en la ley y esta transferencia constituye una medida necesaria y proporcional en una sociedad democrática; o d. constituye una medida necesaria y proporcional en una sociedad democrática, para la libertad de expresión. 5. Cada Parte debe establecer que a la Autoridad Supervisora competente en los términos del Artículo 15 de este Convenio se le proveerá con

124

personales, el responsable deberá comunicar al receptor de los datos personales el aviso de privacidad conforme al cual se tratan los datos personales frente al titular. […] Artículo 71. Las remisiones nacionales e internacionales de datos personales que se realicen entre responsable y encargado no requerirán ser informadas al titular, ni contar con su consentimiento. Artículo 70. El responsable podrá realizar transferencias de datos personales sin necesidad de requerir el consentimiento del titular, en los siguientes supuestos: I. Cuando la transferencia esté prevista en esta Ley u otras leyes, convenios o Tratados Internacionales suscritos y ratificados por México; II. Cuando la transferencia se realice entre responsables, siempre y cuando los datos personales se utilicen para el ejercicio de facultades propias, compatibles o análogas con la finalidad que motivó el tratamiento de los datos personales; III. Cuando la transferencia sea legalmente exigida para la investigación y persecución de los delitos, así como la procuración o administración de justicia; IV. Cuando la transferencia sea precisa para el reconocimiento, ejercicio o defensa de un derecho ante autoridad competente, siempre y cuando medie el requerimiento de esta última;

obligaciones similares o equiparables a las previstas en la Ley General y demás normatividad mexicana en la materia, así como a los términos previstos en el aviso de privacidad que le será́ comunicado por el responsable transferente. Solicitud de opinión sobre transferencias internacionales de datos personales Artículo 117. En caso de considerarlo necesario, el responsable podrá́ solicitar la opinión del Instituto respecto aquellas transferencias internacionales de datos personales que pretenda efectuar en cumplimiento de lo dispuesto en la Ley General y los presentes Lineamientos generales de acuerdo con lo siguiente: I. El responsable deberá́ presentar su solicitud directamente en el domicilio del Instituto, o bien, a través de cualquier otro medio que se habilite para tal efecto; II. La solicitud deberá́ describir las generalidades y particularidades de la transferencia internacional de datos personales que se pretende efectuar, con especial énfasis en las finalidades que motivan la transferencia; el o los destinatarios de los datos personales que, en su caso, se pretenda transferir; el fundamento legal que, en su caso, obligue al responsable a transferir los datos personales; los datos personales que se pretendan transferir; las categorías de titulares involucrados; la

protección de datos, incluidos poderes de ejecución adecuados, de asistir y asesorar a los interesados en el ejercicio de sus derechos, y de cooperar con las autoridades de control de la Unión y de los Estados miembros, y

c)los compromisos internacionales asumidos por el tercer país u organización internacional de que se trate, u otras obligaciones derivadas de acuerdos o instrumentos jurídicamente vinculantes, así como de su participación en sistemas multilaterales o regionales, en particular en relación con la protección de los datos personales.

3. La Comisión, tras haber evaluado la adecuación del nivel de protección, podrá decidir, mediante un acto de ejecución, que un tercer país, un territorio o uno o varios sectores específicos de un tercer país, o una organización internacional garantizan un nivel de protección adecuado a tenor de lo dispuesto en el apartado 2 del presente artículo. El acto de ejecución establecerá un mecanismo de revisión periódica, al menos cada cuatro años, que tenga en cuenta todos los acontecimientos relevantes en el tercer país o en la organización internacional. El acto de ejecución especificará su ámbito de aplicación territorial y sectorial, y, en su caso, determinará la autoridad o autoridades de control a que se refiere el apartado 2, letra b), del presente artículo. El acto de ejecución se adoptará con arreglo al

toda la información relevante relacionada con las transferencias de datos referidas en el párrafo 3.b y, bajo solicitud, aquélla de los párrafos 4.b and 4.c. 6. Cada Parte debe también establecer que la Autoridad Supervisora está facultada para requerir que la persona que transfiere los datos demuestre la efectividad de las garantías o la existencia de intereses legítimos prevalecientes y que la Autoridad Supervisora podrá, en aras de proteger los derechos y libertades fundamentales de la persona concernida, prohibir dichas transferencias, suspenderlas o sujetarlas a condiciones ulteriores.

125

V. Cuando la transferencia sea necesaria para la prevención o el diagnóstico médico, la prestación de asistencia sanitaria, tratamiento médico o la gestión de servicios sanitarios, siempre y cuando dichos fines sean acreditados; VI. Cuando la transferencia sea precisa para el mantenimiento o cumplimiento de una relación jurídica entre el responsable y el titular; VII. Cuando la transferencia sea necesaria por virtud de un contrato celebrado o por celebrar en interés del titular, por el responsable y un tercero; VIII. Cuando se trate de los casos en los que el responsable no esté obligado a recabar el consentimiento del titular para el tratamiento y transmisión de sus datos personales, conforme a lo dispuesto en el artículo 22 de la presente Ley, o IX. Cuando la transferencia sea necesaria por razones de seguridad nacional. La actualización de algunas de las excepciones previstas en este artículo no exime al responsable de cumplir con las obligaciones previstas en el presente Capítulo que resulten aplicables. Artículo 70. El responsable podrá realizar transferencias de datos personales sin necesidad de requerir el consentimiento del titular, en los siguientes supuestos: I. Cuando la transferencia esté prevista en esta Ley u otras leyes, convenios o Tratados

tecnología o medios utilizados para, en su caso, efectuar la transferencia; las medidas de seguridad aplicables; las cláusulas contractuales, convenios de colaboración o cualquier otro instrumento jurídico que se suscribiría con el destinatario o receptor, en caso de que resulte exigible, así ́ como cualquier otra información relevante para el caso concreto; III. La solicitud podrá́ ir acompañada de aquellos documentos que el responsable considere conveniente hacer del conocimiento del Instituto; IV. Si el Instituto considera que no cuenta con la suficiente información para emitir su opinión técnica, deberá́ requerir al responsable, por una sola ocasión y en un plazo que no podrá́ exceder de cinco días contados a partir del día siguiente de la presentación de la solicitud, la información adicional que considere pertinente; V. El responsable contará con un plazo máximo de diez días, contados a partir del día siguiente de la recepción del requerimiento de información adicional, para proporcionar mayores elementos al Instituto con el apercibimiento de que en caso de no cumplir se tendrá́ por no presentada su consulta; VI. El requerimiento de información adicional tendrá́ el efecto de interrumpir el plazo que tiene el Instituto para emitir su opinión técnica, por lo que

procedimiento de examen a que se refiere el artículo 93, apartado 2. 4. La Comisión supervisará de manera continuada los acontecimientos en países terceros y organizaciones internacionales que puedan afectar a la efectiva aplicación de las decisiones adoptadas con arreglo al apartado 3 del presente artículo y de las decisiones adoptadas sobre la base del artículo 25, apartado 6, de la Directiva 95/46/CE. 5. Cuando la información disponible, en particular tras la revisión a que se refiere el apartado 3 del presente artículo, muestre que un tercer país, un territorio o un sector específico de ese tercer país, o una organización internacional ya no garantiza un nivel de protección adecuado a tenor del apartado 2 del presente artículo, la Comisión, mediante actos de ejecución, derogará, modificará o suspenderá, en la medida necesaria y sin efecto retroactivo, la decisión a que se refiere el apartado 3 del presente artículo. Dichos actos de ejecución se adoptarán de acuerdo con el procedimiento de examen a que se refiere el artículo 93, apartado 2. Por razones imperiosas de urgencia debidamente justificadas, la Comisión adoptará actos de ejecución inmediatamente aplicables de conformidad con el procedimiento a que se refiere el artículo 93, apartado 3. 6 La Comisión entablará consultas con el tercer país u organización internacional con vistas a poner remedio a la

126

Internacionales suscritos y ratificados por México; II. Cuando la transferencia se realice entre responsables, siempre y cuando los datos personales se utilicen para el ejercicio de facultades propias, compatibles o análogas con la finalidad que motivó el tratamiento de los datos personales; III. Cuando la transferencia sea legalmente exigida para la investigación y persecución de los delitos, así como la procuración o administración de justicia; IV. Cuando la transferencia sea precisa para el reconocimiento, ejercicio o defensa de un derecho ante autoridad competente, siempre y cuando medie el requerimiento de esta última; V. Cuando la transferencia sea necesaria para la prevención o el diagnóstico médico, la prestación de asistencia sanitaria, tratamiento médico o la gestión de servicios sanitarios, siempre y cuando dichos fines sean acreditados; VI. Cuando la transferencia sea precisa para el mantenimiento o cumplimiento de una relación jurídica entre el responsable y el titular; VII. Cuando la transferencia sea necesaria por virtud de un contrato celebrado o por celebrar en interés del titular, por el responsable y un tercero; VIII. Cuando se trate de los casos en los que el responsable no esté obligado a recabar el consentimiento del titular para el tratamiento y transmisión de sus datos

comenzará a computarse a partir del día siguiente a su desahogo; VII. El Instituto deberá́ emitir la opinión técnica que corresponda en un plazo que no podrá́ exceder de quince días, contados a partir del día siguiente a la recepción de la consulta, el cual no podrá́ ampliarse, y VIII. Si el Instituto no emite su opinión técnica en el plazo señalado en la fracción anterior del presente articulo, se entenderá́ que su opinión no es favorable respecto a la transferencia internacional de datos personales que se pretende efectuar. Cumplimiento de las obligaciones en materia de transferencias de datos personales Artículo 118. La carga de la prueba para acreditar el cumplimiento de las obligaciones previstas en el presente Capítulo, recaerá́, en todo momento, en el responsable. En adición a este Capítulo, los Lineamientos prevén que el responsable del tratamiento de los datos personales debe proporcionar

situación que dé lugar a la decisión adoptada de conformidad con el apartado 5. 7. Toda decisión de conformidad con el apartado 5 del presente artículo se entenderá sin perjuicio de las transferencias de datos personales al tercer país, a un territorio o uno o varios sectores específicos de ese tercer país, o a la organización internacional de que se trate en virtud de los artículos 46 a 49. 8. La Comisión publicará en el Diario Oficial de la Unión Europea y en su página web una lista de terceros países, territorios y sectores específicos en un tercer país, y organizaciones internacionales respecto de los cuales haya decidido que se garantiza, o ya no, un nivel de protección adecuado. 9. Las decisiones adoptadas por la Comisión en virtud del artículo 25, apartado 6, de la Directiva 95/46/CE permanecerán en vigor hasta que sean modificadas, sustituidas o derogadas por una decisión de la Comisión adoptada de conformidad con los apartados 3 o 5 del presente artículo. Artículo 46 Transferencias mediante garantías adecuadas 1. A falta de decisión con arreglo al artículo 45, apartado 3, el responsable o el encargado del tratamiento solo podrá transmitir datos personales a un tercer país u organización internacional si hubiera ofrecido garantías adecuadas y a condición de que los interesados cuenten

127

personales, conforme a lo dispuesto en el artículo 22 de la presente Ley, o IX. Cuando la transferencia sea necesaria por razones de seguridad nacional. La actualización de algunas de las excepciones previstas en este artículo no exime al responsable de cumplir con las obligaciones previstas en el presente Capítulo que resulten aplicables.

con derechos exigibles y acciones legales efectivas. 2. Las garantías adecuadas con arreglo al apartado 1 podrán ser aportadas, sin que se requiera ninguna autorización expresa de una autoridad de control, por: a)un instrumento jurídicamente

vinculante y exigible entre las autoridades u organismos públicos;

b)normas corporativas vinculantes de conformidad con el artículo 47;

c)cláusulas tipo de protección de datos adoptadas por la Comisión de conformidad con el procedimiento de examen a que se refiere el artículo 93, apartado 2;

d)cláusulas tipo de protección de datos adoptadas por una autoridad de control y aprobadas por la Comisión con arreglo al procedimiento de examen a que se refiere en el artículo 93, apartado 2;

e)un código de conducta aprobado con arreglo al artículo 40, junto con compromisos vinculantes y exigibles del responsable o el encargado del tratamiento en el tercer país de aplicar garantías adecuadas, incluidas la relativas a los derechos de los interesados, o

f) un mecanismo de certificación aprobado con arreglo al artículo 42, junto con compromisos vinculantes y exigibles del responsable o el encargado del tratamiento en el tercer país de aplicar garantías adecuadas, incluidas la relativas a los derechos de los interesados.

3. Siempre que exista

128

autorización de la autoridad de control competente, las garantías adecuadas contempladas en el apartado 1 podrán igualmente ser aportadas, en particular, mediante: a)cláusulas contractuales entre

el responsable o elencargado y el responsable, encargado o destinatario de los datos personales en el tercer país u organización internacional, o

b)disposiciones que se incorporen en acuerdos administrativos entre las autoridades u organismos públicos que incluyan derechos efectivos y exigibles para los interesados.

4. La autoridad de control aplicará el mecanismo de coherencia a que se refiere el artículo 63 en los casos indicados en el apartado 3 del presente artículo. 5. Las autorizaciones otorgadas por un Estado miembro o una autoridad de control de conformidad con el artículo 26, apartado 2, de la Directiva 95/46/CE seguirán siendo válidas hasta que hayan sido modificadas, sustituidas o derogadas, en caso necesario, por dicha autoridad de control. Las decisiones adoptadas por la Comisión en virtud del artículo 26, apartado 4, de la Directiva 95/46/CE permanecerán en vigor hasta que sean modificadas, sustituidas o derogadas, en caso necesario, por una decisión de la Comisión adoptada de conformidad con el apartado 2 del presente artículo.

129

Artículo 47 Normas corporativas vinculantes 1. La autoridad de control competente aprobará normas corporativas vinculantes de conformidad con el mecanismo de coherencia establecido en el artículo 63, siempre que estas: a)sean jurídicamente

vinculantes y se apliquen y sean cumplidas por todos los miembros correspondientes del grupo empresarial o de la unión de empresas dedicadas a una actividad económica conjunta, incluidos sus empleados;

b)confieran expresamente a los interesados derechos exigibles en relación con el tratamiento de sus datos personales, y

c)cumplan los requisitos establecidos en el apartado 2.

2. Las normas corporativas vinculantes mencionadas en el apartado 1 especificarán, como mínimo, los siguientes elementos: a) la estructura y los datos de

contacto del grupoempresarial o de la unión deempresas dedicadas a unaactividad económicaconjunta y de cada uno desus miembros;

b) las transferencias oconjuntos de transferenciasde datos, incluidas lascategorías de datospersonales, el tipo detratamientos y sus fines, eltipo de interesadosafectados y el nombre deltercer o los terceros paísesen cuestión;

c) su carácter jurídicamentevinculante, tanto a nivel

130

interno como externo;d) la aplicación de los

principios generales enmateria de protección dedatos, en particular lalimitación de la finalidad, laminimización de los datos,los periodos deconservación limitados, lacalidad de los datos, laprotección de los datosdesde el diseño y pordefecto, la base deltratamiento, el tratamientode categorías especiales dedatos personales, lasmedidas encaminadas agarantizar la seguridad delos datos y los requisitoscon respecto a lastransferencias ulteriores aorganismos no vinculadospor las normas corporativasvinculantes;

e) los derechos de losinteresados en relación conel tratamiento y los mediospara ejercerlos, en particularel derecho a no ser objetode decisiones basadasexclusivamente en untratamiento automatizado,incluida la elaboración deperfiles de conformidad conlo dispuesto en elartículo 22, el derecho apresentar una reclamaciónante la autoridad de controlcompetente y ante lostribunales competentes delos Estados miembros deconformidad con elartículo 79, y el derecho aobtener una reparación, y,cuando proceda, unaindemnización por violaciónde las normas corporativasvinculantes;

f) la aceptación por parte delresponsable o delencargado del tratamiento

131

establecidos en el territoriode un Estado miembro de laresponsabilidad porcualquier violación de lasnormas corporativasvinculantes por parte decualquier miembro de quese trate no establecido en laUnión; el responsable o elencargado solo seráexonerado, total oparcialmente, de dicharesponsabilidad sidemuestra que el acto queoriginó los daños yperjuicios no es imputable adicho miembro;

g) la forma en que se facilita alos interesados lainformación sobre lasnormas corporativasvinculantes, en particular enlo que respecta a lasdisposiciones contempladasen las letras d), e) y f) delpresente apartado, ademásde los artículos 13 y 14;

h) las funciones de tododelegado de protección dedatos designado deconformidad con elartículo 37, o de cualquierotra persona o entidadencargada de la supervisióndel cumplimiento de lasnormas corporativasvinculantes dentro del grupoempresarial o de la unión deempresas dedicadas a unaactividad económicaconjunta, así como de lasupervisión de la formacióny de la tramitación de lasreclamaciones;

i) los procedimientos dereclamación;

j) los mecanismosestablecidos dentro delgrupo empresarial o de launión de empresasdedicadas a una actividad

132

económica conjunta paragarantizar la verificación delcumplimiento de las normascorporativas vinculantes.Dichos mecanismosincluirán auditorías deprotección de datos ymétodos para garantizaracciones correctivas paraproteger los derechos delinteresado. Los resultadosde dicha verificacióndeberían comunicarse a lapersona o entidad a que serefiere la letra h) y alconsejo de administraciónde la empresa que controlaun grupo empresarial, o dela unión de empresasdedicadas a una actividadeconómica conjunta, yponerse a disposición de laautoridad de controlcompetente que lo solicite;

k) los mecanismosestablecidos paracomunicar y registrar lasmodificaciones introducidasen las normas y paranotificar esasmodificaciones a laautoridad de control;

l) el mecanismo decooperación con laautoridad de control paragarantizar el cumplimientopor parte de cualquiermiembro del grupoempresarial o de la unión deempresas dedicadas a unaactividad económicaconjunta, en particularponiendo a disposición de laautoridad de control losresultados de lasverificaciones de lasmedidas contempladas enla letra j);

m)los mecanismos parainformar a la autoridad decontrol competente de

133

cualquier requisito jurídicode aplicación en un paístercero a un miembro delgrupo empresarial o de launión de empresasdedicadas a una actividadeconómica conjunta, queprobablemente tengan unefecto adverso sobre lasgarantías establecidas enlas normas corporativasvinculantes, y

n) la formación en protecciónde datos pertinente para elpersonal que tenga accesopermanente o habitual adatos personales.

3. La Comisión podrá especificar el formato y los procedimientos para el intercambio de información entre los responsables, los encargados y las autoridades de control en relación con las normas corporativas vinculantes a tenor de lo dispuesto en el presente artículo. Dichos actos de ejecución se adoptarán con arreglo al procedimiento de examen a que se refiere el artículo 93, apartado 2. Artículo 48 Transferencias o comunicaciones no autorizadas por el Derecho de la Unión Cualquier sentencia de un órgano jurisdiccional o decisión de una autoridad administrativa de un tercer país que exijan que un responsable o encargado del tratamiento transfiera o comunique datos personales únicamente será reconocida o ejecutable en cualquier modo si se basa en un acuerdo internacional, como un tratado de asistencia jurídica mutua,

134

vigente entre el país tercero requirente y la Unión o un Estado miembro, sin perjuicio de otros motivos para la transferencia al amparo del presente capítulo. Artículo 49 Excepciones para situaciones específicas 1. En ausencia de una decisión de adecuación de conformidad con el artículo 45, apartado 3, o de garantías adecuadas de conformidad con el artículo 46, incluidas las normas corporativas vinculantes, una transferencia o un conjunto de transferencias de datos personales a un tercer país u organización internacional únicamente se realizará si se cumple alguna de las condiciones siguientes: a)el interesado haya dado

explícitamente su consentimiento a la transferencia propuesta, tras haber sido informado de los posibles riesgos para él de dichas transferencias debido a la ausencia de una decisión de adecuación y de garantías adecuadas;

b)la transferencia sea necesaria para la ejecución de un contrato entre el interesado y el responsable del tratamiento o para la ejecución de medidas precontractuales adoptadas a solicitud del interesado;

c)la transferencia sea necesaria para la celebración o ejecución de un contrato, en interés del interesado, entre el responsable del tratamiento y otra persona física o jurídica;

135

d)la transferencia sea necesaria por razones importantes de interés público;

e)la transferencia sea necesaria para la formulación, el ejercicio o la defensa de reclamaciones;

f) la transferencia sea necesaria para proteger los intereses vitales del interesado o de otras personas, cuando el interesado esté física o jurídicamente incapacitado para dar su consentimiento;

g)la transferencia se realice desde un registro público que, con arreglo al Derecho de la Unión o de los Estados miembros, tenga por objeto facilitar información al público y esté abierto a la consulta del público en general o de cualquier persona que pueda acreditar un interés legítimo, pero sólo en la medida en que se cumplan, en cada caso particular, las condiciones que establece el Derecho de la Unión o de los Estados miembros para la consulta.

Cuando una transferencia no pueda basarse en disposiciones de los artículos 45 o 46, incluidas las disposiciones sobre normas corporativas vinculantes, y no sea aplicable ninguna de las excepciones para situaciones específicas a que se refiere el párrafo primero del presente apartado, solo se podrá llevar a cabo si no es repetitiva, afecta solo a un número limitado de interesados, es necesaria a los fines de intereses legítimos imperiosos perseguidos por el responsable del tratamiento

136

sobre los que no prevalezcan los intereses o derechos y libertades del interesado, y el responsable del tratamiento evaluó todas las circunstancias concurrentes en la transferencia de datos y, basándose en esta evaluación, ofreció garantías apropiadas con respecto a la protección de datos personales. El responsable del tratamiento informará a la autoridad de control de la transferencia. Además de la información a que hacen referencia los artículos 13 y 14, el responsable del tratamiento informará al interesado de la transferencia y de los intereses legítimos imperiosos perseguidos. 2. Una transferencia efectuada de conformidad con el apartado 1, párrafo primero, letra g), no abarcará la totalidad de los datos personales ni categorías enteras de datos personales contenidos en el registro. Si la finalidad del registro es la consulta por parte de personas que tengan un interés legítimo, la transferencia solo se efectuará a solicitud de dichas personas o si estas han de ser las destinatarias. 3. En el apartado 1, el párrafo primero, letras a), b) y c), y el párrafo segundo no serán aplicables a las actividades llevadas a cabo por las autoridades públicas en el ejercicio de sus poderes públicos. 4. El interés público contemplado en el apartado 1, párrafo primero, letra d), será reconocido por el Derecho de la Unión o de los Estados miembros que se aplique al

137

responsable del tratamiento. 5. En ausencia de una decisión por la que se constate la adecuación de la protección de los datos, el Derecho de la Unión o de los Estados miembros podrá, por razones importantes de interés público, establecer expresamente límites a la transferencia de categorías específicas de datos a un tercer país u organización internacional. Los Estados miembros notificarán a la Comisión dichas disposiciones. 6. El responsable o el encargado del tratamiento documentarán en los registros indicados en el artículo 30 la evaluación y las garantías apropiadas a que se refiere el apartado 1, párrafo segundo, del presente artículo.

139

2. Ejemplos de principios de contenido adicionales que deben aplicarse a tipos específicos de tratamiento

A. Categorías especiales de datos La siguiente tabla presenta el análisis de la LGPDPPSO y los LGPDPSP a partir de la regulación existente para el tratamiento de categorías especiales de datos personales (datos personales sensibles), según se indica en el WP 254 que precisa lo siguiente:

“Deben existir salvaguardas específicas cuando se trate de categorías especiales de datos. Estas categorías deben reflejar las consagradas en los artículos 9 y 10 del RGPD. Esta protección debe aplicarse mediante requisitos más exigentes para el tratamiento de datos como, por ejemplo, que el interesado dé su consentimiento explícito para el tratamiento, o mediante medidas de seguridad adicionales.”

De esta manera, se presentan las disposiciones aplicables al tratamiento de categorías especiales de datos personales (datos personales sensibles) en la LGPDPPSO y los LGPDPSP. Lo anterior, sin dejar de lado la comparación con el RGPD, el C108 y el C108+.

140


B. Ejemplos de principios de contenido adicionales que deben aplicarse a tipos específicos de tratamiento 1) Categorías especiales de datos

LGPDPPSO LGPDPSP RGPD C108 C108+ Comentarios Artículo 7. Por regla general no podrán tratarse datos personales sensibles, salvo que se cuente con el consentimiento expreso de su titular o en su defecto, se trate de los casos establecidos en el artículo 22 de esta Ley. En el tratamiento de datos personales de menores de edad se deberá privilegiar el interés superior de la niña, el niño y el adolescente, en términos de las disposiciones legales aplicables. Artículo 21. El consentimiento podrá manifestarse de forma expresa o tácita. Se deberá entender que el consentimiento es expreso cuando la voluntad del titular se manifieste verbalmente, por escrito, por medios electrónicos, ópticos, signos inequívocos o por cualquier otra tecnología. El consentimiento será tácito cuando habiéndose puesto a disposición del titular el aviso de privacidad, éste no manifieste su voluntad en sentido contrario. Por regla general será válido el consentimiento tácito, salvo que la ley o las disposiciones aplicables exijan que la voluntad del titular se manifieste expresamente. Tratándose de datos personales sensibles el responsable deberá obtener el consentimiento expreso y por escrito del titular para su tratamiento, a través de su firma autógrafa, firma electrónica o cualquier

Tratamiento de datos personales sensibles Artículo 53. El responsable no podrá� llevar acabo tratamientos de datos personales que tengan como efecto la discriminación de los titulares por su origen étnico o racial, su estado de salud presente, pasado o futuro, su información genética, sus opiniones políticas, su religión o creencias filosóficas o morales y su preferencia sexual, con especial énfasis en aquellos automatizados

Artículo 9 Tratamiento de categorías especiales de datos personales 1. Quedan prohibidos el tratamiento de datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida o las orientaciones sexuales de una persona física. 2. El apartado 1 no será de aplicación cuando concurra una de las circunstancias siguientes: a) el interesado dio su

consentimiento explícito para el tratamiento de dichos datos personales con uno o más de los fines especificados, excepto cuando el Derecho de la Unión o de los Estados miembros establezca que la prohibición mencionada en el apartado 1 no puede ser levantada por el interesado;

b) el tratamiento es necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito del Derecho laboral y de la seguridad y protección social, en la medida en que así lo autorice el Derecho de la Unión de los Estados miembros o un convenio colectivo con arreglo al Derecho de los

Artículo 6. Categorías particulares de datos Los datos de carácter personal que revelen el origen racial, las opiniones políticas, las convicciones religiosas u otras convicciones, así como los datos de carácter personal relativos a la salud o a la vida sexual, no podrán tratarse automáticamente a menos que el derecho interno prevea garantías apropiadas. La misma norma regirá en el caso de datos de carácter personal referentes a condenas penales.

Artículo 6 – Categorías particulares de datos 1. El procesamiento de: datos genéticos; datos personales relacionados a delitos, procedimientos en materia penal y compurgación de la pena, y medidas de seguridad relacionadas; datos biométricos que identifiquen de manera inequívoca a una persona; datos personales que revelen el origen étnico o racial, las opiniones políticas, la afiliación a sindicatos, creencias religiosas o de otro tipo, salud o vida sexual, solo debe ser autorizado cuando existan las garantías adecuadas en la ley, de manera complementaria a las de este Convenio. 2. Estas garantías debe proteger contra los riesgos que el procesamiento de datos sensibles pueda presentar para los intereses, derechos y libertades fundamentales de la persona concernida, en particular, los riesgos de sufrir algún tipo de discriminación.

La LGPDPPSO y los LGPDPSP no usan el término “categorías especiales” sino el de datos personales sensibles. La LGPDPPSO y los LGPDPSP no definen datos biométricos ni datos genéticos. La LGPDPPSO no incluye prescripciones relativos al tratamiento de datos relativos a condenas e infracciones penales como datos sensibles.

141

mecanismo de autenticación que al efecto se establezca, salvo en los casos previstos en el artículo 22 de esta Ley.

Estados miembros que establezca garantías adecuadas del respeto de los derechos fundamentales y de los intereses del interesado;

c) el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física, en el supuesto de que el interesado no esté capacitado, física o jurídicamente, para dar su consentimiento;

d) el tratamiento es efectuado, en el ámbito de sus actividadeslegítimas y con las debidas garantías, por una fundación, una asociación o cualquier otro organismo sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, siempre que el tratamiento se refiera exclusivamente a los miembros actuales o antiguos de tales organismos o a personas que mantengan contactos regulares con ellos en relación con sus fines y siempre que los datos personales no se comuniquen fuera de ellos sin el consentimiento de los interesados;

e) el tratamiento se refiere a datos personales que el interesado ha hecho manifiestamente públicos;

f) el tratamiento es necesario para la formulación, el ejercicio o la defensa de reclamaciones o cuando los tribunales actúen en ejercicio de su función judicial;

g) el tratamiento es necesario por razones de un interés público esencial, sobre la base del Derecho de la Unión o de los Estados miembros, que debe ser proporcional al objetivo perseguido, respetar en lo esencial el derecho a la protección de datos y establecer

142

medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del interesado;

h) el tratamiento es necesario para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social, o gestión de los sistemas y servicios de asistencia sanitaria y social, sobre la base del Derecho de la Unión o de los Estados miembros o en virtud de un contrato con un profesional sanitario y sin perjuicio de las condiciones y garantías contempladas en el apartado 3;

i) el tratamiento es necesario por razones de interés público en el ámbito de la salud pública, como la protección frente a amenazas transfronterizas graves para la salud, o para garantizar elevados niveles de calidad y de seguridad de la asistencia sanitaria y de los medicamentos o productos sanitarios, sobre la base del Derecho de la Unión o de los Estados miembros que establezca medidas adecuadas y específicas para proteger los derechos y libertades del interesado, en particular el secreto profesional,

j) el tratamiento es necesario con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, de conformidad con el artículo 89, apartado 1, sobre la base del Derecho de la Unión o de los Estados miembros, que debe ser proporcional al objetivo perseguido, respetar en lo esencial el derecho a la

143

protección de datos y establecer medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del interesado.

3. Los datos personales a que se refiere el apartado 1 podrán tratarse a los fines citados en el apartado 2, letra h), cuando su tratamiento sea realizado por un profesional sujeto a la obligación de secreto profesional, o bajo su responsabilidad, de acuerdo con el Derecho de la Unión o de los Estados miembros o con las normas establecidas por los organismos nacionales competentes, o por cualquier otra persona sujeta también a la obligación de secreto de acuerdo con el Derecho de la Unión o de los Estados miembros o de las normas establecidas por los organismos nacionales competentes. 4. Los Estados miembros podrán mantener o introducir condiciones adicionales, inclusive limitaciones, con respecto al tratamiento de datos genéticos, datos biométricos o datos relativos a la salud.

145

B. Mercadotecnia directa La siguiente tabla presenta el análisis de la LGPDPPSO y los LGPDPSP a partir de la regulación existente para garantizar el derecho del titular a oponerse al tratamiento de sus datos para fines de mercadotecnia directa, según se indica en el WP 254 que precisa lo siguiente: “Cuando los datos sean tratados con fines de mercadotecnia directa, el interesado debe poder oponerse sin coste alguno a que sus datos sean tratados para dichos fines en cualquier momento.” De esta manera, se presentan las disposiciones aplicables al tratamiento de datos personales para fines de mercadotecnia directa en la LGPDPPSO y los LGPDPSP. Lo anterior, sin dejar de lado la comparación con el RGPD, el C108 y el C108+.

146


B. Ejemplos de principios de contenido adicionales que deben aplicarse a tipos específicos de tratamiento 2) Mercadotecnia directa

LGPDPPSO LGPDPSP RGPD C108 C108+ Comentarios ---

----

Derecho de oposición 1. El interesado tendrá derecho a oponerse en cualquier momento, por motivos relacionados con su situación particular, a que datos personales que le conciernan sean objeto de un tratamiento basado en lo dispuesto en el artículo 6, apartado 1, letras e) o f), incluida la elaboración de perfiles sobre la base de dichas disposiciones. El responsable del tratamiento dejará de tratar los datos personales, salvo que acredite motivos legítimos imperiosos para el tratamiento que prevalezcan sobre los intereses, los derechos y las libertades del interesado, o para la formulación, el ejercicio o la defensa de reclamaciones. 2. Cuando el tratamiento de datos personales tenga por objeto la mercadotecnia directa, el interesado tendrá derecho a oponerse en todo momento al tratamiento de los datos personales que le conciernan, incluida la elaboración de perfiles en la medida en que esté relacionada con la citada mercadotecnia. 3. Cuando el interesado se oponga al tratamiento con fines de mercadotecnia directa, los datos personales dejarán de ser tratados para dichos fines. 4. A más tardar en el momento de la primera comunicación con el interesado, el derecho indicado en los apartados 1 y 2 será mencionado explícitamente al interesado y será presentado claramente y al margen de cualquier otra información. 5. En el contexto de la utilización de servicios de la sociedad de la información, y no obstante lo dispuesto en la Directiva 2002/58/CE, el interesado podrá ejercer su derecho a oponerse por medios automatizados que apliquen especificaciones técnicas. 6. Cuando los datos personales se traten con fines de investigación científica o histórica o fines estadísticos de conformidad con el artículo 89, apartado 1, el interesado tendrá derecho, por motivos relacionados con su situación particular, a oponerse al tratamiento de datos personales que le conciernan, salvo que sea necesario para el cumplimiento de una misión realizada por razones de interés público.

--- Artículo 9 – Derechos del titular de los datos 1. Toda persona debe tener derecho a: a. no ser sujeto a una decisión que le afecte de manera significativa tomada únicamente con base en un proceso automatizado de datos, sin tomar su postura en consideración; b. obtener, mediante solicitud, a intervalos regulares y sin excesiva demora o costo, confirmación del procesamiento de sus datos personales, la comunicación en forma inteligible de los datos procesados, toda la información disponible sobre su origen, sobre el periodo de preservación, así como cualquier otra información que el responsable deberá establecer en aras de asegurar la transparencia del procesamiento, en concordancia con el Artículo 8, párrafo 1; c. obtener, bajo solicitud, conocimiento del razonamiento que subyace al tratamiento de sus datos cuando los resultados de dicho procesamiento le sean aplicados; d. objetar en cualquier momento, con base en sus circunstancias, al procesamiento de sus datos personales, a menos de que responsable demuestre contar con bases legítimas para el procesamiento tales que superen sus intereses, derechos y libertades fundamentales; e. obtener, bajo solicitud, sin costo y sin demora excesiva, la rectificación o supresión, según sea el caso, de sus datos si éstos son o han sido procesados de manera contraria a las disposiciones de este Convenio; f. tener un recurso en los términos del Artículo 12 cuando los derechos establecidos en este Convenio le han sido violados; g. a beneficiarse, sin importar su nacionalidad o residencia, de la asistencia de una Autoridad Supervisora en los términos establecidos en el Artículo 15, para el ejercicio de los derechos reconocidos en este Convenio. 2. El párrafo 1.a no aplicará si la decisión es autorizada por una ley a la que el Responsable está sujeto y que también establece medidas apropiadas para garantizar los derechos, libertades e intereses legítimos de las personas concernida.

Este derecho no está previsto de forma específica en la normatividad mexicana en materia de protección de datos personales.

147

C. Decisiones automatizadas y elaboración de perfiles La siguiente tabla presenta el análisis de la LGPDPPSO y los LGPDPSP para determinar la existencia de disposiciones que regulen decisiones basadas en tratamientos automatizados de datos personales, incluyendo la elaboración de perfiles, según se indica en el WP 254, que precisa lo siguiente: “Las decisiones basadas únicamente en el tratamiento automatizado (decisiones individuales automatizadas), incluida la elaboración de perfiles, que producen efectos legales o que afectan considerablemente al interesado, solo se pueden adoptar en determinadas condiciones establecidas en el marco jurídico del tercer país. En el marco europeo, estas condiciones incluyen, por ejemplo, la necesidad de obtener el consentimiento explícito del interesado o la necesidad de dicha decisión para la celebración de un contrato. Si la decisión no cumple las condiciones previstas por el marco jurídico del tercer país, el interesado tendrá derecho a no estar sujeto a ella. En cualquier caso, la legislación del tercer país debe ofrecer las garantías necesarias, incluido el derecho a ser informado sobre las razones específicas que sustentan la decisión y la lógica aplicada, a corregir información inexacta o incompleta, y a impugnar la decisión cuando esta haya sido adoptada sobre unos hechos incorrectos.” De esta manera, se presentan las disposiciones aplicables a la toma de decisiones basadas en tratamientos automatizados de datos personales, incluyendo la elaboración de perfiles en la LGPDPPSO y los LGPDPSP. Lo anterior, sin dejar de lado la comparación con el RGPD, el C108 y el C108+.

148


B. Ejemplos de principios de contenido adicionales que deben aplicarse a tipos específicos de tratamiento 3) Decisiones automatizadas y elaboración de perfiles

LGPDPPSO LGPDPSP RGPD C108 C108+ Comentarios Artículo 47. El titular podrá oponerse al tratamiento de sus datos personales o exigir que se cese en el mismo, cuando: I. Aun siendo lícito el tratamiento, el mismo debe cesar para evitar que su persistencia cause un daño o perjuicio al titular, y II. Sus datos personales sean objeto de un tratamiento automatizado, el cual le produzca efectos jurídicos no deseados o afecte de manera significativa sus intereses, derechos o libertades, y estén destinados a evaluar, sin intervención humana, determinados aspectos personales del mismo o analizar o predecir, en particular, su rendimiento profesional, situación económica, estado de salud, preferencias sexuales, fiabilidad o comportamiento.

---- Decisiones individuales automatizadas, incluida la elaboración de perfiles 1. Todo interesado tendrá derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos en él o le afecte significativamente de modo similar. 2. El apartado 1 no se aplicará si la decisión: a)es necesaria para la celebración o la ejecución de un contrato

entre el interesado y un responsable del tratamiento; b)está autorizada por el Derecho de la Unión o de los Estados

miembros que se aplique al responsable del tratamiento y que establezca asimismo medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado, o

c) se basa en el consentimiento explícito del interesado. 3. En los casos a que se refiere el apartado 2, letras a) y c), el responsable del tratamiento adoptará las medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado, como mínimo el derecho a obtener intervención humana por parte del responsable, a expresar su punto de vista y a impugnar la decisión. 4. Las decisiones a que se refiere el apartado 2 no se basarán en las categorías especiales de datos personales contempladas en el artículo 9, apartado 1, salvo que se aplique el artículo 9, apartado 2, letra a) o g), y se hayan tomado medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado.

---- ---- Puede identificarse una equivalencia legal con el derecho de oposición previsto en la fracción II del artículo 47 de la LGPDPPSO con las previsiones del RGPD.

149

3. Mecanismos relativos al procedimiento y la ejecución

A. Autoridades de control independientes La siguiente tabla presenta el análisis de la LGPDPPSO y demás normatividad aplicable para identificar las disposiciones que regulan la independencia de la autoridad de control en México, según se indica en el WP 254 que precisa lo siguiente:

“Deben existir una o más autoridades de control independientes, encargadas de supervisar, garantizar y hacer cumplir las disposiciones de protección de datos y privacidad en el tercer país. La autoridad de control deberá actuar con completa independencia e imparcialidad al desempeñar sus obligaciones y ejercer sus poderes y, al hacerlo, no solicitará ni aceptará instrucciones. En dicho contexto, la autoridad de control dispondrá de todos los poderes y misiones necesarios y disponibles para garantizar el cumplimiento de los derechos de protección de datos y fomentar la sensibilización. Asimismo, se debe tener en cuenta el personal y presupuesto de la autoridad de control. Esta también podrá llevar a cabo investigaciones por iniciativa propia.”

De esta manera, se presentan las disposiciones aplicables a la autoridad de control en México partiendo de la CPEUM, la LGPDPPSO y demás normatividad aplicable. Lo anterior, sin dejar de lado la comparación con el RGPD, el C108 y el C108+.

150


C. Medios relativos al procedimiento y la ejecución 1. Autoridades de control competentes independientes

CPEUM LGPDPPSO EO-INAI RGPD C108 C108+ Comentarios Artículo 6o. La manifestación de las ideas no será objeto de ninguna inquisición judicial o administrativa, sino en el caso de que ataque a la moral, la vida privada o los derechos de terceros, provoque algún delito, o perturbe el orden público; el derecho de réplica será ejercido en los términos dispuestos por la ley. El derecho a la información será garantizado por el Estado. Toda persona tiene derecho al libre acceso a información plural y oportuna, así como a buscar, recibir y difundir información e ideas de toda índole por cualquier medio de expresión. El Estado garantizará el derecho de acceso a las tecnologías de la información y comunicación, así como a los servicios de radiodifusión y telecomunicaciones, incluido el de banda ancha e internet. Para tales efectos, el Estado establecerá condiciones de competencia efectiva en la prestación de dichos servicios. Para efectos de lo dispuesto en el presente artículo se observará lo siguiente: A. Para el ejercicio del derecho de acceso a la

Artículo 89. Además de las facultades que le son conferidas en la Ley General de Transparencia y Acceso a la Información Pública, la Ley Federal de Transparencia y Acceso a la Información Pública y demás normatividad que le resulte aplicable, el Instituto tendrá las siguientes atribuciones: I. Garantizar el ejercicio del derecho a la protección de datos personales en posesión de sujetos obligados; II. Interpretar la presente Ley en el ámbito administrativo; III. Conocer y resolver los recursos de revisión que interpongan los titulares, en términos de lo dispuesto en la presente Ley y demás disposiciones que resulten aplicables en la materia; IV. Conocer y resolver, de oficio o a petición fundada por los organismos garantes, los recursos de revisión que por su interés y trascendencia así lo ameriten, en términos de lo dispuesto en la presente Ley y demás disposiciones que resulten aplicables en la materia; V.Conocer y resolver los recursos de inconformidad que interpongan los titulares, en contra de las resoluciones emitidas por los organismos

Artículo 2. El Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales es un organismo autónomo, especializado, imparcial, colegiado, con personalidad jurídica y patrimonio propio, con plena autonomía técnica, de gestión, capacidad para decidir sobre el ejercicio de su presupuesto y determinar su organización interna, responsable de garantizar el cumplimiento de los derechos de acceso a la información pública y de protección de datos personales, en los términos establecidos en la Constitución Política de los Estados Unidos Mexicanos y las leyes respectivas, con domicilio legal en la Ciudad de México. CAPÍTULO OCTAVO De la Secretaría de Protección de Datos Personales Artículo 25. La Secretaría de Protección de Datos Personales tendrá las siguientes funciones: I. Auxiliar al Comisionado Presidente en los asuntos que en general les competan conforme a sus funciones; II. Coordinar y supervisar la elaboración, difusión e implementación de políticas, modelos y estrategias, en materia de

CAPÍTULO VI Autoridades de control independientes Sección 1 Independencia Artículo 51 Autoridad de control 1. Cada Estado miembro establecerá que sea responsabilidad de una o varias autoridades públicas independientes (en adelante «autoridad de control») supervisar la aplicación del presente Reglamento, con el fin de proteger los derechos y las libertades fundamentales de las personas físicas en lo que respecta al tratamiento y de facilitar la libre circulación de datos personales en la Unión. 2. Cada autoridad de control contribuirá a la aplicación coherente del presente Reglamento en toda la Unión. A tal fin, las autoridades de control cooperarán entre sí y con la Comisión con arreglo a lo dispuesto en el capítulo VII. 3. Cuando haya varias autoridades de control en un Estado miembro, este designará la autoridad de control que representará a dichas autoridades en el Comité, y establecerá el mecanismo que garantice el cumplimiento por las

Capitulo IV – Ayuda mutua�Artículo 13. Cooperación entre las Partes 1. Las Partes se obligan a concederse mutuamente asistencia para el cumplimiento del presente Convenio. 2. A tal fin, a. cada Parte designará a una o más autoridades cuya denominación y dirección comunicará al Secretario general del Consejo de Europa; b. cada Parte que haya designado a varias autoridades indicará en la comunicación a que se refiere el apartado anterior la competencia de cada una de dichas autoridades. 3. Una autoridad designada por una Parte, a petición de una autoridad designada por otra Parte: a. Facilitará informaciones acerca de su derecho y su práctica administrativa en materia de protección de datos; b. tomará toda clase de medidas apropiadas, con arreglo a su derecho interno y solamente a los efectos de la protección de la vida privada, para facilitar informaciones fácticas relativas a un

Capítulo IV – Autoridades de Supervisión Artículo 15 – Autoridades supervisoras 1. Cada Parte debe establecer una o más autoridades responsables del cumplimiento de las disposiciones de este Convenio. 2. Para esta finalidad, dichas autoridades: a. deben contar con poderes de investigación e intervención; b. debe llevar a cabo las funciones relacionadas a las transferencias de datos establecidas en el Artículo 14, de manera particular, la aprobación de garantías estandarizadas; c. debe tener poderes para emitir decisiones respecto de las violaciones de las disposiciones de Convenio y podrá, en particular, imponer sanciones administrativas; d. debe tener el poder de entablar procedimientos legales o presentar ante las autoridades judiciales competentes las violaciones a las disposiciones de ese Convenio; e. debe promover: i. el conocimiento del público de sus funciones y facultades, así como de sus actividades; ii. el conocimiento público

La composición, funciones y atribuciones del INAI como autoridad garante federal en materia de protección de datos permiten garantizar la efectiva tutela del derecho a la protección de datos personales. Al nivel local los organismos garantes locales cumplen con las funciones de protección de datos personales como autoridades independientes.

151

información, la Federación y las entidades federativas, en el ámbito de sus respectivas competencias, se regirán por los siguientes principios y bases: …. VIII. La Federación contará con un organismo autónomo, especializado, imparcial, colegiado, con personalidad jurídica y patrimonio propio, con plena autonomía técnica, de gestión, capacidad para decidir sobre el ejercicio de su presupuesto y determinar su organización interna, responsable de garantizar el cumplimiento del derecho de acceso a la información pública y a la protección de datos personales en posesión de los sujetos obligados en los términos que establezca la ley. El organismo autónomo previsto en esta fracción se regirá por la ley en materia de transparencia y acceso a la información pública y protección de datos personales en posesión de sujetos obligados, en los términos que establezca la ley general que emita el Congreso de la Unión para establecer las bases, principios generales y procedimientos del ejercicio de este derecho. En su funcionamiento se regirá por los principios de certeza, legalidad, independencia, imparcialidad, eficacia, objetividad,

garantes, de conformidad con lo dispuesto en la presente Ley y demás disposiciones que resulten aplicables en la materia; VI. Conocer, sustanciar y resolver los procedimientos de verificación; VII. Establecer y ejecutar las medidas de apremio previstas en términos de lo dispuesto por la presente Ley y demás disposiciones que resulten aplicables en la materia; VIII. Denunciar ante las autoridades competentes las presuntas infracciones a la presente Ley y, en su caso, aportar las pruebas con las que cuente; IX. Coordinarse con las autoridades competentes para que las solicitudes para el ejercicio de los derechos ARCO y los recursos de revisión que se presenten en lengua indígena, sean atendidos en la misma lengua; X. Garantizar, en el ámbito de su respectiva competencia, condiciones de accesibilidad para que los titulares que pertenecen a grupos vulnerables puedan ejercer, en igualdad de circunstancias, su derecho a la protección de datos personales; XI. Elaborar y publicar estudios e investigaciones para difundir y ampliar el conocimiento sobre la materia de la presente Ley; XII. Proporcionar apoyo técnico a los responsables para el cumplimiento de las

protección de datos personales, en el marco de la normativa aplicable; así como de las actividades, planes, programas y acciones que desarrollen las Direcciones Generales a su cargo; III. Coordinar y supervisar la elaboración de opiniones técnicas para atender las consultas que formulen tanto los sujetos obligados como los particulares en materia de protección de datos personales; IV. Proponer al Pleno la interpretación de la Ley General, la Ley de Protección de Datos Personales y de la Ley Federal, en materia de protección de datos personales; V. Proponer al Pleno, en conjunto con la Secretaría competente, las políticas, estrategias y criterios para impulsar el derecho a la protección de datos personales entre los sujetos obligados del sector público y sujetos regulados del sector privado, así como entre los titulares de los datos personales, y coadyuvar en las acciones de capacitación, promoción, difusión, educación cívica y cultura que tengan esta finalidad; así como colaborar con las demás áreas del Instituto para la implementación de las herramientas tecnológicas que correspondan, en el ámbito de su competencia; VI. Proporcionar a los Comisionados el apoyo técnico necesario durante la

demás autoridades de las normas relativas al mecanismo de coherencia a que se refiere el artículo 63. 4. Cada Estado miembro notificará a la Comisión las disposiciones legales que adopte de conformidad con el presente capítulo a más tardar el 25 de mayo de 2018 y, sin dilación, cualquier modificación posterior que afecte a dichas disposiciones. Artículo 52 Independencia 1. Cada autoridad de control actuará con total independencia en el desempeño de sus funciones y en el ejercicio de sus poderes de conformidad con el presente Reglamento. 2. El miembro o los miembros de cada autoridad de control serán ajenos, en el desempeño de sus funciones y en el ejercicio de sus poderes de conformidad con el presente Reglamento, a toda influencia externa, ya sea directa o indirecta, y no solicitarán ni admitirán ninguna instrucción. 3. El miembro o los miembros de cada autoridad de control se abstendrán de cualquier acción que sea incompatible con sus funciones y no participarán, mientras dure su mandato, en ninguna actividad profesional que sea incompatible,

tratamiento automatizado determinado efectuado en su territorio con excepción, sin embargo, de los datos de carácter personal que sean objeto de dicho tratamiento.

de los derechos en materia de datos personales, así como su ejercicio; iii. el conocimiento de los Responsables y de los procesadores de datos de sus responsabilidades bajo este Convenio; deberá darse atención específica a la protección de datos personales de niños y otros individuos vulnerables. 3. Las Autoridades Supervisoras competentes deberán ser consultadas en cualquier propuesta de medida legislativa o administrativa que se establezca para el procesamiento de datos personales. 4. Cada Autoridad Supervisora competente debe tratar las solicitudes y quejas presentadas por las personas concernidas relacionadas con sus derechos a la protección de datos personales y debe mantenerlas informadas de su progreso. 5. Las Autoridades Supervisoras deben actuar con completa independencia e imparcialidad en el desempeño de sus deberes y el ejercicio de sus poderes; al hacerlo, no deben buscar ni aceptar instrucciones. 6. Cada Parte debe garantizar que las Autoridades Supervisoras son establecidas con los recursos necesarios para que el desempeño de sus funciones y el ejercicio de sus funciones sea efectivo.

152

profesionalismo, transparencia y máxima publicidad. El organismo garante tiene competencia para conocer de los asuntos relacionados con el acceso a la información pública y la protección de datos personales de cualquier autoridad, entidad, órgano u organismo que forme parte de alguno de los Poderes Legislativo, Ejecutivo y Judicial, órganos autónomos, partidos políticos, fideicomisos y fondos públicos, así como de cualquier persona física, moral o sindicatos que reciba y ejerza recursos públicos o realice actos de autoridad en el ámbito federal; con excepción de aquellos asuntos jurisdiccionales que correspondan a la Suprema Corte de Justicia de la Nación, en cuyo caso resolverá un comité integrado por tres ministros. También conocerá de los recursos que interpongan los particulares respecto de las resoluciones de los organismos autónomos especializados de las entidades federativas que determinen la reserva, confidencialidad, inexistencia o negativa de la información, en los términos que establezca la ley. Párrafo reformado DOF 29-01-2016 El organismo garante federal, de oficio o a petición fundada del organismo garante equivalente de las entidades

obligaciones establecidas en la presente Ley; XIII. Divulgar y emitir recomendaciones, estándares y mejores prácticas en las materias reguladas por la presente Ley; XIV. Vigilar y verificar el cumplimiento de las disposiciones contenidas en la presente Ley; XV. Administrar el registro de esquemas de mejores prácticas a que se refiere la presente Ley y emitir sus reglas de operación; XVI. Emitir, en su caso, las recomendaciones no vinculantes correspondientes a la Evaluación de impacto en la protección de datos personales que le sean presentadas; XVII. Emitir disposiciones generales para el desarrollo del procedimiento de verificación; XVIII. Realizar las evaluaciones correspondientes a los esquemas de mejores prácticas que les sean notificados, a fin de resolver sobre la procedencia de su reconocimiento o validación e inscripción en el registro de esquemas de mejores prácticas, así como promover la adopción de los mismos; XIX. Emitir, en el ámbito de su competencia, las disposiciones administrativas de carácter general para el debido cumplimiento de los principios, deberes y obligaciones que establece la presente Ley, así como para

sustanciación de los procedimientos previstos en la Ley Federal, la Ley de Protección de Datos Personales y demás normatividad aplicable en materia de protección de datos personales; VII. Coordinar y determinar la realización de estudios e investigaciones en materia de protección y seguridad de datos personales, que propicien la correcta aplicación de la normativa en la materia, incluida la información y elementos estadísticos que reflejen el estado de las funciones del Instituto, en el ámbito de su competencia; VIII. Colaborar con la Secretaría Ejecutiva en la supervisión de las estrategias de mediano y largo plazos del Instituto en el ámbito internacional, respecto a los planes y programas en materia de protección de datos personales; IX. Coordinar y supervisar la elaboración y actualización de los instrumentos jurídicos en materia de protección de datos personales; X. Determinar la elaboración de estudios jurídicos, opiniones de proyectos de leyes, reglamentos y demás disposiciones jurídicas en materia de protección de datos personales; XI. Coordinar la orientación y asesoría al público de conformidad con la normatividad aplicable en

remunerada o no. 4. Cada Estado miembro garantizará que cada autoridad de control disponga en todo momento de los recursos humanos, técnicos y financieros, así como de los locales y las infraestructuras necesarios para el cumplimiento efectivo de sus funciones y el ejercicio de sus poderes, incluidos aquellos que haya de ejercer en el marco de la asistencia mutua, la cooperación y la participación en el Comité. 5. Cada Estado miembro garantizará que cada autoridad de control elija y disponga de su propio personal, que estará sujeto a la autoridad exclusiva del miembro o miembros de la autoridad de control interesada. 6. Cada Estado miembro garantizará que cada autoridad de control esté sujeta a un control financiero que no afecte a su independencia y que disponga de un presupuesto anual, público e independiente, que podrá formar parte del presupuesto general del Estado o de otro ámbito nacional. Artículo 53

7. Cada Autoridad Supervisora debe preparar y publicar un reporte periódico de sus actividades. 8. Los Miembros y el personal de las Autoridades Supervisoras deberán estar sujetos a las obligaciones de confidencialidad respecto de la información confidencial a la que tienen acceso, o han tenido acceso, en el desempeño de sus funciones y el ejercicio de sus poderes. 9. Las decisiones de las Autoridades Supervisoras podrán ser sujetas a la revisión judicial. 10. Las Autoridades Supervisoras no deberán ser competentes respecto del procesamiento llevado a cabo por organismos con facultades jurisdiccionales.

153

federativas, podrá conocer de los recursos de revisión que por su interés y trascendencia así lo ameriten. Párrafo reformado DOF 29-01-2016 La ley establecerá aquella información que se considere reservada o confidencial. Las resoluciones del organismo garante son vinculatorias, definitivas e inatacables para los sujetos obligados. El Consejero Jurídico del Gobierno podrá interponer recurso de revisión ante la Suprema Corte de Justicia de la Nación en los términos que establezca la ley, sólo en el caso que dichas resoluciones puedan poner en peligro la seguridad nacional conforme a la ley de la materia. El organismo garante se integra por siete comisionados. Para su nombramiento, la Cámara de Senadores, previa realización de una amplia consulta a la sociedad, a propuesta de los grupos parlamentarios, con el voto de las dos terceras partes de los miembros presentes, nombrará al comisionado que deba cubrir la vacante, siguiendo el proceso establecido en la ley. El nombramiento podrá ser objetado por el Presidente de la República en un plazo de diez días hábiles. Si el Presidente de la República no objetara el nombramiento

el ejercicio de los derechos de los titulares; XX. Celebrar convenios con los responsables para desarrollar programas que tengan por objeto homologar tratamientos de datos personales en sectores específicos, elevar la protección de los datos personales y realizar cualquier mejora a las prácticas en la materia; XXI. Definir y desarrollar el sistema de certificación en materia de protección de datos personales, de conformidad con lo que se establezca en los parámetros a que se refiere la presente Ley; XXII. Presidir el Sistema Nacional a que se refiere el artículo 10 de la presente Ley; XXIII. Celebrar convenios con los organismos garantes que coadyuven al cumplimiento de los objetivos previstos en la presente Ley y demás disposiciones que resulten aplicables en la materia; XXIV. Llevar a cabo acciones y actividades que promuevan el conocimiento del derecho a la protección de datos personales, así como de sus prerrogativas; XXV. Diseñar y aplicar indicadores y criterios para evaluar el desempeño de los responsables respecto al cumplimiento de la presente Ley y demás disposiciones que resulten aplicables en la materia;

materia de datos personales; XII. Asesorar en la elaboración y ejecución de planes y programas de los sujetos obligados del sector público, en materia de protección de datos personales; XIII. Promover, coordinar y supervisar la elaboración de evaluaciones de impacto a la protección de datos personales; XIV. Coordinar el diseño, operación, vigilancia y mejora del sistema de autorregulación en materia de protección de datos personales; así como promoverlo y definir incentivos para la autorregulación; XV. Dirigir el Registro de Esquemas de Autorregulación Vinculante, determinar procedente la difusión de información en el mismo, y establecer las características y reglas de uso de distintivos oficiales que denoten el reconocimiento o validación de los esquemas de autorregulación vinculante en materia de protección de datos personales; XVI. Conocer, sustanciar, resolver y realizar todos los trámites y procedimientos previstos en los Parámetros de Autorregulación en materia de Protección de Datos Personales, las Reglas de Operación del Registro de Autorregulación Vinculante y demás normativa en materia de autorregulación que otorgue atribuciones al Instituto;

154

dentro de dicho plazo, ocupará el cargo de comisionado la persona nombrada por el Senado de la República. En caso de que el Presidente de la República objetara el nombramiento, la Cámara de Senadores nombrará una nueva propuesta, en los términos del párrafo anterior, pero con una votación de las tres quintas partes de los miembros presentes. Si este segundo nombramiento fuera objetado, la Cámara de Senadores, en los términos del párrafo anterior, con la votación de las tres quintas partes de los miembros presentes, designará al comisionado que ocupará la vacante. Los comisionados durarán en su encargo siete años y deberán cumplir con los requisitos previstos en las fracciones I, II, IV, V y VI del artículo 95 de esta Constitución, no podrán tener otro empleo, cargo o comisión, con excepción de los no remunerados en instituciones docentes, científicas o de beneficencia, sólo podrán ser removidos de su cargo en los términos del Título Cuarto de esta Constitución y serán sujetos de juicio político. En la conformación del organismo garante se procurará la equidad de género.

XXVI. Promover la capacitación y actualización en materia de protección de datos personales entre los responsables; XXVII. Emitir lineamientos generales para el debido tratamiento de los datos personales; XXVIII. Emitir lineamientos para homologar el ejercicio de los derechos ARCO; XXIX. Emitir criterios generales de interpretación para garantizar el derecho a la protección de datos personales; XXX. Cooperar con otras autoridades de supervisión y organismos nacionales e internacionales, a efecto de coadyuvar en materia de protección de datos personales, de conformidad con las disposiciones previstas en la presente Ley y demás normativa aplicable; XXXI. Promover e impulsar el ejercicio y tutela del derecho a la protección de datos personales a través de la implementación y administración de la Plataforma Nacional, a que se refiere la Ley General de Transparencia y Acceso a la Información Pública y demás normativa aplicable; XXXII. Interponer, cuando así lo aprueben la mayoría de sus Comisionados, acciones de inconstitucionalidad en contra de leyes de carácter federal o estatal, así como de los Tratados Internacionales celebrados por el Ejecutivo Federal y aprobados por el Senado de la República, que

XVII. Coordinar en la vigilancia del sistema de certificación en materia de protección de datos personales y ejercer las atribuciones que otorga al Instituto el artículo 59 de los Parámetros de Autorregulación en materia de Protección de Datos Personales; o bien, instruir a la Dirección General de Prevención y Autorregulación sobre el ejercicio de dichas funciones; XVIII. Conocer, tramitar y resolver sobre las solicitudes de autorización para la implementación de medidas compensatorias, así como aquéllas relativas al uso de hipervínculos o hiperenlaces en una página de Internet del Instituto para difundir avisos de privacidad a través de medidas compensatorias; XIX. Coordinar las acciones para el desarrollo de criterios, estándares y mejores prácticas en materia de protección y seguridad de los datos personales, así como de recomendaciones, modelos y herramientas que faciliten el cumplimiento de las obligaciones previstas en la normatividad que regule la protección de datos personales, entre ellas las medidas de seguridad para la protección de los datos personales, para el sector público y privado; XX. Acordar conjuntamente con el Director General de Investigación y Verificación, el inicio del procedimiento de verificación

155

El comisionado presidente será designado por los propios comisionados, mediante voto secreto, por un periodo de tres años, con posibilidad de ser reelecto por un periodo igual; estará obligado a rendir un informe anual ante el Senado, en la fecha y en los términos que disponga la ley. El organismo garante tendrá un Consejo Consultivo, integrado por diez consejeros, que serán elegidos por el voto de las dos terceras partes de los miembros presentes de la Cámara de Senadores. La ley determinará los procedimientos a seguir para la presentación de las propuestas por la propia Cámara. Anualmente serán sustituidos los dos consejeros de mayor antigüedad en el cargo, salvo que fuesen propuestos y ratificados para un segundo periodo. La ley establecerá las medidas de apremio que podrá imponer el organismo garante para asegurar el cumplimiento de sus decisiones. Toda autoridad y servidor público estará obligado a coadyuvar con el organismo garante y sus integrantes para el buen desempeño de sus funciones. El organismo garante coordinará sus acciones con la Auditoría Superior de la

vulneren el derecho a la protección de datos personales; XXXIII. Promover, cuando así lo aprueben la mayoría de sus Comisionados, las controversias constitucionales en términos del artículo 105, fracción I, inciso l), de la Constitución Política de los Estados Unidos Mexicanos; XXXIV. Cooperar con otras autoridades nacionales o internacionales para combatir conductas relacionadas con el indebido tratamiento de datos personales; XXXV. Diseñar, vigilar y, en su caso, operar el sistema de buenas prácticas en materia de protección de datos personales, así como el sistema de certificación en la materia, a través de normativa que el Instituto emita para tales fines; XXXVI. Celebrar convenios con los organismos garantes y responsables que coadyuven al cumplimiento de los objetivos previstos en la presente Ley y demás disposiciones que resulten aplicables en la materia, y XXXVII. Las demás que le confiera la presente Ley y demás ordenamientos aplicables. Capítulo II De los Organismos Garantes Artículo 90. En la integración, procedimiento de designación y funcionamiento de los organismos garantes se estará a lo dispuesto por la Ley General de

de oficio o a petición de parte, así como la ampliación del periodo de resolución definitiva del procedimiento de verificación hasta por un plazo de ciento ochenta días a que se refiere el artículo 132 del Reglamento de la Ley de Protección de Datos Personales, sin perjuicio de su ejercicio directo por el Pleno del Instituto; XXI. Ejecutar las instrucciones que dicte el Pleno del Instituto respecto del procedimiento de verificación previsto en la Ley de Protección de Datos Personales; emitir las órdenes de verificación y suscribir los oficios de comisión para la sustanciación del procedimiento de verificación conforme al ordenamiento legal citado y a las demás disposiciones aplicables; así como expedir las credenciales de verificador a los servidores públicos que ejerzan tales funciones; XXII. Coordinar y supervisar los procedimientos de protección de derechos, verificación e imposición de sanciones, en términos de lo previsto por la normatividad aplicable; XXIII. Acordar conjuntamente con el Director General de Protección de Derechos y Sanción, la ampliación del plazo de resolución definitiva de los procedimientos de protección de derechos y de imposición de sanciones en el sector privado, en términos de la Ley de Protección de Datos

156

Federación, con la entidad especializada en materia de archivos y con el organismo encargado de regular la captación, procesamiento y publicación de la información estadística y geográfica, así como con los organismos garantes de las entidades federativas, con el objeto de fortalecer la rendición de cuentas del Estado Mexicano.

Transparencia y Acceso a la Información Pública y demás normativa aplicable. Artículo 91. Para los efectos de la presente Ley y sin perjuicio de otras atribuciones que les sean conferidas en la normatividad que les resulte aplicable, los organismos garantes tendrán las siguientes atribuciones: I. Conocer, sustanciar y resolver, en el ámbito de sus respectivas competencias, de los recursos de revisión interpuestos por los titulares, en términos de lo dispuesto en la presente Ley y demás disposiciones que resulten aplicables en la materia; II. Presentar petición fundada al Instituto, para que conozca de los recursos de revisión que por su interés y trascendencia así lo ameriten, en términos de lo previsto en la presente Ley y demás disposiciones que resulten aplicables en la materia; III. Imponer las medidas de apremio para asegurar el cumplimiento de sus resoluciones; …

Personales sin perjuicio de su ejercicio directo por el Pleno de este Instituto; XXIV. Resolver conjuntamente con el Director General de Protección de Derechos y Sanción, sobre el desechamiento y sobreseimiento de las solicitudes de protección de derechos del sector privado, en términos de lo dispuesto por la Ley de Protección de Datos Personales, sin perjuicio de su ejercicio directo por el Pleno de este Instituto; XXV. Coordinar la elaboración de los anteproyectos de criterios en materia de protección de datos personales, y XXVI. Las demás que le confieran las disposiciones legales y administrativas aplicables, así como las que le encomiende el Pleno y el Comisionado Presidente. Para el ejercicio de sus funciones, la Secretaría de Protección de Datos Personales se auxiliará de las Direcciones Generales de Investigación y Verificación; de Normatividad y Consulta; de Prevención y Autorregulación; y de Protección de Derechos y Sanción; así como de una Dirección de Coordinación y Seguimiento.

157

B. El sistema de protección de datos debe garantizar un buen nivel de cumplimiento

La siguiente tabla presenta el análisis de la LGPDPPSO y demás normatividad aplicable para identificar las disposiciones que regulan la independencia de la autoridad de control en México, según se indica en el WP 254 que precisa lo siguiente:

El sistema del tercer país debe garantizar un elevado grado de responsabilidad proactiva y sensibilización entre los responsables del tratamiento y aquellos que llevan a cabo el tratamiento de datos personales en su nombre respecto a sus obligaciones, tareas y responsabilidades, y entre los interesados respecto a sus derechos y los medios para ejercerlos. La existencia de sanciones efectivas y disuasorias puede desempeñar un papel importante a la hora de asegurar el respeto de las normas, como, por supuesto, lo pueden hacer los sistemas de verificación directa por parte de autoridades, auditores y responsables independientes de la protección de datos.

De esta manera, se presentan las disposiciones aplicables a los siguientes supuestos concretos:

1. Mecanismos de sensibilización 2. Procedimientos 3. Sanciones

Lo anterior partiendo de la LGPDPPSO y demás normatividad aplicable sin dejar de lado la comparación con el RGPD, el C108 y el C108+.

158

Capítulo 3 del WP 254: Principios generales en materia de protección de datos para garantizar que el nivel de protección en un tercer país, territorio o uno o varios sectores específicos de ese tercer país, u

organización internacional es sustancialmente equivalente al garantizado por la legislación de la UE C. Medios relativos al procedimiento y la ejecución

2.A. Mecanismos de sensibilización LGPDPPSO LGPDPSP RGPD C108 C108+ Comentarios

Capítulo II Del Sistema Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales Artículo 10. El Sistema Nacional se conformará de acuerdo con lo establecido en la Ley General de Transparencia y Acceso a la Información Pública. En materia de protección de datos personales, dicho Sistema tiene como función coordinar y evaluar las acciones relativas a la política pública transversal de protección de datos personales, así como establecer e implementar criterios y lineamientos en la materia, de conformidad con lo señalado en la presente Ley, la Ley General de Transparencia y Acceso a la Información Pública y demás normatividad aplicable. Artículo 11. El Sistema Nacional contribuirá a mantener la plena vigencia del derecho a la protección de datos personales a nivel nacional, en los tres órdenes de gobierno. Este esfuerzo conjunto e integral, aportará a la implementación de políticas públicas con estricto apego a la normatividad aplicable en la materia; el ejercicio pleno y respeto del derecho a la protección de datos personales y la difusión de una cultura de este derecho y su accesibilidad. Artículo 12. Además de los objetivos previstos en la Ley General de Transparencia y Acceso a la Información Pública, el Sistema Nacional tendrá como objetivo diseñar, ejecutar y evaluar un Programa Nacional de Protección de Datos Personales que defina la política pública y establezca, como mínimo, objetivos,

Políticas y programas de protección de datos personales Articulo 47. Con relación al articulo 30, fracciones I y 11 de la Ley General, el responsable deberá� elaborar e implementar políticas y programas de protección de datos personales que tengan por objeto establecer los elementos y actividades de dirección, operación y control de todos sus procesos que, en el ejercicio de sus funciones y atribuciones, impliquen un tratamiento de datos personales a efecto de proteger éstos de manera sistemática y continua. Las políticas y programas de protección de datos personales a que se refiere el párrafo anterior del presente artículo, deberán ser aprobados, coordinados y supervisados por su Comité� de Transparencia. El responsable deberá� prever y autorizar recursos, de conformidad con la normatividad que resulte aplicable, para la implementación y cumplimiento de éstos. Capacitación Articulo 48. Con relación al articulo 30, fracción 111 de la Ley General, el responsable deberá� establecer anualmente un programa de capacitación y actualización en materia de protección de datos personales dirigido a su personal y a encargados, el cual deberá� ser aprobado, coordinado y supervisado por su Comité� de Transparencia. Sistemas de supervisión y vigilancia Artículo 49. Con relación al articulo 30,

Artículo 57 Funciones 1. Sin perjuicio de otras funciones en virtud del presente Reglamento, incumbirá a cada autoridad de control, en su territorio: a) controlar la aplicación del presente

Reglamento y hacerlo aplicar; b) promover la sensibilización del

público y su comprensión de losriesgos, normas, garantías yderechos en relación con eltratamiento. Las actividadesdirigidas específicamente a losniños deberán ser objeto deespecial atención;

c) asesorar, con arreglo al Derecho

de los Estados miembros, alParlamento nacional, al Gobierno ya otras instituciones y organismossobre las medidas legislativas yadministrativas relativas a laprotección de los derechos ylibertades de las personas físicascon respecto al tratamiento;

d) promover la sensibilización de los

responsables y encargados deltratamiento acerca de lasobligaciones que les incumben envirtud del presente Reglamento;

e) previa solicitud, facilitar

información a cualquier interesadoen relación con el ejercicio de susderechos en virtud del presenteReglamento y, en su caso,cooperar a tal fin con lasautoridades de control de otros

Capitulo IV – Ayuda mutua�Artículo 13. Cooperación entre las Partes 1. Las Partes se obligan a concederse mutuamente asistencia para el cumplimiento del presente Convenio. 2. A tal fin, a. cada Parte designará a una o más autoridades cuya denominación y dirección comunicará al Secretario general del Consejo de Europa; b. cada Parte que haya designado a varias autoridades indicará en la comunicación a que se refiere el apartado anterior la competencia de cada una de dichas autoridades. 3. Una autoridad designada por una Parte, a petición de una autoridad designada por otra Parte: a. Facilitará informaciones acerca de su derecho y su práctica administrativa en materia de protección de datos; b. tomará toda clase de medidas apropiadas, con arreglo a su derecho interno y solamente a los efectos de la protección de la vida privada, para facilitar informaciones fácticas relativas a un tratamiento automatizado determinado efectuado en su territorio con excepción, sin

Capítulo IV – Autoridades de Supervisión Artículo 15 – Autoridades supervisoras 1. Cada Parte debe establecer una o más autoridades responsables del cumplimiento de las disposiciones de este Convenio. 2. Para esta finalidad, dichas autoridades: a. deben contar con poderes de investigación e intervención; b. debe llevar a cabo las funciones relacionadas a las transferencias de datos establecidas en el Artículo 14, de manera particular, la aprobación de garantías estandarizadas; c. debe tener poderes para emitir decisiones respecto de las violaciones de las disposiciones de Convenio y podrá, en particular, imponer sanciones administrativas; d. debe tener el poder de entablar procedimientos legales o presentar ante las autoridades judiciales competentes las violaciones a las disposiciones de ese Convenio; e. debe promover: i. el conocimiento del público de sus funciones y facultades, así como de sus actividades; ii. el conocimiento público de

Las facultades del INAI y las acciones que este realiza permite acreditar la existencia de mecanismos de sensibilización adecuados.

159

estrategias, acciones y metas para: I. Promover la educación y una cultura de protección de datos personales entre la sociedad mexicana; II. Fomentar el ejercicio de los derechos de acceso, rectificación, cancelación y oposición; III. Capacitar a los sujetos obligados en materia de protección de datos personales; IV. Impulsar la implementación y mantenimiento de un sistema de gestión de seguridad a que se refiere el artículo 34 de la presente Ley, así como promover la adopción de estándares nacionales e internacionales y buenas prácticas en la materia, y V. Prever los mecanismos que permitan medir, reportar y verificar las metas establecidas. El Programa Nacional de Protección de Datos Personales, se constituirá como un instrumento rector para la integración y coordinación del Sistema Nacional, y deberá determinar y jerarquizar los objetivos y metas que éste debe cumplir, así como definir las líneas de acción generales que resulten necesarias. El Programa Nacional de Protección de Datos Personales deberá evaluarse y actualizarse al final de cada ejercicio anual y definirá el conjunto de actividades y proyectos que deberán ser ejecutados durante el siguiente ejercicio. […] Artículo 14. El Sistema Nacional, además de lo previsto en la Ley General de Transparencia y Acceso a la Información Pública y demás normativa aplicable, tendrá las siguientes funciones en materia de

fracciones IV y V de la Ley General, por regla general, el responsable deberá� revisar las políticas y programas de seguridad y el sistema de supervisión y vigilancia implementado, al menos, cada dos años, salvo que realice modificaciones sustanciales a los tratamientos de datos personales que lleve a cabo y, en consecuencia, amerite una actualización previa al plazo establecido en el presente articulo. Atención de dudas y quejas Articulo 50. Con relación al artículo 30, fracción VI de la Ley General, el procedimiento que el responsable determine para recibir y responder dudas y quejas de los titulares en materia de protección de datos deberá� ser de fácil acceso y con la mayor cobertura posible; considerando el perfil de los titulares y la forma en que se mantiene contacto o comunicación directa o cotidiana con ellos, así� como estar, en todo momento, habilitado. Protección de datos personales por diseño Articulo 51. Para el cumplimiento de lo dispuesto en el articulo 30, fracción VII de la Ley General, el responsable deberá� aplicar medidas de carácter administrativo, técnico, físico u otras de cualquier naturaleza que, desde el diseño, le permitan aplicar de forma efectiva el cumplimiento de los principios, deberes y demás obligaciones previstas en la Ley General y los presentes Lineamientos generales, en sus políticas, programas, servicios, sistemas o plataformas informáticas, aplicaciones electrónicas o cualquier otra tecnología que implique el tratamiento de datos personales. Lo anterior, considerando los avances tecnológicos, los costos de implementación, la naturaleza, el ámbito, el contexto y los fines del tratamiento de

Estados miembros; f)tratar las reclamaciones

presentadas por un interesado o por un organismo, organización o asociación de conformidad con el artículo 80, e investigar, en la medida oportuna, el motivo de la reclamación e informar al reclamante sobre el curso y el resultado de la investigación en un plazo razonable, en particular si fueran necesarias nuevas investigaciones o una coordinación más estrecha con otra autoridad de control;

g) cooperar, en particular

compartiendo información, conotras autoridades de control yprestar asistencia mutua con el finde garantizar la coherencia en laaplicación y ejecución del presenteReglamento;

h) llevar a cabo investigaciones sobre

la aplicación del presenteReglamento, en particularbasándose en información recibidade otra autoridad de control u otraautoridad pública;

i)hacer un seguimiento de cambios

que sean de interés, en la medida en que tengan incidencia en la protección de datos personales, en particular el desarrollo de las tecnologías de la información y la comunicación y las prácticas comerciales;

j)adoptar las cláusulas contractuales

tipo a que se refieren el artículo 28, apartado 8, y el artículo 46, apartado 2, letra d);

k) elaborar y mantener una lista

relativa al requisito de la

embargo, de los datos de carácter personal que sean objeto de dicho tratamiento.

los derechos en materia de datos personales, así como su ejercicio; iii. el conocimiento de los Responsables y de los procesadores de datos de sus responsabilidades bajo este Convenio; deberá darse atención específica a la protección de datos personales de niños y otros individuos vulnerables. 3. Las Autoridades Supervisoras competentes deberán ser consultadas en cualquier propuesta de medida legislativa o administrativa que se establezca para el procesamiento de datos personales. 4. Cada Autoridad Supervisora competente debe tratar las solicitudes y quejas presentadas por las personas concernidas relacionadas con sus derechos a la protección de datos personales y debe mantenerlas informadas de su progreso. 5. Las Autoridades Supervisoras deben actuar con completa independencia e imparcialidad en el desempeño de sus deberes y el ejercicio de sus poderes; al hacerlo, no deben buscar ni aceptar instrucciones. 6. Cada Parte debe garantizar que las Autoridades Supervisoras son establecidas con los recursos necesarios para que el desempeño de sus funciones y el ejercicio de sus funciones sea efectivo. 7. Cada Autoridad Supervisora debe preparar y

160

protección de datos personales: I. Promover el ejercicio del derecho a la protección de datos personales en toda la República Mexicana; II. Fomentar entre la sociedad una cultura de protección de los datos personales; […] XIII. Promover e implementar acciones para garantizar condiciones de accesibilidad para que los grupos vulnerables puedan ejercer, en igualdad de circunstancias, su derecho a la protección de datos personales; XIV. Proponer códigos de buenas prácticas o modelos en materia de protección de datos personales; XV. Promover la comunicación y coordinación con autoridades nacionales, federales, de los Estados, municipales, autoridades y organismos internacionales, con la finalidad de impulsar y fomentar los objetivos de la presente Ley; XVI. Proponer acciones para vincular el Sistema Nacional con otros sistemas y programas nacionales, regionales o locales; XVII. Promover e impulsar el ejercicio y tutela del derecho a la protección de datos personales, a través de la implementación, organización y operación de la Plataforma Nacional, a que se refiere la Ley General de Transparencia y Acceso a la Información Pública y demás normativa aplicable; XVIII. Aprobar el Programa Nacional de Protección de Datos Personales al que se refiere el artículo 12 de esta Ley; Artículo 89. Además de las facultades que le son conferidas en la Ley General de Transparencia y Acceso a la Información

los datos personales, los riesgos de diversa probabilidad y gravedad que entraña éste para el derecho a la protección de datos personales de los titulares, así como otros factores que considere relevantes el responsable. Emisión de recomendaciones no vinculantes Artículo 70. El Instituto podrá� publicar directrices, recomendaciones y mejores prácticas en materia de seguridad de los datos personales, de acuerdo con los estándares nacionales e internacionales actuales en la materia, con la finalidad de proveer de mecanismos y herramientas que orienten y faciliten al responsable el cumplimiento del deber de seguridad previsto en la Ley General y los presentes Lineamientos generales.

evaluación de impacto relativa a laprotección de datos, en virtud delartículo 35, apartado 4;

l)ofrecer asesoramiento sobre las

operaciones de tratamiento contempladas en el artículo 36, apartado 2;

m)alentar la elaboración de códigos

de conducta con arreglo al artículo 40, apartado 1, y dictaminar y aprobar los códigos de conducta que den suficientes garantías con arreglo al artículo 40, apartado 5;

n) fomentar la creación de

mecanismos de certificación de laprotección de datos y de sellos ymarcas de protección de datos conarreglo al artículo 42, apartado 1, yaprobar los criterios decertificación de conformidad con elartículo 42, apartado 5;

o) llevar a cabo, si procede, una

revisión periódica de lascertificaciones expedidas en virtuddel artículo 42, apartado 7;

p) elaborar y publicar los criterios

para la acreditación de organismosde supervisión de los códigos deconducta con arreglo al artículo 41y de organismos de certificacióncon arreglo al artículo 43;

q) efectuar la acreditación de

organismos de supervisión de loscódigos de conducta con arreglo alartículo 41 y de organismos decertificación con arreglo alartículo 43;

r)autorizar las cláusulas

contractuales y disposiciones a que se refiere el artículo 46, apartado 3;

publicar un reporte periódico de sus actividades. 8. Los Miembros y el personal de las Autoridades Supervisoras deberán estar sujetos a las obligaciones de confidencialidad respecto de la información confidencial a la que tienen acceso, o han tenido acceso, en el desempeño de sus funciones y el ejercicio de sus poderes. 9. Las decisiones de las Autoridades Supervisoras podrán ser sujetas a la revisión judicial. 10. Las Autoridades Supervisoras no deberán ser competentes respecto del procesamiento llevado a cabo por organismos con facultades jurisdiccionales.

161

Pública, la Ley Federal de Transparencia y Acceso a la Información Pública y demás normatividad que le resulte aplicable, el Instituto tendrá las siguientes atribuciones: I. Garantizar el ejercicio del derecho a la protección de datos personales en posesión de sujetos obligados; II. Interpretar la presente Ley en el ámbito administrativo; III. Conocer y resolver los recursos de revisión que interpongan los titulares, en términos de lo dispuesto en la presente Ley y demás disposiciones que resulten aplicables en la materia; IV. Conocer y resolver, de oficio o a petición fundada por los organismos garantes, los recursos de revisión que por su interés y trascendencia así lo ameriten, en términos de lo dispuesto en la presente Ley y demás disposiciones que resulten aplicables en la materia; V. Conocer y resolver los recursos de inconformidad que interpongan los titulares, en contra de las resoluciones emitidas por los organismos garantes, de conformidad con lo dispuesto en la presente Ley y demás disposiciones que resulten aplicables en la materia; VI. Conocer, sustanciar y resolver los procedimientos de verificación; VII. Establecer y ejecutar las medidas de apremio previstas en términos de lo dispuesto por la presente Ley y demás disposiciones que resulten aplicables en la materia; VIII. Denunciar ante las autoridades competentes las presuntas infracciones a la presente Ley y, en su caso, aportar las pruebas con las que cuente; IX. Coordinarse con las autoridades competentes para que las solicitudes para el ejercicio de los derechos ARCO y los recursos de revisión que se presenten en lengua indígena, sean atendidos en la misma lengua; X. Garantizar, en el ámbito de su respectiva competencia, condiciones de

s) aprobar normas corporativas

vinculantes de conformidad con lodispuesto en el artículo 47;

t)contribuir a las actividades del

Comité; u) llevar registros internos de las

infracciones del presenteReglamento y de las medidasadoptadas de conformidad con elartículo 58, apartado 2, y

v) desempeñar cualquier otra función

relacionada con la protección delos datos personales.

2. Cada autoridad de control facilitará la presentación de las reclamaciones contempladas en el apartado 1, letra f), mediante medidas como un formulario de presentación de reclamaciones que pueda cumplimentarse también por medios electrónicos, sin excluir otros medios de comunicación. 3. El desempeño de las funciones de cada autoridad de control será gratuito para el interesado y, en su caso, para el delegado de protección de datos. 4. Cuando las solicitudes sean manifiestamente infundadas o excesivas, especialmente debido a su carácter repetitivo, la autoridad de control podrá establecer una tasa razonable basada en los costes administrativos o negarse a actuar respecto de la solicitud. La carga de demostrar el carácter manifiestamente infundado o excesivo de la solicitud recaerá en la autoridad de control.

162

accesibilidad para que los titulares que pertenecen a grupos vulnerables puedan ejercer, en igualdad de circunstancias, su derecho a la protección de datos personales; XI. Elaborar y publicar estudios e investigaciones para difundir y ampliar el conocimiento sobre la materia de la presente Ley; XII. Proporcionar apoyo técnico a los responsables para el cumplimiento de las obligaciones establecidas en la presente Ley; XIII. Divulgar y emitir recomendaciones, estándares y mejores prácticas en las materias reguladas por la presente Ley; XIV. Vigilar y verificar el cumplimiento de las disposiciones contenidas en la presente Ley; XV. Administrar el registro de esquemas de mejores prácticas a que se refiere la presente Ley y emitir sus reglas de operación; XVI. Emitir, en su caso, las recomendaciones no vinculantes correspondientes a la Evaluación de impacto en la protección de datos personales que le sean presentadas; XVII. Emitir disposiciones generales para el desarrollo del procedimiento de verificación; XVIII. Realizar las evaluaciones correspondientes a los esquemas de mejores prácticas que les sean notificados, a fin de resolver sobre la procedencia de su reconocimiento o validación e inscripción en el registro de esquemas de mejores prácticas, así como promover la adopción de los mismos; XIX. Emitir, en el ámbito de su competencia, las disposiciones administrativas de carácter general para el debido cumplimiento de los principios, deberes y obligaciones que establece la presente Ley, así como para el ejercicio de los derechos de los titulares; XX. Celebrar convenios con los responsables para desarrollar programas que tengan por objeto homologar

163

tratamientos de datos personales en sectores específicos, elevar la protección de los datos personales y realizar cualquier mejora a las prácticas en la materia; XXI. Definir y desarrollar el sistema de certificación en materia de protección de datos personales, de conformidad con lo que se establezca en los parámetros a que se refiere la presente Ley; XXII. Presidir el Sistema Nacional a que se refiere el artículo 10 de la presente Ley; XXIII. Celebrar convenios con los organismos garantes que coadyuven al cumplimiento de los objetivos previstos en la presente Ley y demás disposiciones que resulten aplicables en la materia; XXIV. Llevar a cabo acciones y actividades que promuevan el conocimiento del derecho a la protección de datos personales, así como de sus prerrogativas; XXV. Diseñar y aplicar indicadores y criterios para evaluar el desempeño de los responsables respecto al cumplimiento de la presente Ley y demás disposiciones que resulten aplicables en la materia; XXVI. Promover la capacitación y actualización en materia de protección de datos personales entre los responsables; XXVII. Emitir lineamientos generales para el debido tratamiento de los datos personales; XXVIII. Emitir lineamientos para homologar el ejercicio de los derechos ARCO; XXIX. Emitir criterios generales de interpretación para garantizar el derecho a la protección de datos personales; XXX. Cooperar con otras autoridades de supervisión y organismos nacionales e internacionales, a efecto de coadyuvar en materia de protección de datos personales, de conformidad con las disposiciones previstas en la presente Ley y demás normativa aplicable; XXXI. Promover e impulsar el ejercicio y tutela del derecho a la protección de datos personales a través de la implementación y administración de la Plataforma Nacional, a que se refiere la Ley General de

164

Transparencia y Acceso a la Información Pública y demás normativa aplicable; XXXII. Interponer, cuando así lo aprueben la mayoría de sus Comisionados, acciones de inconstitucionalidad en contra de leyes de carácter federal o estatal, así como de los Tratados Internacionales celebrados por el Ejecutivo Federal y aprobados por el Senado de la República, que vulneren el derecho a la protección de datos personales; XXXIII. Promover, cuando así lo aprueben la mayoría de sus Comisionados, las controversias constitucionales en términos del artículo 105, fracción I, inciso l), de la Constitución Política de los Estados Unidos Mexicanos; XXXIV. Cooperar con otras autoridades nacionales o internacionales para combatir conductas relacionadas con el indebido tratamiento de datos personales; XXXV. Diseñar, vigilar y, en su caso, operar el sistema de buenas prácticas en materia de protección de datos personales, así como el sistema de certificación en la materia, a través de normativa que el Instituto emita para tales fines; XXXVI. Celebrar convenios con los organismos garantes y responsables que coadyuven al cumplimiento de los objetivos previstos en la presente Ley y demás disposiciones que resulten aplicables en la materia, y XXXVII. Las demás que le confiera la presente Ley y demás ordenamientos aplicables. Capítulo III De la Coordinación y Promoción del Derecho a la Protección de Datos Personales Artículo 92. Los responsables deberán colaborar con el Instituto y los organismos garantes, según corresponda, para capacitar y actualizar de forma permanente a todos sus servidores públicos en materia de

165

protección de datos personales, a través de la impartición de cursos, seminarios, talleres y cualquier otra forma de enseñanza y entrenamiento que se considere pertinente. Artículo 93. El Instituto y los Organismos garantes, en el ámbito de sus respectivas competencias, deberán: I. Promover que en los programas y planes de estudio, libros y materiales que se utilicen en las instituciones educativas de todos los niveles y modalidades del Estado, se incluyan contenidos sobre el derecho a la protección de datos personales, así como una cultura sobre el ejercicio y respeto de éste; II. Impulsar en conjunto con instituciones de educación superior, la integración de centros de investigación, difusión y docencia sobre el derecho a la protección de datos personales que promuevan el conocimiento sobre este tema y coadyuven con el Instituto y los Organismos garantes en sus tareas sustantivas, y III. Fomentar la creación de espacios de participación social y ciudadana que estimulen el intercambio de ideas entre la sociedad, los órganos de representación ciudadana y los responsables.

166


C. Medios relativos al procedimiento y la ejecución 2.B. Procedimientos

LGPDPPSO LGPDPSP Otras disposiciones RGPD C108 C108+ Comentarios TÍTULO DÉCIMO FACULTAD DE VERIFICACIÓN DEL INSTITUTO Y LOS ORGANISMOS GARANTES Capítulo Único Del Procedimiento de Verificación Artículo 146. El Instituto y los Organismos garantes, en el ámbito de sus respectivas competencias, tendrán la atribución de vigilar y verificar el cumplimiento de las disposiciones contenidas en la presente Ley y demás ordenamientos que se deriven de ésta. En el ejercicio de las funciones de vigilancia y verificación, el personal del Instituto o, en su caso, de los Organismos garantes estarán obligados a guardar confidencialidad sobre la información a la que tengan acceso en virtud de la verificación correspondiente. El responsable no podrá negar el acceso a la documentación solicitada con motivo de una verificación, o a sus bases de datos personales, ni podrá invocar la reserva o la confidencialidad de la información. Artículo 147. La verificación podrá iniciarse: I. De oficio cuando el Instituto o los Organismos

Título Octavo Facultad de Verificación del Instituto Capítulo I De las disposiciones generales de las investigaciones previas y del procedimiento de verificación Facultad de vigilancia y verificación Artículo 181. De conformidad con lo previsto en el artículo 146 de la Ley General, el Instituto, a través de la unidad administrativa competente conforme a su Estatuto Orgánico vigente, tendrá� la atribución de vigilar y verificar el cumplimiento de las disposiciones contenidas en dicho ordenamiento y los presentes Artículo 182. En el ejercicio de las funciones de investigación y verificación, el personal del Instituto estará� dotado de fe publica para constar la veracidad de los hechos con relación a las actuaciones a que se refiere el presente Título. Principios rectores Artículo 183. Las investigaciones previas y el procedimiento de verificación deberán desarrollarse bajo los principios de legalidad,

-Artículos 41 Bis del Estatuto Orgánico del Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales publicado el 17 de enero de 2017.

Artículo 57 Funciones 1. Sin perjuicio de otras funciones en virtud del presente Reglamento, incumbirá a cada autoridad de control, en su territorio: a) controlar la aplicación del

presente Reglamento y hacerlo aplicar;

b) promover la

sensibilización del público y su comprensión de los riesgos, normas, garantías y derechos en relación con el tratamiento. Las actividades dirigidas específicamente a los niños deberán ser objeto de especial atención;

c) asesorar, con arreglo al

Derecho de los Estados miembros, al Parlamento nacional, al Gobierno y a otras instituciones y organismos sobre las medidas legislativas y administrativas relativas a la protección de los derechos y libertades de las personas físicas con respecto al tratamiento;

d) promover la

sensibilización de los responsables y encargados del tratamiento acerca de las obligaciones que les

Capitulo IV – Ayuda mutua�Artículo 13. Cooperación entre las Partes 1. Las Partes se obligan a concederse mutuamente asistencia para el cumplimiento del presente Convenio. 2. A tal fin, a. cada Parte designará a una o más autoridades cuya denominación y dirección comunicará al Secretario general del Consejo de Europa; b. cada Parte que haya designado a varias autoridades indicará en la comunicación a que se refiere el apartado anterior la competencia de cada una de dichas autoridades. 3. Una autoridad designada por una Parte, a petición de una autoridad designada por otra Parte: a. Facilitará informaciones acerca de su derecho y su práctica administrativa en materia de protección de datos; b. tomará toda clase de medidas apropiadas, con arreglo a su derecho interno y solamente a los efectos de la protección de la vida privada, para facilitar informaciones fácticas relativas a un tratamiento automatizado determinado efectuado en su territorio

Capítulo IV – Autoridades de Supervisión Artículo 15 – Autoridades supervisoras 1. Cada Parte debe establecer una o más autoridades responsables del cumplimiento de las disposiciones de este Convenio. 2. Para esta finalidad, dichas autoridades: a. deben contar con poderes de investigación e intervención; b. debe llevar a cabo las funciones relacionadas a las transferencias de datos establecidas en el Artículo 14, de manera particular, la aprobación de garantías estandarizadas; c. debe tener poderes para emitir decisiones respecto de las violaciones de las disposiciones de Convenio y podrá, en particular, imponer sanciones administrativas; d. debe tener el poder de entablar procedimientos legales o presentar ante las autoridades judiciales competentes las violaciones a las disposiciones de ese Convenio; e. debe promover: i. el conocimiento del público de sus funciones y facultades, así como de sus actividades; ii. el conocimiento público

Las disposiciones de la LGPDPPSO y los LGPDPSP sobre el procedimiento de verificación permiten acreditar que los titulares disponen de mecanismos adecuados para la protección de sus derechos.

167

garantes cuenten con indicios que hagan presumir fundada y motivada la existencia de violaciones a las leyes correspondientes, o II. Por denuncia del titular cuando considere que ha sido afectado por actos del responsable que puedan ser contrarios a lo dispuesto por la presente Ley y demás normativa aplicable, o en su caso, por cualquier persona cuando tenga conocimiento de presuntos incumplimientos a las obligaciones previstas en la presente Ley y demás disposiciones que resulten aplicables en la materia. El derecho a presentar una denuncia precluye en el término de un año contado a partir del día siguiente en que se realicen los hechos u omisiones materia de la misma. Cuando los hechos u omisiones sean de tracto sucesivo, el término empezará a contar a partir del día hábil siguiente al último hecho realizado. La verificación no procederá en los supuestos de procedencia del recurso de revisión o inconformidad previstos en la presente Ley. La verificación no se admitirá en los supuestos de procedencia del recurso de revisión o inconformidad, previstos en la presente Ley. Previo a la verificación respectiva, el Instituto o los Organismos garantes

certeza jurídica, independencia, imparcialidad, eficacia, objetividad, profesionalismo y transparencia que rigen la actuación del Instituto, cumpliendo con los requisitos de fundamentación y motivación. Deber de confidencialidad Artículo 184. De conformidad con lo previsto en el artículo 146, segundo párrafo de la Ley General, en el ejercicio de las funciones de investigación, vigilancia y verificación, el personal del Instituto estará� obligado a guardar confidencialidad sobre la información a la que tengan acceso en virtud de la investigación previa y, en su caso, el procedimiento de verificación correspondiente. Constancia de las actuaciones Artículo 186. Las actuaciones que lleve a cabo el personal del Instituto durante la sustanciación de las investigaciones previas o, en su caso, del procedimiento de verificación, deberán hacerse constar en el expediente en que se tramita. Notificaciones Artículo 186. Durante la realización de investigaciones previas, así� como el desarrollo del procedimiento de

incumben en virtud del presente Reglamento;


información a cualquier interesado en relación con el ejercicio de sus derechos en virtud del presente Reglamento y, en su caso, cooperar a tal fin con las autoridades de control de otros Estados miembros;

f) tratar las reclamaciones



compartiendo información, con otras autoridades de control y prestar asistencia mutua con el fin de garantizar la coherencia en la aplicación y ejecución del presente Reglamento;

h) llevar a cabo

investigaciones sobre la aplicación del presente Reglamento, en particular basándose en

con excepción, sin embargo, de los datos de carácter personal que sean objeto de dicho tratamiento.

de los derechos en materia de datos personales, así como su ejercicio; iii. el conocimiento de los Responsables y de los procesadores de datos de sus responsabilidades bajo este Convenio; deberá darse atención específica a la protección de datos personales de niños y otros individuos vulnerables. 3. Las Autoridades Supervisoras competentes deberán ser consultadas en cualquier propuesta de medida legislativa o administrativa que se establezca para el procesamiento de datos personales. 4. Cada Autoridad Supervisora competente debe tratar las solicitudes y quejas presentadas por las personas concernidas relacionadas con sus derechos a la protección de datos personales y debe mantenerlas informadas de su progreso. 5. Las Autoridades Supervisoras deben actuar con completa independencia e imparcialidad en el desempeño de sus deberes y el ejercicio de sus poderes; al hacerlo, no deben buscar ni aceptar instrucciones. 6. Cada Parte debe garantizar que las Autoridades Supervisoras son establecidas con los recursos necesarios para que el desempeño de sus funciones y el ejercicio de sus funciones sea efectivo.

168

podrán desarrollar investigaciones previas, con el fin de contar con elementos para fundar y motivar el acuerdo de inicio respectivo. Artículo 148. Para la presentación de una denuncia no podrán solicitarse mayores requisitos que los que a continuación se describen: I. El nombre de la persona que denuncia, o en su caso, de su representante; II. El domicilio o medio para recibir notificaciones de la persona que denuncia; III. La relación de hechos en que se basa la denuncia y los elementos con los que cuente para probar su dicho; IV. El responsable denunciado y su domicilio, o en su caso, los datos para su identificación y/o ubicación; V. La firma del denunciante, o en su caso, de su representante. En caso de no saber firmar, bastará la huella digital. La denuncia podrá presentarse por escrito libre, o a través de los formatos, medios electrónicos o cualquier otro medio que al efecto establezca el Instituto o los Organismos garantes, según corresponda. Una vez recibida la denuncia, el Instituto y los Organismos garantes, según corresponda, deberán acusar recibo de la misma. El acuerdo

verificación, las notificaciones, citatorios, emplazamientos, requerimientos, solicitud de informes o documentos y resoluciones definitivas podrán realizarse: I. Personalmente con quien deba entenderse la diligencia en el domicilio del interesado; II. Mediante oficio entregado por mensajería o correo certificado con acuse de recibo; III. A través de medios de comunicación electrónica o cualquier otro medio, cuando así� lo hubiere aceptado expresamente el interesado y siempre que pueda comprobarse fehacientemente la recepción de las mismas; IV.Por edictos, cuando se desconozca el domicilio del interesado o en el caso de que la persona a quien deba notificarse haya desaparecido o no tenga domicilio fijo, o V. estrados, fijándose durante quince días el documento que se pretenda notificar, en un sitio abierto al público ubicado en las oficinas del Instituto. Tratándose de denuncias presentadas a través del sistema electrónico habilitado por este Instituto o cualquier otro medio que para tal fin establezca, se entenderá� que el promovente acepta que las notificaciones le sean efectuadas por dichos sistemas o mediante otros

información recibida de otra autoridad de control u otra autoridad pública;

i) hacer un seguimiento de

cambios que sean de interés, en la medida en que tengan incidencia en la protección de datos personales, en particular el desarrollo de las tecnologías de la información y la comunicación y las prácticas comerciales;

j) adoptar las cláusulas

contractuales tipo a que se refieren el artículo 28, apartado 8, y el artículo 46, apartado 2, letra d);

k) elaborar y mantener una

lista relativa al requisito de la evaluación de impacto relativa a la protección de datos, en virtud del artículo 35, apartado 4;

l) ofrecer asesoramiento

sobre las operaciones de tratamiento contempladas en el artículo 36, apartado 2;

m) alentar la elaboración de

códigos de conducta con arreglo al artículo 40, apartado 1, y dictaminar y aprobar los códigos de conducta que den suficientes garantías con arreglo al artículo 40, apartado 5;


7. Cada Autoridad Supervisora debe preparar y publicar un reporte periódico de sus actividades. 8. Los Miembros y el personal de las Autoridades Supervisoras deberán estar sujetos a las obligaciones de confidencialidad respecto de la información confidencial a la que tienen acceso, o han tenido acceso, en el desempeño de sus funciones y el ejercicio de sus poderes. 9. Las decisiones de las Autoridades Supervisoras podrán ser sujetas a la revisión judicial. 10. Las Autoridades Supervisoras no deberán ser competentes respecto del procesamiento llevado a cabo por organismos con facultades jurisdiccionales.

169

correspondiente se notificará al denunciante. Artículo 149. La verificación iniciará mediante una orden escrita que funde y motive la procedencia de la actuación por parte del Instituto o de los Organismos garantes, la cual tiene por objeto requerir al responsable la documentación e información necesaria vinculada con la presunta violación y/o realizar visitas a las oficinas o instalaciones del responsable, o en su caso, en el lugar donde estén ubicadas las bases de datos personales respectivas. Para la verificación en instancias de seguridad nacional y seguridad pública, se requerirá en la resolución, la aprobación del Pleno del Instituto, por mayoría calificada de sus Comisionados, o de los integrantes de los Organismos garantes de las Entidades Federativas, según corresponda; así como de una fundamentación y motivación reforzada de la causa del procedimiento, debiéndose asegurar la información sólo para uso exclusivo de la autoridad y para los fines establecidos en el artículo 150. El procedimiento de verificación deberá tener una duración máxima de cincuenta días. El Instituto o los organismos garantes podrán ordenar medidas cautelares, si del

medios electrónicos generados por éstos, salvo que señale expresamente un medio distinto para tales efectos. Notificaciones personales Artículo 187. De conformidad con lo previsto en la fracción I del artículo anterior de los presentes Lineamientos generales, las notificaciones personales se llevarán a cabo de la siguiente manera: I.Se harán en el domicilio del interesado o en el último domicilio del que se tenga constancia de la persona a quien se deba notificar. En todo caso, el servidor público del Instituto deberá� cerciorarse del domicilio y deberá� entregar el documento original del acto que se notifique, así como señalar la fecha y hora en que la notificación se efectúa, recabando el nombre y firma de la persona con quien se entienda la diligencia. Si éste se niega, se hará� constar en el acta de notificación sin que ello afecte su validez; II.Las notificaciones personales se entenderán con la persona que deba ser notificada o su representante; a falta de ambos se dejará citatorio con cualquier persona que se encuentre en el domicilio para que el interesado espere a una hora fija del día siguiente. Si el domicilio se encontrare cerrado o la

mecanismos de certificación de la protección de datos y de sellos y marcas de protección de datos con arreglo al artículo 42, apartado 1, y aprobar los criterios de certificación de conformidad con el artículo 42, apartado 5;

o) llevar a cabo, si procede,

una revisión periódica de las certificaciones expedidas en virtud del artículo 42, apartado 7;

p) elaborar y publicar los

criterios para la acreditación de organismos de supervisión de los códigos de conducta con arreglo al artículo 41 y de organismos de certificación con arreglo al artículo 43;

q) efectuar la acreditación

de organismos de supervisión de los códigos de conducta con arreglo al artículo 41 y de organismos de certificación con arreglo al artículo 43;

r) autorizar las cláusulas


s) aprobar normas

corporativas vinculantes de conformidad con lo dispuesto en el artículo 47;

170

desahogo de la verificación advierten un daño inminente o irreparable en materia de protección de datos personales, siempre y cuando no impidan el cumplimiento de las funciones ni el aseguramiento de bases de datos de los sujetos obligados. Estas medidas sólo podrán tener una finalidad correctiva y será temporal hasta entonces los sujetos obligados lleven a cabo las recomendaciones hechas por el Instituto o los Organismos garantes según corresponda. Artículo 150. El procedimiento de verificación concluirá con la resolución que emita el Instituto o los Organismos garantes, en la cual, se establecerán las medidas que deberá adoptar el responsable en el plazo que la misma determine. Artículo 151. Los responsables podrán voluntariamente someterse a la realización de auditorías por parte del Instituto o los Organismos garantes, según corresponda, que tengan por objeto verificar la adaptación, adecuación y eficacia de los controles, medidas y mecanismos implementados para el cumplimiento de las disposiciones previstas en la presente Ley y demás normativa que resulte aplicable. El informe de auditoría

persona con que se entiende la diligencia se niegue a recibir o firmar el citatorio, se dejará con el vecino más próximo guardando la confidencialidad de los datos personales; III.Si la persona a quien hubiera que notificarse no atendiere el citatorio, la notificación se entenderá� con cualquier persona que se encuentre en el domicilio en que se realice la diligencia y, de negarse a recibirla o en caso de encontrarse cerrado el domicilio, se realizará por instructivo que se fijará en un lugar visible del domicilio; IV.De las diligencias en que conste el citatorio y la notificación, el servidor público tomará razón por escrito; En el caso de los responsables, las notificaciones se deberán realizar, en todos los casos, por oficio, en cuyo caso no será� necesario tomar razón por escrito ni levantar acta de notificación; sin embargo, deberá� recabarse el acuse de recibo correspondiente en el que se plasme el nombre del responsable, la fecha, hora y firma o rúbrica de con quien se entendió� la diligencia; V.Las notificaciones surtirán sus efectos el día en que hubieren sido realizadas. Los plazos empezarán a correr a partir del día siguiente a aquél en que haya surtido sus efectos la

t) contribuir a las actividades

del Comité; u) llevar registros internos

de las infracciones del presente Reglamento y de las medidas adoptadas de conformidad con el artículo 58, apartado 2, y

v) desempeñar cualquier

otra función relacionada con la protección de los datos personales.

2. Cada autoridad de control facilitará la presentación de las reclamaciones contempladas en el apartado 1, letra f), mediante medidas como un formulario de presentación de reclamaciones que pueda cumplimentarse también por medios electrónicos, sin excluir otros medios de comunicación. 3. El desempeño de las funciones de cada autoridad de control será gratuito para el interesado y, en su caso, para el delegado de protección de datos. 4. Cuando las solicitudes sean manifiestamente infundadas o excesivas, especialmente debido a su carácter repetitivo, la autoridad de control podrá establecer una tasa razonable basada en los costes administrativos o negarse a actuar respecto de la solicitud. La carga de demostrar el carácter

171

deberá dictaminar sobre la adecuación de las medidas y controles implementados por el responsable, identificar sus deficiencias, así como proponer acciones correctivas complementarias, o bien, recomendaciones que en su caso correspondan.

notificación; VI.Se tendrá� como fecha de notificación por mensajería o correo certificado la que conste en el acuse de recibo, y VII.Toda notificación deberá� efectuarse dentro del plazo máximo de diez días, contados a partir de la fecha de emisión de la resolución o acto que se notifique. Improcedencia del procedimiento de verificación y de las investigaciones previas Articulo 188. De conformidad con lo previsto en el articulo 147 de la Ley General, las investigaciones previas y el procedimiento de verificación no procederán en aquellos supuestos de procedencia del recurso de revisión o del recurso de inconformidad, según corresponda. Capítulo II De las investigaciones previas Inicio de las investigaciones previas Artículo 189. De acuerdo con el artículo 147, último párrafo de la Ley General, previo a dar inicio al procedimiento de verificación, el Instituto, a través de la unidad administrativa competente conforme a su Estatuto Orgánico vigente, podrá� desarrollar investigaciones previas con el fin de contar con elementos suficientes a efecto de dilucidar sobre los

manifiestamente infundado o excesivo de la solicitud recaerá en la autoridad de control. CAPÍTULO VIII Recursos, responsabilidad y sanciones Artículo 77 Derecho a presentar una reclamación ante una autoridad de control 1. Sin perjuicio de cualquier otro recurso administrativo o acción judicial, todo interesado tendrá derecho a presentar una reclamación ante una autoridad de control, en particular en el Estado miembro en el que tenga su residencia habitual, lugar de trabajo o lugar de la supuesta infracción, si considera que el tratamiento de datos personales que le conciernen infringe el presente Reglamento. 2. La autoridad de control ante la que se haya presentado la reclamación informará al reclamante sobre el curso y el resultado de la reclamación, inclusive sobre la posibilidad de acceder a la tutela judicial en virtud del artículo 78. Artículo 78 Derecho a la tutela judicial efectiva contra una autoridad de control 1. Sin perjuicio de cualquier otro recurso administrativo o extrajudicial, toda persona física o jurídica tendrá derecho a la tutela judicial efectiva contra una decisión jurídicamente vinculante de una autoridad de control que

172

hechos que presuntamente podrían constituir un incumplimiento a la Ley General y los presentes Lineamientos generales. Lo anterior, para fundar y motivar el acuerdo de inicio a que hace referencia el articulo 201 de los presentes Lineamientos generales. Las investigaciones previas podrán iniciar: I. De oficio: cuando el Instituto cuente con indicios que hagan presumir, de manera fundada y motivada, la existencia de violaciones a la Ley General y los presentes Lineamientos generales, o II. A petición de parte: cuando el titular o cualquier persona presente una denuncia, en la que se considere que ha sido afectado por actos del responsable que puedan ser contrarios a lo dispuesto por la Ley General y los presentes Lineamientos generales, o bien, al tener conocimiento de presuntos incumplimientos a las obligaciones previstas en dichos ordenamientos. Presentación de la denuncia Articulo 190. De conformidad con lo previsto en la fracción 11 del articulo anterior, la presentación de las denuncias ante el Instituto podrá� realizarse a través de los siguientes medios: I. Por escrito libre: a través de documento presentado

le concierna. 2. Sin perjuicio de cualquier otro recurso administrativo o extrajudicial, todo interesado tendrá derecho a la tutela judicial efectiva en caso de que la autoridad de control que sea competente en virtud de los artículos 55 y 56 no dé curso a una reclamación o no informe al interesado en el plazo de tres meses sobre el curso o el resultado de la reclamación presentada en virtud del artículo 77. 3. Las acciones contra una autoridad de control deberán ejercitarse ante los tribunales del Estado miembro en que esté establecida la autoridad de control. 4. Cuando se ejerciten acciones contra una decisión de una autoridad de control que haya sido precedida de un dictamen o una decisión del Comité en el marco del mecanismo de coherencia, la autoridad de control remitirá al tribunal dicho dictamen o decisión. Artículo 79 Derecho a la tutela judicial efectiva contra un responsable o encargado del tratamiento 1. Sin perjuicio de los recursos administrativos o extrajudiciales disponibles, incluido el derecho a presentar una reclamación ante una autoridad de control en virtud del artículo 77, todo interesado tendrá derecho a la tutela

173

de manera personal o mediante correo certificado en el domicilio del Instituto, o II. Por medios electrónicos: a través de correo electrónico, o bien, mediante el sistema electrónico que para tal efecto establezca el Instituto. Horarios y días de recepción de la denuncia Articulo 191. El Instituto recibirá� las denuncias, por escrito y medios electrónicos, en días y horas hábiles. Las denuncias recibidas en horas y días inhábiles se tendrán por presentadas el día hábil siguiente al de su recepción. Contenido de la denuncia Articulo 192. La denuncia a que hace referencia el articulo 189, fracción 11 de los presentes Lineamientos generales, no deberá� contener mayores requisitos de los previstos en el articulo 148 de la Ley General. Si las denuncias se presentaron por escrito o medios electrónicos, se deberá� observar lo siguiente: I. Si la denuncia se presentó por escrito, ésta deberá� contener la firma autógrafa del denunciante, a menos que no sepa o no pueda firmar, en cuyo caso se imprimirá� su huella digital, o II. Si la denuncia se

judicial efectiva cuando considere que sus derechos en virtud del presente Reglamento han sido vulnerados como consecuencia de un tratamiento de sus datos personales. 2. Las acciones contra un responsable o encargado del tratamiento deberán ejercitarse ante los tribunales del Estado miembro en el que el responsable o encargado tenga un establecimiento. Alternativamente, tales acciones podrán ejercitarse ante los tribunales del Estado miembro en que el interesado tenga su residencia habitual, a menos que el responsable o el encargado sea una autoridad pública de un Estado miembro que actúe en ejercicio de sus poderes públicos.

174

presentó por medios electrónicos, ésta deberá� incluir el documento digitalizado que contenga la firma autógrafa, o bien, la firma electrónica avanzada del denunciante o del instrumento que lo sustituya. Asignación de número de expediente y notificación al denunciante Articulo 193. Una vez que da inicio la investigación previa ya sea de oficio, o bien, a petición de parte, se asignará un número de expediente para su identificación y, en su caso, se acusará recibo de la denuncia respectiva, debiendo notificarse al denunciante a través del medio señalado para tal efecto, en términos de lo previsto por el artículo 148, último párrafo de la Ley General. Estudio y análisis de la denuncia Artículo 194. Derivado del estudio y análisis de la descripción de los hechos manifestados en la denuncia, así� como a partir de la información presentada por el denunciante, el lnstiluto, a través de la unidad administrativa competente conforme a su Estatuto Orgánico vigente, podrá�: l. Reconducir la denuncia, si se ubica en alguno de los supuestos de procedencia de los recursos de revisión o de inconformidad señalados

175

en los artículos 104 Y 118 de la Ley General, en un plazo no mayor a cinco días contados a partir de que se tuvo por presentada la denuncia; II. Orientar al denunciante sobre las instancias legales a las que puede acudir en defensa de sus derechos, en caso de no resultar competente el Instituto, en un plazo no mayor a diez días contados a partir de que se tuvo por presentada la denuncia, o III. Prevenir al denunciante, en caso de que su denuncia no sea clara, o bien, no cumpla con los requisitos que señala los artículos 148 de la Ley General y 192 de los presentes Lineamientos generales, en un plazo no mayor a cinco días contados a partir de que se tuvo por presentada la denuncia. En el caso de la fracción 111 del presente artículo, si el denunciante no diera contestación a la prevención de referencia en un término no mayor a cinco días, contados a partir de que surta efectos la notificación respectiva, se desechará la denuncia. Requerimientos del Instituto Artículo 195. Cumplidos los requisitos que debe contener la denuncia, o bien, una vez iniciado de oficio la investigación previa, el Instituto, a través de la unidad administrativa competente conforme a su Estatuto Orgánico vigente,

176

podrá�: l. Expedir requerimientos de información dirigido al responsable, al encargado o a cualquier tercero, solicitando que se proporcione la información y documentación que se estime oportuna; II. Que se manifieste respecto de los hechos vertidos en la denuncia, y III. Que aporte la información y documentación que acredite su dicho, dentro de un plazo máximo de cinco días contados a partir de que surta efectos la notificación de dicho requerimiento. Contenido de las respuestas a los requerimientos Artículo 196. Conforme a lo previsto en el artículo anterior de los presentes Lineamientos generales, las respuestas a los requerimientos formulados por el Instituto, a través de la unidad administrativa competente conforme a su Estatuto Orgánico vigente, deberán contener, por lo menos, lo siguiente: I. El nombre completo y cargo del servidor público que promueve, así� como la denominación de la unidad administrativa y del responsable al que se encuentra adscrito. En caso de actuar en representación de alguna persona moral, con el carácter de encargado o de tercero, deberá� adjuntarse el documento, en original o

177

copia certificada, que acredite su identidad y personalidad; II. El medio para recibir notificaciones, y III. Las documentales que acrediten su dicho, así como la precisión de cualquier información que considere necesaria para la atención del requerimiento formulado. Requerimientos adicionales Articulo 197. Cuando se cuente con información suficiente proporcionada por las partes conforme a lo dispuesto en la Ley General y los presentes Lineamientos generales, el Instituto, a través de la unidad administrativa competente conforme a su Estatuto Orgánico vigente, deberá� realizar el análisis y estudio de cada asunto. Si existiera información que no sea del todo clara o precisa, el Instituto, a través de la unidad administrativa competente conforme a su Estatuto Orgánico vigente, podrá� requerir nuevamente al denunciante, al responsable denunciado, al encargado o a cualquier tercero que proporcione la información solicitada, dentro de un plazo máximo de cinco días contados a partir de que surta efectos la notificación del requerimiento respectivo. En caso de considerarse necesario, el Instituto, a través de la unidad

178

administrativa competente conforme a su Estatuto Orgánico vigente, podrá� dar vista al denunciante para que manifieste lo que a su derecho convenga y, en su caso, aporte información y documentación adicional, respecto de la respuesta proporcionada por el responsable denunciado, el encargado o cualquier tercero, dentro de un plazo máximo de cinco días contados a partir de que surta efectos la notificación correspondiente. Conclusión de las investigaciones previas Articulo 198. Una vez concluida la investigación previa, el Instituto, a través de la unidad administrativa competente conforme a su Estatuto Orgánico vigente, deberá� emitir un acuerdo de: I. Determinación: cuando, de manera fundada y motivada, no cuente con elementos suficientes para acreditar actos u omisiones que presuntamente constituyan un incumplimiento a lo establecido por la Ley General y los presentes Lineamientos generales, o II. Inicio del procedimiento de verificación: cuando, de manera fundada y motivada, se presuma que el responsable incurrió� en acciones u omisiones que constituyen un probable incumplimiento a la Ley General y los presentes

179

Lineamientos generales. Duración de las investigaciones previas Artículo 199. Las investigaciones previas tendrán una duración máxima de cincuenta días, contados a partir de la fecha en que se hubiere emitido el acuse de recibo de la denuncia correspondiente, o bien, a partir de la fecha en que se hubiere dictado el acuerdo de inicio respectivo. Las investigaciones previas se tendrán por concluidas en la fecha en que se emita el acuerdo de determinación o, en su caso, el acuerdo de inicio del procedimiento de verificación respectivo a que se refieren el artículo anterior. Las constancias del expediente de investigaciones previas deberán formar parte del expediente de investigación que, en su caso, se dé inicio conforme al siguiente Capitulo del presente Titulo. Capítulo III Del procedimiento de verificación Procedencia del procedimiento de verificación Articulo 200. El procedimiento de verificación se podrá� iniciar: l. De oficio cuando el Instituto, a través de la unidad administrativa competente conforme a su Estatuto Orgánico vigente, cuente con indicios que

180

hagan presumir, de manera fundada y motivada, la existencia de violaciones a la Ley General y los presentes Lineamientos generales, o II. Derivado de una investigación previa. Acuerdo de inicio Articulo 201. El procedimiento de verificación iniciará con la emisión del acuerdo de inicio a que hace referencia el articulo 198, fracción 11 de los presentes Lineamientos generales, el cual constituye una orden escrita que funda y motiva la procedencia de la actuación por parte del Instituto, a través de la unidad administrativa competente conforme a su Estatuto Orgánico vigente, y tiene por objeto establecer las bases para requerir al responsable la documentación e información necesaria vinculada con la presunta violación y/o realizar visitas a las oficinas o instalaciones del responsable, o en su caso, en el lugar donde estén ubicadas las bases de datos personales respectivas. El acuerdo de inicio del procedimiento de verificación podrá� ser emitido por el Pleno del Instituto, o bien, por las unidades administrativas del Instituto competentes de conformidad con lo dispuesto en el Estatuto

181

Orgánico vigente al momento de emitirse el acuerdo a que se refiere el presente artículo. Procedimiento de verificación en instancias de seguridad Articulo 202. Para el caso de los procedimientos de verificación relacionados con instancias de seguridad nacional y seguridad publica, en términos de lo dispuesto en el articulo 149, segundo párrafo de la Ley General, se requerirá� en la resolución la aprobación del Pleno del Instituto por mayoría calificada de sus Comisionados, es decir, el voto a favor de por lo menos cinco de éstos; así como de una fundamentación y motivación reforzada de la causa del procedimiento, debiéndose asegurar la información sólo para uso exclusivo del Instituto y para los fines previstos en el articulo 150 de la Ley General. Notificación del acuerdo de inicio del procedimiento de verificación Articulo 203. El acuerdo de inicio del procedimiento de verificación se deberá� notificar personalmente al responsable en el domicilio que hubiere señalado para tal efecto y, en los casos en que el procedimiento hubiera iniciado por medio de una denuncia, también se deberá� notificar al denunciante en el medio

182

que, para el caso concreto, hubiera designado. Sustanciación del procedimiento de verificación Articulo 204. El procedimiento de verificación se sustanciará de la siguiente manera: l. Requerimientos de información: el Instituto deberá� emitir los oficios correspondientes dirigidos al responsable o a cualquier tercero para que, en un plazo máximo de cinco días, contados a partir del día siguiente a que surta efectos la notificación, realice lo siguiente: a) Presente las pruebas que considere pertinentes sobre el tratamiento que brinda a los datos personales, y b) Manifieste lo que a su derecho convenga respecto de los hechos materia de la verificación y el procedimiento instaurado en su contra, y/o II. Visitas de verificación: el Instituto deberá� realizar aquéllas que sean necesarias en las oficinas o instalaciones del responsable o, en su caso, en el lugar donde estén ubicadas las bases de datos personales o se realice el tratamiento de los datos personales objeto del procedimiento de verificación, teniendo una duración máxima de cinco días hábiles cada una, con la finalidad de que se allegue de la documentación

183

e información necesaria sobre el tratamiento que el responsable lleva acabo. El responsable no podrá� negar el acceso a la documentación solicitada con motivo de un procedimiento de verificación, a sus bases de datos personales o tratamientos de éstos, ni podrá� invocar la reserva o la confidencialidad de la información. Desarrollo de las visitas de verificación Artículo 205. Las visitas de verificación que lleve a cabo el personal del Instituto se deberán realizar conforme a lo siguiente: I. El personal del Instituto deberá� presentarse en las oficinas o instalaciones del responsable o, en su caso, en el lugar donde estén ubicadas las bases de datos personales respectivas o se realicen tratamientos de los datos personales objeto del procedimiento de verificación, con el oficio de comisión y la orden de verificación debidamente fundados y motivados, documentos que estarán firmados por el titular de la unidad administrativa del Instituto que resulte competente para tal efecto de conformidad con lo dispuesto en el Estatuto Orgánico vigente al momento de emitirse el acuerdo de inicio del procedimiento de verificación yen los que

184

deberá� precisar el domicilio del responsable o el lugar donde deba de practicarse la visita, así como el objeto y alcance de la misma; II. El personal del Instituto tendrá� acceso a las instalaciones del responsable y podrá� solicitar la información y documentación que estime necesaria para llevar a cabo la visita de verificación. Al iniciar la visita, el personal verificador del Instituto que desarrolle la diligencia deberá� exhibir la credencial con fotografía vigente, expedida por el Instituto, que lo acredite para desempeñar dicha función, así� como dejar un ejemplar en original de la orden de verificación y del oficio de comisión con quien se entienda la visita, y III. Las visilas de verificación concluirán con el levantamiento del acta correspondiente, en la que quedará constancia de las actuaciones practicadas durante la visita o visitas de verificación. Dicha acta se levantará en presencia de dos testigos propuestos por la persona con quien se hubiera entendido la diligencia o por quien la practique si aquélla se hubiera negado a proponerlos. Tratándose de la fracción III del presente artículo, el acta se deberá� emitir por duplicado y ser firmada por el personal del Instituto y por la persona con quien se

185

hubiere entendido la diligencia, quien podrá� formular observaciones en el acto de la visita de verificación y manifestar lo que a su derecho convenga en relación a los hechos contenidos en ella, o bien, por escrito dentro del término de los cinco días siguientes a la fecha en que se hubiera realizado la visita en cuestión. En caso de que el verificado se niegue a firmar el acta, se hará� constar expresamente dicha circunstancia en la misma. Dicha negativa no afectará la validez de las actuaciones o de la propia acta. La firma del verificado supondrá� sólo la recepción de la misma. Se entregará al verificado uno de los originales del acta de verificación, incorporándose el otro a las actuaciones. Contenido del acta de verificación Articulo 206. En el acta de verificación a que se refiere la fracción III del articulo anterior de los presentes Lineamientos generales, se hará� constar: I. La denominación del responsable; II. La hora, día, mes y año en que se inicie y concluya la visita de verificación; III. Los datos que identifiquen plenamente el domicilio, tales como calle, número, población o colonia, municipio o

186

delegación, código postal y entidad federativa en que se encuentre ubicado el lugar donde se practique la visita de verificación, así como número telefónico u otra forma de comunicación disponible con el responsable; IV. El número y fecha del oficio de comisión y la orden de verificación que la motivó; V. El nombre completo y cargo de la persona con quien se entendió� la visita de verificación, así� como copia del documento que acredite su identidad; VI. El nombre completo y domicilio de las personas que fungieron como testigos, así� como copia del documento que acredite su identidad; VII. Los datos relativos a la actuación; VIII. La declaración del verificado, si quisiera hacerla, y IX. El nombre y firma de quienes intervinieron en la visita de verificación, incluyendo los de quienes la hubieran llevado a cabo. Si se negara a firmar el verificado, su representante legal o la persona con quien se entendió� la visita de verificación, ello no afectará la validez del acta, debiendo el personal verificador asentar la razón relativa. Medidas cautelares Artículo 207. De conformidad con el articulo 149, párrafos cuarto y quinto

187

de la Ley General, el Instituto podrá� ordenar medidas cautelares si del desahogo de la verificación advierte un daño inminente o irreparable en materia de protección de datos personales, siempre y cuando no impidan el cumplimiento de las funciones ni el aseguramiento de bases de datos de los responsables. Estas medidas sólo podrán tener una finalidad correctiva y serán temporales hasta entonces los responsables lleven a cabo las recomendaciones hechas por el Instituto. Solicitud de medidas cautelares por parte del titular Artículo 208. El titular podrá� solicitar al Instituto la aplicación de medidas cautelares cuando considere que el presunto incumplimiento del responsable a las disposiciones previstas en la Ley General y los presentes Lineamientos generales, le causa un daño inminente o irreparable a su derecho a la protección de datos personales. Para tal efecto, el Instituto, a través de la unidad administrativa competente conforme a su Estatuto Orgánico vigente, deberá� considerar los elementos ofrecidos por el titular, en su caso, así� como aquéllos que tenga conocimiento durante la sustanciación del

188

procedimiento de verificación para determinar la procedencia de la solicitud del titular. Improcedencia de las medidas cautelares Artículo 209. La aplicación de medidas cautelares será� improcedente cuando: I. Tengan por efecto dejar sin materia el procedimiento de verificación; II. Eximan al responsable del cumplimiento de las obligaciones previstas en la Ley General y los presentes Lineamientos generales, o III. Impidan el cumplimiento de las atribuciones y funciones de las responsables conferidas por la normatividad que les resulte aplicable o impliquen el aseguramiento de sus bases de datos. Tipos de medidas cautelares Artículo 210. Las medidas cautelares que puede ordenar el Instituto podrán consistir en lo siguiente: I. El cese inmediato del tratamiento, de los actos o las actividades que estén ocasionando o puedan ocasionar un daño inminente o irreparable en materia de protección de datos personales; II. La realización de actos o acciones cuya omisión hayan causado o puedan causar un daño inminente o irreparable en materia de protección de datos personales;

189

III. El bloqueo de los datos personales en posesión del responsable y cuyo tratamiento esté provocando o pueda provocar un daño inminente o irreparable a sus titulares, y IV. Cualquier otra medida, de acción o de omisión que el Instituto considere pertinente dirigida a proteger el derecho a la protección de los datos personales de los titulares. Reconsideración de la aplicación de medidas cautelares Articulo 211. Si durante el procedimiento de verificación, el Instituto, a través de la unidad administrativa competente conforme a su Estatuto Orgánico vigente, advierte nuevos elementos que pudieran modificar la medida cautelar previamente impuesta, éste deberá� notificar al responsable, al menos, con veinticuatro horas de anticipación, la modificación a que haya lugar fundando y motivando su actuación. Conclusión del procedimiento de verificación Articulo 212. El procedimiento de verificación concluirá� con la resolución que emita el Instituto, en la cual se establecerán las medidas que deberá� adoptar el responsable en el plazo que

190

la misma determine. La resolución del procedimiento de verificación será� notificada personalmente, mediante oficio, al responsable y al denunciante a través del medio que hubiera proporcionado para tal efecto. Duración del procedimiento de verificación Artículo 213. El procedimiento de verificación deberá� tener una duración máxima de cincuenta días hábiles, contados a partir de la fecha en que se haya dictado el acuerdo de inicio respectivo, en términos del articulo 149, párrafo tercero, de la Ley General, el cual no podrá� ser prorrogable. Impugnación de las resoluciones del procedimiento de verificación Artículo 214. Las resoluciones dictadas por el Instituto en el procedimiento de verificación serán vinculantes, definitivas e inatacables para los responsables, los titulares podrán impugnar dichas resoluciones ante el Poder Judicial de la Federación mediante juicio de amparo. Capítulo IV Del cumplimiento de las resoluciones recaídas a los procedimientos de verificación Cumplimiento de las resoluciones de los

191

procedimientos de verificación Artículo 215. El responsable, a través del Comité� de Transparencia, dará� estricto cumplimiento a las resoluciones del Instituto recaídas a los procedimientos de verificación, de conformidad con lo previsto en el articulo 150 de la Ley General. Excepcionalmente, considerando las circunstancias especiales del caso, el responsable podrá� solicitar al Instituto, de manera fundada y motivada, una ampliación del plazo para el cumplimiento de las resoluciones a que se refiere el párrafo anterior del presente artículo. Dicha solicitud deberá� presentarse, a más tardar, dentro de los primeros tres días del plazo otorgado al responsable para el cumplimiento de la resolución, a efecto de que el Instituto resuelva sobre la procedencia de la misma dentro de los cinco días siguientes. Rendición de informe de cumplimiento de las resoluciones de los procedimientos de verificación Artículo 216. Transcurrido el plazo señalado en el articulo anterior, el responsable deberá� entregar un informe al Instituto a través del cual señale las acciones y gestiones realizadas para

192

dar cumplimiento a la resolución derivada de un procedimiento de verificación, acompañando la documentación que acredite sus manifestaciones y declaraciones. Procedimiento de verificación del cumplimiento Artículo 217. El Instituto, a través de la unidad administrativa competente conforme a su Estatuto Orgánico vigente, deberá� pronunciarse, en un plazo no mayor a quince días contados a partir del día siguiente a aquél en que se hubiere tenido por presentado el informe de cumplimiento a que se refiere el artículo anterior de los presentes Lineamientos generales, sobre el cumplimiento de la resolución. Si el Instituto, a través de la unidad administrativa competente conforme a su Estatuto Orgánico vigente, considera que se dio cumplimiento a la resolución recaída a un procedimiento de verificación, deberá� emitir un acuerdo de cumplimiento y ordenar el archivo del expediente. En caso contrario, el Instituto deberá�: I. Emitir un acuerdo de incumplimiento; II. Notificar al superior jerárquico del servidor público encargado de dar

193

cumplimiento, para que en un plazo no mayor a diez días contados a partir del día siguiente que surta efectos la notificación, se dé cumplimiento a la resolución bajo el apercibimiento que de no demostrar que dio la orden, se le impondrá� una medida de apremio en los términos señalados en la Ley General y los presentes Lineamientos generales, además de que incurrirá� en las mismas responsabilidades administrativas del servidor público inferior, y III. Determinar las medidas de apremio que deberán imponerse o las acciones procedentes que deberán aplicarse, de conformidad con lo señalado en el siguiente Titulo de los presentes Lineamientos generales.

Capítulo II Del Recurso de Revisión ante el Instituto y los Organismos Garantes Artículo 103. El titular, por sí mismo o a través de su representante, podrán interponer un recurso de revisión ante el Instituto o, en su caso, ante los Organismos garantes o la Unidad de Transparencia del responsable que haya conocido de la solicitud para el ejercicio de los derechos ARCO, dentro de un plazo que no podrá exceder de quince días contados a partir del siguiente a la

Causales de procedencia Articulo 136. El titular o su representante podrán interponer un recurso de revisión cuando se actualice alguna de las causales previstas en el articulo 104 de la Ley General. Escrito del recurso de revisión Articulo 137. Tratándose del articulo 105, fracción 11 de la Ley General, en caso de que el titular no señale de manera expresa su domicilio o cualquier otro medio para oír y recibir notificaciones, se presumirá que acepta que las notificaciones le

Artículos 12, 27, 28, 41 Bis y 49 del Estatuto Orgánico del Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales publicado el 17 de enero de 2017.

Artículo 57 Funciones 1. Sin perjuicio de otras funciones en virtud del presente Reglamento, incumbirá a cada autoridad de control, en su territorio: a) controlar la aplicación

del presente Reglamento y hacerlo aplicar;

b) promover la sensibilización del público y su comprensión de los riesgos, normas, garantías y derechos en relación con el tratamiento. Las actividades dirigidas

Capitulo IV – Ayuda mutua�Artículo 13. Cooperación entre las Partes 1. Las Partes se obligan a concederse mutuamente asistencia para el cumplimiento del presente Convenio. 2. A tal fin, a. cada Parte designará a una o más autoridades cuya denominación y dirección comunicará al Secretario general del Consejo de Europa; b. cada Parte que haya designado a varias autoridades indicará en la

Capítulo IV – Autoridades de Supervisión Artículo 15 – Autoridades supervisoras 1. Cada Parte debe establecer una o más autoridades responsables del cumplimiento de las disposiciones de este Convenio. 2. Para esta finalidad, dichas autoridades: a. deben contar con poderes de investigación e intervención; b. debe llevar a cabo las funciones relacionadas a las transferencias de datos establecidas en el Artículo

Las disposiciones de la LGPDPPSO y los LGPDPSP sobre el recurso de revisión permiten acreditar que los titulares disponen de mecanismos adecuados para la protección de sus derechos.

194

fecha de la notificación de la respuesta. Transcurrido el plazo previsto para dar respuesta a una solicitud para el ejercicio de los derechos ARCO sin que se haya emitido ésta, el titular o, en su caso, su representante podrá interponer el recurso de revisión dentro de los quince días siguientes al que haya vencido el plazo para dar respuesta. Artículo 104. El recurso de revisión procederá en los siguientes supuestos: I. Se clasifiquen como confidenciales los datos personales sin que se cumplan las características señaladas en las leyes que resulten aplicables; II. Se declare la inexistencia de los datos personales; III. Se declare la incompetencia por el responsable; IV. Se entreguen datos personales incompletos; V. Se entreguen datos personales que no correspondan con lo solicitado; VI. Se niegue el acceso, rectificación, cancelación u oposición de datos personales; VII. No se dé respuesta a una solicitud para el ejercicio de los derechos ARCO dentro de los plazos establecidos en la presente Ley y demás disposiciones que resulten aplicables en la materia; VIII. Se entregue o ponga a disposición datos

sean efectuadas por el mismo medio a través del cual presentó su recurso de revisión o través de los estrados del Instituto. En su escrito de recurso de revisión, el titular podrá� exhibir copia de su solicitud para el ejercicio de los derechos ARCO que presentó ante el responsable y los documentos anexos a la misma con su correspondiente acuse de recepción, así como las pruebas y demás elementos que considere procedentes someter aconsideración del Instituto. Presentación del recurso de revisión ante la Unidad de Transparencia del responsable Artículo 138. Cuando el titular o su representante presenten el recurso de revisión ante la Unidad de Transparencia del responsable que conoció de su solicitud para el ejercicio de los derechos ARCO, ésta deberá� remitir el recurso de revisión al Instituto a más tardar al día siguiente de haberlo recibido. En caso de que el recurso de revisión se presente mediante escrito físico, la Unidad de Transparencia del responsable deberá� remilirlo a través de correo postal. Recepción y turno del recurso de revisión Artículo 139. Interpuesto un recurso de revisión ante el Instituto, o bien, recibido por

específicamente a los niños deberán ser objeto de especial atención;

c) asesorar, con arreglo al Derecho de los Estados miembros, al Parlamento nacional, al Gobierno y a otras instituciones y organismos sobre las medidas legislativas y administrativas relativas a la protección de los derechos y libertades de las personas físicas con respecto al tratamiento;

d) promover la sensibilización de los responsables y encargados del tratamiento acerca de las obligaciones que les incumben en virtud del presente Reglamento;

e) previa solicitud, facilitar información a cualquier interesado en relación con el ejercicio de sus derechos en virtud del presente Reglamento y, en su caso, cooperar a tal fin con las autoridades de control de otros Estados miembros;

f) tratar las reclamaciones presentadas por un interesado o por un organismo, organización o asociación de conformidad con el artículo 80, e investigar, en la medida oportuna, el motivo de la reclamación e informar al reclamante sobre el curso y el resultado de la investigación en un plazo razonable, en particular

comunicación a que se refiere el apartado anterior la competencia de cada una de dichas autoridades. 3. Una autoridad designada por una Parte, a petición de una autoridad designada por otra Parte: a. Facilitará informaciones acerca de su derecho y su práctica administrativa en materia de protección de datos; b. tomará toda clase de medidas apropiadas, con arreglo a su derecho interno y solamente a los efectos de la protección de la vida privada, para facilitar informaciones fácticas relativas a un tratamiento automatizado determinado efectuado en su territorio con excepción, sin embargo, de los datos de carácter personal que sean objeto de dicho tratamiento.

14, de manera particular, la aprobación de garantías estandarizadas; c. debe tener poderes para emitir decisiones respecto de las violaciones de las disposiciones de Convenio y podrá, en particular, imponer sanciones administrativas; d. debe tener el poder de entablar procedimientos legales o presentar ante las autoridades judiciales competentes las violaciones a las disposiciones de ese Convenio; e. debe promover: i. el conocimiento del público de sus funciones y facultades, así como de sus actividades; ii. el conocimiento público de los derechos en materia de datos personales, así como su ejercicio; iii. el conocimiento de los Responsables y de los procesadores de datos de sus responsabilidades bajo este Convenio; deberá darse atención específica a la protección de datos personales de niños y otros individuos vulnerables. 3. Las Autoridades Supervisoras competentes deberán ser consultadas en cualquier propuesta de medida legislativa o administrativa que se establezca para el procesamiento de datos personales. 4. Cada Autoridad Supervisora competente debe tratar las solicitudes y quejas presentadas por las

195

personales en una modalidad o formato distinto al solicitado, o en un formato incomprensible; IX. El titular se inconforme con los costos de reproducción, envío o tiempos de entrega de los datos personales; X. Se obstaculice el ejercicio de los derechos ARCO, a pesar de que fue notificada la procedencia de los mismos; XI. No se dé trámite a una solicitud para el ejercicio de los derechos ARCO, y XII. En los demás casos que dispongan las leyes. Artículo 105. Los únicos requisitos exigibles en el escrito de interposición del recurso de revisión serán los siguientes: I. El área responsable ante quien se presentó la solicitud para el ejercicio de los derechos ARCO; II. El nombre del titular que recurre o su representante y, en su caso, del tercero interesado, así como el domicilio o medio que señale para recibir notificaciones; III. La fecha en que fue notificada la respuesta al titular, o bien, en caso de falta de respuesta la fecha de la presentación de la solicitud para el ejercicio de los derechos ARCO; IV. El acto que se recurre y los puntos petitorios, así como las razones o motivos de inconformidad; V. En su caso, copia de la respuesta que se impugna y

la Unidad de Transparencia del responsable que conoció de la solicitud para el ejercicio de los derechos ARCO, el Comisionado Presidente del Instituto deberá� turnarlo al Comisionado ponente que corresponda en estricto orden cronológico y por orden alfabético conforme al primer apellido de los Comisionados, a más tardar al día siguiente de su recepción. Para efectos del presente Capítulo, las funciones conferidas al Comisionado ponente podrán ser realizadas por los servidores públicos que cuenten con facultades conforme a la normatividad que al efecto emita el Pleno del Instituto y que resulte vigente al momento de la sustanciación del recurso de revisión. Momento de acreditación de la identidad del titular Articulo 140. El Instituto deberá acreditar la identidad del titular y, en su caso, la identidad y personalidad de su representante al momento de interponer el recurso de revisión, para lo cual el titular podrá enviar copia simple de su identificación oficial a través de medios electrónicos. Acuerdo de admisión o prevención Artículo 141. Recibido el recurso de revisión, el Comisionado ponente deberá: l. Integrar un expediente del

si fueran necesarias nuevas investigaciones o una coordinación más estrecha con otra autoridad de control;

g) cooperar, en particular compartiendo información, con otras autoridades de control y prestar asistencia mutua con el fin de garantizar la coherencia en la aplicación y ejecución del presente Reglamento;

h) llevar a cabo investigaciones sobre la aplicación del presente Reglamento, en particular basándose en información recibida de otra autoridad de control u otra autoridad pública;

i) hacer un seguimiento de cambios que sean de interés, en la medida en que tengan incidencia en la protección de datos personales, en particular el desarrollo de las tecnologías de la información y la comunicación y las prácticas comerciales;

j) adoptar las cláusulas contractuales tipo a que se refieren el artículo 28, apartado 8, y el artículo 46, apartado 2, letra d);

k) elaborar y mantener una lista relativa al requisito de la evaluación de impacto relativa a la protección de datos, en virtud del artículo 35, apartado 4;


personas concernidas relacionadas con sus derechos a la protección de datos personales y debe mantenerlas informadas de su progreso. 5. Las Autoridades Supervisoras deben actuar con completa independencia e imparcialidad en el desempeño de sus deberes y el ejercicio de sus poderes; al hacerlo, no deben buscar ni aceptar instrucciones. 6. Cada Parte debe garantizar que las Autoridades Supervisoras son establecidas con los recursos necesarios para que el desempeño de sus funciones y el ejercicio de sus funciones sea efectivo. 7. Cada Autoridad Supervisora debe preparar y publicar un reporte periódico de sus actividades. 8. Los Miembros y el personal de las Autoridades Supervisoras deberán estar sujetos a las obligaciones de confidencialidad respecto de la información confidencial a la que tienen acceso, o han tenido acceso, en el desempeño de sus funciones y el ejercicio de sus poderes. 9. Las decisiones de las Autoridades Supervisoras podrán ser sujetas a la revisión judicial. 10. Las Autoridades Supervisoras no deberán ser competentes respecto del procesamiento llevado a cabo por organismos con facultades jurisdiccionales.

196

de la notificación correspondiente, y VI. Los documentos que acrediten la identidad del titular y, en su caso, la personalidad e identidad de su representante. Al recurso de revisión se podrán acompañar las pruebas y demás elementos que considere el titular procedente someter a juicio del Instituto o, en su caso, de los Organismos garantes. En ningún caso será necesario que el titular ratifique el recurso de revisión interpuesto. Artículo 106. Una vez admitido el recurso de revisión, el Instituto o, en su caso, los Organismos garantes podrán buscar una conciliación entre el titular y el responsable. De llegar a un acuerdo, éste se hará constar por escrito y tendrá efectos vinculantes. El recurso de revisión quedará sin materia y el Instituto, o en su caso, los Organismos garantes, deberán verificar el cumplimiento del acuerdo respectivo. Artículo 107. Admitido el recurso de revisión y sin perjuicio de lo dispuesto por el artículo 65 de la presente Ley, el Instituto promoverá la conciliación entre las partes, de conformidad con el siguiente procedimiento: I. El Instituto y los Organismos garantes, según corresponda,

recurso de revisión; II. Proceder al estudio y análisis del recurso de revisión con las pruebas y demás elementos manifestados y presentados por el titular, y III. Emitir un acuerdo fundando y motivando cualquiera de las siguientes determinaciones: a) Requiriendoaltitularinformaciónadicionalentérminosdelosarticulas110delaLeyGeneral y del artículo síguiente de los presentes Lineamientos generales, o . b) Admitiendo el recurso de revisión. El Comisionado ponente deberá emítir el acuerdo a que se refiere la fracción III del presente artículo dentro de los cinco días siguientes, contados a partir del día siguiente de recibir el recurso de revisión, el cual deberá ser notificado al titular, responsable y, en su caso, tercero interesado dentro de los tres días siguientes. Acuerdo de prevención al titular Artículo 142. El acuerdo de prevención se emitirá en aquellos casos en que el escrito de interposición del recurso de revisión no cumpla con alguno de los requisitos previstos en el artículo 105 de la Ley General y el Comisionado ponente no cuente con elementos para subsanarlos.


m) alentar la elaboración de códigos de conducta con arreglo al artículo 40, apartado 1, y dictaminar y aprobar los códigos de conducta que den suficientes garantías con arreglo al artículo 40, apartado 5;

n) fomentar la creación de mecanismos de certificación de la protección de datos y de sellos y marcas de protección de datos con arreglo al artículo 42, apartado 1, y aprobar los criterios de certificación de conformidad con el artículo 42, apartado 5;

o) llevar a cabo, si procede, una revisión periódica de las certificaciones expedidas en virtud del artículo 42, apartado 7;

p) elaborar y publicar los criterios para la acreditación de organismos de supervisión de los códigos de conducta con arreglo al artículo 41 y de organismos de certificación con arreglo al artículo 43;

q) efectuar la acreditación de organismos de supervisión de los códigos de conducta con arreglo al artículo 41 y de organismos de certificación con arreglo al artículo 43;


197

requerirán a las partes que manifiesten, por cualquier medio, su voluntad de conciliar, en un plazo no mayor a siete días, contados a partir de la notificación de dicho acuerdo, mismo que contendrá un resumen del recurso de revisión y de la respuesta del responsable si la hubiere, señalando los elementos comunes y los puntos de controversia. La conciliación podrá celebrarse presencialmente, por medios remotos o locales de comunicación electrónica o por cualquier otro medio que determine el Instituto o los Organismos garantes, según corresponda. En cualquier caso, la conciliación habrá de hacerse constar por el medio que permita acreditar su existencia. Queda exceptuado de la etapa de conciliación, cuando el titular sea menor de edad y se haya vulnerado alguno de los derechos contemplados en la Ley para la Protección de los Derechos de Niñas, Niños y Adolescentes, vinculados con la Ley y el Reglamento, salvo que cuente con representación legal debidamente acreditada; II. Aceptada la posibilidad de conciliar por ambas partes, el Instituto y los Organismos garantes, según correspondan, señalarán el lugar o medio, día y hora para la

En este caso, el acuerdo de prevención deberá requerir al titular, por una sola ocasión, la información necesaria para subsanar las omisiones de su escrito de recurso de revisión con el apercibimiento de que, en caso de no cumplir con el requerimiento, en un plazo máximo de cinco días contados a partír del dia siguiente al de la notificación del acuerdo, se desechará el recurso de revisión de conformidad con el artículo 110 de la Ley General. Acuerdo de admísíón del recurso de revisión Articulo 143. Además de lo previsto en el artículo 107, fracción II de la Ley General, en el acuerdo de admisión del recurso de revisión, el Comisionado ponente deberá promover la conciliación entre el titular y el responsable, así como poner a disposición de éstos el expediente respectivo del recurso de revisión para que en un plazo máximo de siete días contados a partir de la notificación de dícho acuerdo: I. Manifiesten por cualquíer medio su voluntad de conciliar; II. Señalen lo que a su derecho convenga; III. Ofrezcan las pruebas que consideren pertinentes en términos de lo dispuesto en los artículos 102 de la Ley General y 131 de los presentes Lineamientos generales, y


s) aprobar normas corporativas vinculantes de conformidad con lo dispuesto en el artículo 47;

t) contribuir a las actividades del Comité;

u) llevar registros internos de las infracciones del presente Reglamento y de las medidas adoptadas de conformidad con el artículo 58, apartado 2, y

v) desempeñar cualquier otra función relacionada con la protección de los datos personales.

2. Cada autoridad de control facilitará la presentación de las reclamaciones contempladas en el apartado 1, letra f), mediante medidas como un formulario de presentación de reclamaciones que pueda cumplimentarse también por medios electrónicos, sin excluir otros medios de comunicación. 3. El desempeño de las funciones de cada autoridad de control será gratuito para el interesado y, en su caso, para el delegado de protección de datos. 4. Cuando las solicitudes sean manifiestamente infundadas o excesivas, especialmente debido a su carácter repetitivo, la autoridad de control podrá

198

celebración de una audiencia de conciliación, la cual deberá realizarse dentro de los diez días siguientes en que el Instituto o los Organismos garantes, según corresponda, hayan recibido la manifestación de la voluntad de conciliar de ambas partes, en la que se procurará avenir los intereses entre el titular y el responsable. El conciliador podrá, en todo momento en la etapa de conciliación, requerir a las partes que presenten en un plazo máximo de cinco días, los elementos de convicción que estime necesarios para la conciliación. El conciliador podrá suspender cuando lo estime pertinente o a instancia de ambas partes la audiencia por una ocasión. En caso de que se suspenda la audiencia, el conciliador señalará día y hora para su reanudación dentro de los cinco días siguientes. De toda audiencia de conciliación se levantará el acta respectiva, en la que conste el resultado de la misma. En caso de que el responsable o el titular o sus respectivos representantes no firmen el acta, ello no afectará su validez, debiéndose hacer constar dicha negativa; III. Si alguna de las partes no acude a la audiencia de conciliación y justifica su ausencia en un plazo de tres días, será convocado a una segunda audiencia de

IV. Presenten alegatos. En caso de existir tercero interesado, deberá acreditar su identidad y su carácter como tal, alegar lo que a su derecho convenga y aportar las pruebas que estime pertinentes en ,el plazo señalado en el primer párrafo del presente artículo. El titular, responsable y/o personas autorizadas podrán consultar los expedientes de los recursos de revisión en horarios y durante todos los días hábiles del año que determine el Instituto. Etapa de conciliación Articulo 144. El Comisionado ponente deberá promover, privilegiar y buscar la conciliación entre el titular y responsable. La etapa de conciliación sólo será posible cuando el titular y el responsable acuerden someterse a dicho procedimiento, la cual, de acuerdo con el articulo 107, fracción I de la Ley General, podrá celebrarse por cualquiera de los siguientes medios: l. Presencialmente; II. Por medios remotos o locales de comunicación electrónica, o III. Cualquier otro medio que determine el Comisionado ponente. En cualquiera de los medios señalados en las fracciones anteriores del presente articulo, el Comisíonado

establecer una tasa razonable basada en los costes administrativos o negarse a actuar respecto de la solicitud. La carga de demostrar el carácter manifiestamente infundado o excesivo de la solicitud recaerá en la autoridad de control. CAPÍTULO VIII Recursos, responsabilidad y sanciones Artículo 77 Derecho a presentar una reclamación ante una autoridad de control 1. Sin perjuicio de cualquier otro recurso administrativo o acción judicial, todo interesado tendrá derecho a presentar una reclamación ante una autoridad de control, en particular en el Estado miembro en el que tenga su residencia habitual, lugar de trabajo o lugar de la supuesta infracción, si considera que el tratamiento de datos personales que le conciernen infringe el presente Reglamento. 2. La autoridad de control ante la que se haya presentado la reclamación informará al reclamante sobre el curso y el resultado de la reclamación, inclusive sobre la posibilidad de acceder a la tutela judicial en virtud del artículo 78. Artículo 78 Derecho a la tutela judicial efectiva contra una autoridad de control 1. Sin perjuicio de cualquier

199

conciliación, en el plazo de cinco días; en caso de que no acuda a esta última, se continuará con el recurso de revisión. Cuando alguna de las partes no acuda a la audiencia de conciliación sin justificación alguna, se continuará con el procedimiento; IV. De no existir acuerdo en la audiencia de conciliación, se continuará con el recurso de revisión; V. De llegar a un acuerdo, éste se hará constar por escrito y tendrá efectos vinculantes. El recurso de revisión quedará sin materia y el Instituto, o en su caso, los Organismos garantes, deberán verificar el cumplimiento del acuerdo respectivo, y VI. El cumplimiento del acuerdo dará por concluido la sustanciación del recurso de revisión, en caso contrario, el Instituto reanudará el procedimiento. El plazo al que se refiere el artículo siguiente de la presente Ley será suspendido durante el periodo de cumplimiento del acuerdo de conciliación. Artículo 108. El Instituto y los Organismos garantes resolverán el recurso de revisión en un plazo que no podrá exceder de cuarenta días, el cual podrá ampliarse hasta por veinte días por una sola vez. Artículo 109. Durante el procedimiento a que se

ponente deberá dejar constancia de la existencia de la conciliación para efectos de acreditación. En la etapa de conciliación deberán observarse los principios de voluntariedad, confidencialidad, neutralidad, imparcialidad, equidad, flexibilidad y economía. Conciliación en recursos de revísión de menores de edad Artículo 145. De conformidad con el articulo 107, fracción I de la Ley General y el artículo anterior, la conciliación no será� procedente cuando el titular sea menor de edad y se hubiere vulnerado alguno de los derechos contemplados en la Ley General de los Derechos de Niñas, Niños y Adolescentes vinculados con la Ley General, salvo que el menor cuente con representación legal debidamente acreditada. Audiencia de conciliación Articulo 146. Aceptada la conciliación por el titular y el responsable, en términos del articulo 107 de la Ley General, el Comisionado ponente deberá� emitir un acuerdo a través del cual señale el lugar o medio, día y hora para la celebración de la audiencia de conciliación y solicite a éstos los elementos de convicción que consideren pertinentes presentar

otro recurso administrativo o extrajudicial, toda persona física o jurídica tendrá derecho a la tutela judicial efectiva contra una decisión jurídicamente vinculante de una autoridad de control que le concierna. 2. Sin perjuicio de cualquier otro recurso administrativo o extrajudicial, todo interesado tendrá derecho a la tutela judicial efectiva en caso de que la autoridad de control que sea competente en virtud de los artículos 55 y 56 no dé curso a una reclamación o no informe al interesado en el plazo de tres meses sobre el curso o el resultado de la reclamación presentada en virtud del artículo 77. 3. Las acciones contra una autoridad de control deberán ejercitarse ante los tribunales del Estado miembro en que esté establecida la autoridad de control. 4. Cuando se ejerciten acciones contra una decisión de una autoridad de control que haya sido precedida de un dictamen o una decisión del Comité en el marco del mecanismo de coherencia, la autoridad de control remitirá al tribunal dicho dictamen o decisión. Artículo 79 Derecho a la tutela judicial efectiva contra un responsable o encargado del tratamiento 1. Sin perjuicio de los recursos administrativos o

200

refiere el presente Capítulo, el Instituto y los Organismos garantes, según corresponda, deberán aplicar la suplencia de la queja a favor del titular, siempre y cuando no altere el contenido original del recurso de revisión, ni modifique los hechos o peticiones expuestas en el mismo, así como garantizar que las partes puedan presentar los argumentos y constancias que funden y motiven sus pretensiones. Artículo 110. Si en el escrito de interposición del recurso de revisión el titular no cumple con alguno de los requisitos previstos en el artículo 105 de la presente Ley y el Instituto y los Organismos garantes, según corresponda, no cuenten con elementos para subsanarlos, éstos deberán requerir al titular, por una sola ocasión, la información que subsane las omisiones en un plazo que no podrá exceder de cinco días, contados a partir del día siguiente de la presentación del escrito. El titular contará con un plazo que no podrá exceder de cinco días, contados a partir del día siguiente al de la notificación de la prevención, para subsanar las omisiones, con el apercibimiento de que en caso de no cumplir con el requerimiento, se desechará el recurso de revisión. La prevención tendrá el

durante el desarrollo de la audiencia, dentro de los tres días siguientes contados a partir del día siguiente que tenga conocimiento de que el titular y el responsable aceptan someterse a la etapa de conciliación. La audiencia de conciliación deberá� realizarse en un plazo máximo de diez días siguientes en que el Comisionado ponente recibió� la manifestación de voluntad del titular y el responsable para conciliar. La audiencia de conciliación podrá� llevarse a cabo con el representante del titular, siempre y cuando, el titular haya manifestado su voluntad para tales efectos. Ausencia de alguna de las partes a la audiencia de conciliación con justificación Articulo 147. De acuerdo con el articulo 107, fracción III de la Ley General, si el titular o el responsable no acuden a la audiencia de conciliación y justifican su ausencia dentro de los tres días, contados a partir del día siguiente de la fecha señalada para la celebración de la audiencia de conciliación, serán convocados por el Comisionado ponente a una segunda audiencia en el plazo de cinco días, contados a partir del día siguiente de la recepción de su justificación. En caso de que el titular o el responsable no acudan a esta segunda audiencia, el Comisionado ponente

extrajudiciales disponibles, incluido el derecho a presentar una reclamación ante una autoridad de control en virtud del artículo 77, todo interesado tendrá derecho a la tutela judicial efectiva cuando considere que sus derechos en virtud del presente Reglamento han sido vulnerados como consecuencia de un tratamiento de sus datos personales. 2. Las acciones contra un responsable o encargado del tratamiento deberán ejercitarse ante los tribunales del Estado miembro en el que el responsable o encargado tenga un establecimiento. Alternativamente, tales acciones podrán ejercitarse ante los tribunales del Estado miembro en que el interesado tenga su residencia habitual, a menos que el responsable o el encargado sea una autoridad pública de un Estado miembro que actúe en ejercicio de sus poderes públicos.

201

efecto de interrumpir el plazo que tienen el Instituto y los Organismos garantes para resolver el recurso, por lo que comenzará a computarse a partir del día siguiente a su desahogo. Artículo 111. Las resoluciones del Instituto o, en su caso, de los Organismos garantes podrán: I.Sobreseer o desechar el recurso de revisión por improcedente; II.Confirmar la respuesta del responsable; III.Revocar o modificar la respuesta del responsable, o IV.Ordenar la entrega de los datos personales, en caso de omisión del responsable. Las resoluciones establecerán, en su caso, los plazos y términos para su cumplimiento y los procedimientos para asegurar su ejecución. Los responsables deberán informar al Instituto o, en su caso, a los Organismos garantes el cumplimiento de sus resoluciones. Ante la falta de resolución por parte del Instituto, o en su caso, de los Organismos garantes, se entenderá confirmada la respuesta del responsable. Cuando el Instituto, o en su caso, los Organismos garantes, determinen durante la sustanciación del recurso de revisión que se pudo haber incurrido en una probable responsabilidad

deberá� continuar con la siguiente etapa de sustanciación del procedimiento del recurso de revisión conforme lo dispuesto en la Ley General y los presentes Lineamientos generales. Ausencia de alguna de las partes a la audiencia de conciliación sin justificación Articulo 148. De conformidad con el articulo 107, fracción III de la Ley General, cuando el titular o el responsable no acudan a la audiencia de conciliación y no justifiquen su ausencia, el Comisionado ponente deberá� continuar con la siguiente etapa de sustanciación del procedimiento del recurso de revisión en términos de la Ley General y los presentes Lineamientos generales. Acta de la audiencia de conciliación Articulo 149. De conformidad con lo señalado en el articulo 107, fracción II de la Ley General, de toda audiencia de conciliación se deberá� levantar el acta respectiva, en la cual deberá� constar, al menos, lo siguiente: I El número de expediente del recurso de revisión; II. El lugar, fecha y hora de celebración de la audiencia de conciliación; III. Los fundamentos legales para llevar a cabo la audiencia;

202

por el incumplimiento a las obligaciones previstas en la presente Ley y demás disposiciones que resulten aplicables en la materia, deberán hacerlo del conocimiento del órgano interno de control o de la instancia competente para que ésta inicie, en su caso, el procedimiento de responsabilidad respectivo. Artículo 112. El recurso de revisión podrá ser desechado por improcedente cuando: I. Sea extemporáneo por haber transcurrido el plazo establecido en el artículo 103 de la presente Ley; II.El titular o su representante no acrediten debidamente su identidad y personalidad de este último; III. El Instituto o, en su caso, los Organismos garantes hayan resuelto anteriormente en definitiva sobre la materia del mismo; IV.No se actualice alguna de las causales del recurso de revisión previstas en el artículo 104 de la presente Ley; V. Se esté tramitando ante los tribunales competentes algún recurso o medio de defensa interpuesto por el recurrente, o en su caso, por el tercero interesado, en contra del acto recurrido ante el Instituto o los Organismos garantes, según corresponda; VI. El recurrente modifique o amplíe su petición en el recurso de revisión, únicamente respecto de los

El nombre completo del titular o su representante, ambos debidamente acreditados; La denominación del responsable y el servidor público que haya designado como su representante, este último debidamente acreditado; El nombre o los nombres de los servidores públicos del Instituto que asistieron a la audiencia de conciliación; La manifestación de la voluntad del titular y responsable de dirimir sus controversias mediante la celebración de un acuerdo de conciliación; La narración circunstanciada de los hechos ocurridos durante la audiencia de conciliación; Los acuerdos adoptados por las partes, en su caso; El plazo para el cumplimiento de los acuerdos, en su caso, y El nombre y firma del conciliador, servidores públicos designados por el Comisionado ponente, titular o su representante, representante del responsable y de todas aquellas personas que intervinieron en la audiencia de conciliación. En caso de que el titular o su representante o el representante del responsable no firmen el acta se hará� constar tal negativa, cuestión que no deberá� afectar la validez de la misma ni el carácter vinculante de los acuerdos

203

nuevos contenidos, o VII. El recurrente no acredite interés jurídico. El desechamiento no implica la preclusión del derecho del titular para interponer ante el Instituto o los Organismos garantes, según corresponda, un nuevo recurso de revisión. Artículo 113. El recurso de revisión solo podrá ser sobreseído cuando: I. El recurrente se desista expresamente; II. El recurrente fallezca; III. Admitido el recurso de revisión, se actualice alguna causal de improcedencia en los términos de la presente Ley; IV.El responsable modifique o revoque su respuesta de tal manera que el recurso de revisión quede sin materia, o V. Quede sin materia el recurso de revisión. Artículo 114. El Instituto y los Organismos garantes deberán notificar a las partes y publicar las resoluciones, en versión pública, a más tardar, al tercer día siguiente de su aprobación. Artículo 115. Las resoluciones del Instituto y de los Organismos garantes serán vinculantes, definitivas e inatacables para los responsables. Los titulares podrán impugnar dichas resoluciones ante el Poder

adoptados, en su caso. Cuando la audiencia de conciliación se realice por medios remotos, el conciliador deberá� hacer del conocimiento de titular y responsable que la misma será� grabada por el medio que a juicio del conciliador considere conveniente para el único efecto de acreditar la existencia de ésta. Acuerdo de conciliación Artículo 150. En términos de los artículos 106 y 107, fracción V de la Ley General, si el titular y el responsable llegan a un acuerdo en la etapa de conciliación, éste deberá� constar por escrito en el acta de la audiencia de conciliación y tendrá� efectos vinculantes. Cumplimiento del acuerdo de conciliación Articulo 151. El responsable deberá� cumplir el acuerdo de conciliación en el plazo establecido en el acta, el cual se definirá� en función del derecho ARCO a ejercer y de la complejidad técnica, operativa o demás cuestiones involucradas para hacer efectivo el derecho que se trate. Para tal efecto, el responsable deberá� hacer del conocimiento del Comisionado ponente el cumplimiento del acuerdo a que se refiere el párrafo anterior del presente articulo a más tardar al día siguiente de que concluya el plazo

204

Judicial de la Federación mediante el Juicio de Amparo. Artículo 116. Tratándose de las resoluciones a los recursos de revisión de los Organismos garantes de las Entidades Federativas, los particulares podrán optar por acudir ante el Instituto interponiendo el recurso de inconformidad previsto en esta Ley o ante el Poder Judicial de la Federación mediante el Juicio de Amparo.

fijado para cumplir el acuerdo de conciliación. En caso de que el responsable no informe sobre el cumplimiento del acuerdo de conciliación en el plazo establecido en el párrafo anterior, se tendrá� por incumplido y se reanudará la sustanciación del recurso de revisión. Efecto del cumplimiento del acuerdo de conciliación Artículo 152. Cuando el responsable cumpla con el acuerdo de conciliación, el Comisionado ponente deberá� emitir un acuerdo de cumplimiento, dentro de los tres días siguientes contados a partir del día siguiente de la recepción de la notificación del responsable sobre el cumplimiento del acuerdo de conciliación. El cumplimiento del acuerdo de conciliación dará� por concluida la sustanciación del recurso de revisión y el Comisionado ponente deberá� someter a consideración del Pleno del Instituto el proyecto de resolución en la que se proponga el sobreseimiento del recurso de revisión, en términos de lo dispuesto en el artículo 113, fracción V de la Ley General. En caso contrario, el Comisionado ponente deberá� reanudar el procedimiento. Acuerdo de admisión o desechamiento de pruebas

205

Articulo 153. Si el titular o responsable no hubieren manifestado su voluntad para conciliar, o bien, en la audiencia de conciliación no llegan a un acuerdo, se deberá� dar por concluida la etapa de conciliación y el Comisionado ponente deberá� dictar un acuerdo de admisión o desechamiento de las pruebas que en su caso hubieren ofrecido, el cual señalará� lugar y hora para el desahogo de aquellas pruebas que por su propia naturaleza requieran ser desahogadas en audiencia, y, en su caso, citar a las personas señaladas como testigos. El acuerdo a que se refiere el párrafo anterior deberá� ser emitido en un plazo de tres días contados a partir del día siguiente de la conclusión de la etapa de conciliación, o bien, del plazo que tiene el titular y el responsable para manifestar su voluntad de conciliar. Para la admisión de las pruebas ofrecidas por el titular, responsable y, en su caso, tercero interesado, el Comisionado ponente deberá� observar lo dispuesto en el artículo 132 de los presentes Lineamientos generales. Pruebas supervenientes Artículo 154. Una vez emitido el acuerdo a que se refiere el artículo anterior de los presentes Lineamientos generales, el Comisionado

206

ponente sólo admitirá� pruebas supervenientes. Audiencia de desahogo de pruebas Articulo 155. En la audiencia de desahogo de pruebas a que se refiere el artículo 153 de los presentes Lineamientos generales y la valoración de las mismas, el Comisionado ponente deberá� observar lo dispuesto en el articulo 133 del mismo ordenamiento. Ampliación del plazo de resolución del recurso de revisión Artículo 156. Cuando el Comisionado ponente determine ampliar el plazo a que se refiere el artículo 108 de la Ley General, deberá� emitir un acuerdo que funde y motive la causa de la ampliación de dicho plazo dentro de los cuarenta días que tiene el Instituto para resolver el recurso de revisión, el cual deberá� ser notificado al titular, responsable y, en su caso, tercero interesado. Resolución del recurso de revisión Artículo 157. El Instituto en sus resoluciones establecerá� los plazos y términos para su cumplimiento y los procedimientos para asegurar su ejecución, los cuales no podrán exceder de diez días para el acceso, rectificación, cancelación u oposición al tratamiento de

207

los datos personales. Excepcionalmente, el Instituto, previa fundamentación y motivación, podrá� ampliar estos plazos cuando el asunto así� lo requiera. Ante la falta de resolución por parte del Instituto se entenderá� confirmada la respuesta del responsable. Manifestación del desistimiento Artículo 158. Para el caso de que el titular se desista del recurso de revisión deberá� manifestar su voluntad de manera expresa, clara e inequívoca de no continuar con la sustanciación y resolución del mismo conforme lo siguiente: I. Cuando se hubiere presentado por escrito ante el Instituto, el desistimiento deberá� promoverse por escrito con la firma autógrafa del titular; II. Cuando el recurso de revisión hubiere sido presentado por correo electrónico, el desistimiento deberá� de ser presentado a través de la misma cuenta de correo electrónico por la cual se presentó, de alguna de las cuentas de correo electrónico autorizadas para recibir notificaciones; III. Cuando la presentación del recurso de revisión se hubiere efectuado a través del sistema electrónico, el desistimiento deberá� presentarse por alguna de las cuentas de correo

208

electrónico autorizadas para recibir notificaciones, o IV. Cuando el titular comparezca personalmente ante el Instituto, con independencia del medio a través del cual hubiere presentado el recurso de revisión. En caso de que la manifestación de su voluntad no se advierta clara e inequívoca, el Comisionado ponente podrá� requerir al titular que precise su intención de no continuar con la sustanciación y resolución del mismo. Medios de impugnación de las resoluciones Artículo 159. De conformidad con el artículo 115 de la Ley General, las resoluciones del Instituto serán vinculantes, definitivas e inatacables para el responsable, salvo la interposición del recurso de revisión en materia de seguridad nacional por parte de la Consejería Jurídica del Ejecutivo Federal ante la Suprema Corte de Justicia de la Nación, en términos de lo dispuesto en los artículos 139, 140, 141, 142 Y143 de la Ley General. El titular podrá� impugnar dichas resoluciones ante el Poder Judicial de la Federación mediante el juicio de amparo, de conformidad con la normatividad aplicable en la materia.

209

Capítulo III Del cumplimiento de las resoluciones recaídas a los recursos de revisión Plazo de cumplimiento y prórroga de las resoluciones de los recursos de revisión Artículo 160. El responsable, a través de la Unidad de Transparencia, dará� estricto cumplimiento a las resoluciones del Instituto. Excepcionalmente, considerando las circunstancias especiales del caso, el responsable podrá� solicitar al Instituto, de manera fundada y motivada, una ampliación del plazo para el cumplimiento de la resolución. Dicha solicitud deberá� presentarse, a más tardar, dentro de los primeros tres días del plazo otorgado para el cumplimiento, a efecto de que el Instituto resuelva sobre la procedencia de la misma dentro de los cinco días siguientes. Durante este periodo, se suspenderá� el plazo que tiene el responsable para dar cumplimiento a la resolución, el cual se reanudará a partir del día siguiente a aquél que el Instituto le notifique su determinación. Rendición de informe de cumplimiento de las resoluciones de los recursos de revisión Articulo 161. Transcurrido el plazo señalado en el articulo

210

anterior, el responsable deberá� informar al Instituto sobre el cumplimento de la resolución. El Instituto, a través de la unidad administrativa competente conforme a su Estatuto Orgánico vigente, deberá� verificar de oficio el cumplimiento de la resolución del recurso de revisión y, a más tardar al día siguiente de recibir el informe, dar vista al titular para que, dentro de los cinco días siguientes manifieste lo que a su derecho convenga. Si dentro del plazo señalado el titular manifiesta que el cumplimiento no corresponde a lo ordenado por el Instituto, deberá� expresar las causas especificas por las cuales así� lo considera. Procedimiento de verificación del cumplimiento de las resoluciones de los recursos de revisión Articulo 162. El Instituto, a través de la unidad administrativa competente conforme a su Estatuto Orgánico vigente, deberá� pronunciarse, en un plazo no mayor a cinco días contados a partir del día siguiente de la recepción de las manifestaciones del titular, sobre todas las causas que éste manifieste, así como del resultado de la verificación que hubiere realizado. Si el Instituto, a través de la

211

unidad administrativa competente conforme a su Estatuto Orgánico vigente, considera que se dio cumplimiento a la resolución deberá� emitir un acuerdo de cumplimiento y ordenar el archivo del expediente. En caso contrario, el Instituto deberá�: l. Emitir un acuerdo de incumplimiento; ii. Notificar al superior jerárquico del servidor público encargado de dar cumplimiento, para que en un plazo no mayor a cinco días contados q partir del día siguiente que surta efectos la notificación, se dé cumplimiento a la resolución bajo el apercibimiento que de no demostrar que dio la orden, se le impondrá� una medida de apremio en los términos señalados en la Ley General y los presentes Lineamientos generales, además de que incurrirá� en las mismas responsabilidades administrativas del servidor público inferior, y iii. Determinar las medidas de apremio que deberán imponerse o las acciones procedentes que deberán aplicarse, de conformidad con lo señalado en el siguiente Titulo de los presentes Lineamientos generales.

Capítulo III Del Recurso de Inconformidad ante el Instituto

Plazo de interposición del recurso de inconformidad Articulo 163. De conformidad con lo previsto

-Artículos 12, 27, 28, 41 Bis y 49 del Estatuto Orgánico del Instituto Nacional de Transparencia, Acceso a la

Artículo 57 Funciones 1. Sin perjuicio de otras funciones en virtud del

Capitulo IV – Ayuda mutua�Artículo 13. Cooperación entre las Partes

Capítulo IV – Autoridades de Supervisión Artículo 15 – Autoridades supervisoras

Las disposiciones de la LGPDPPSO y los LGPDPSP sobre el recurso de inconformidad permiten

212

Artículo 117. El titular, por sí mismo o a través de su representante, podrá impugnar la resolución del recurso de revisión emitido por el organismo garante ante el Instituto, mediante el recurso de inconformidad. El recurso de inconformidad se podrá presentar ante el organismo garante que haya emitido la resolución o ante el Instituto, dentro de un plazo de quince días contados a partir del siguiente a la fecha de la notificación de la resolución impugnada. Los Organismos garantes deberán remitir el recurso de inconformidad al Instituto al día siguiente de haberlo recibido; así como las constancias que integren el procedimiento que haya dado origen a la resolución impugnada, el cual resolverá allegándose de los elementos que estime convenientes. Artículo 118. El recurso de inconformidad procederá contra las resoluciones emitidas por los Organismos garantes de las Entidades Federativas que: I. Clasifiquen los datos personales sin que se cumplan las características señaladas en las leyes que resulten aplicables; II. Determinen la inexistencia de datos personales, o III. Declaren la negativa de datos personales, es decir: a) Se entreguen datos

en el articulo 117 de la Ley General, el titular o su representante podrán interponer el recurso de inconformidad ante el Instituto, o bien, ante el organismo garante que hubiere emitido la resolución, dentro de los quince días contados a partir del siguiente a la fecha de la notificación de la resolución impugnada. Causales de procedencia del recurso de inconformidad Articulo 164. El titular o su representante podrán interponer un recurso de inconformidad cuando se actualice alguna de las causales previstas en el articulo 118 de la Ley General. Requisitos del escrito de recurso de inconformidad Artículo 165. En términos del articulo 119 de la Ley General, el titular deberá� señalar en el recurso de inconformidad lo siguiente: l. Su nombre completo y, en su caso, el de su representante, así� como su domicilio o cualquier otro medio para oír y recibir notificaciones; II. La denominación del responsable ante el cual se presentó la solicitud para el ejercicio de los derechos ARCO; III. La denominación del organismo garante que emitió� la resolución impugnada; El nombre completo del

Información y Protección de Datos Personales publicado el 17 de enero de 2017.

presente Reglamento, incumbirá a cada autoridad de control, en su territorio: a) controlar la aplicación del

presente Reglamento y hacerlo aplicar;

b) promover la

sensibilización del público y su comprensión de los riesgos, normas, garantías y derechos en relación con el tratamiento. Las actividades dirigidas específicamente a los niños deberán ser objeto de especial atención;

c) asesorar, con arreglo al

Derecho de los Estados miembros, al Parlamento nacional, al Gobierno y a otras instituciones y organismos sobre las medidas legislativas y administrativas relativas a la protección de los derechos y libertades de las personas físicas con respecto al tratamiento;

d) promover la

sensibilización de los responsables y encargados del tratamiento acerca de las obligaciones que les incumben en virtud del presente Reglamento;


información a cualquier interesado en relación con el ejercicio de sus derechos en virtud del presente Reglamento y, en su caso, cooperar a tal

1. Las Partes se obligan a concederse mutuamente asistencia para el cumplimiento del presente Convenio. 2. A tal fin, a. cada Parte designará a una o más autoridades cuya denominación y dirección comunicará al Secretario general del Consejo de Europa; b. cada Parte que haya designado a varias autoridades indicará en la comunicación a que se refiere el apartado anterior la competencia de cada una de dichas autoridades. 3. Una autoridad designada por una Parte, a petición de una autoridad designada por otra Parte: a. Facilitará informaciones acerca de su derecho y su práctica administrativa en materia de protección de datos; b. tomará toda clase de medidas apropiadas, con arreglo a su derecho interno y solamente a los efectos de la protección de la vida privada, para facilitar informaciones fácticas relativas a un tratamiento automatizado determinado efectuado en su territorio con excepción, sin embargo, de los datos de carácter personal que sean objeto de dicho tratamiento.

1. Cada Parte debe establecer una o más autoridades responsables del cumplimiento de las disposiciones de este Convenio. 2. Para esta finalidad, dichas autoridades: a. deben contar con poderes de investigación e intervención; b. debe llevar a cabo las funciones relacionadas a las transferencias de datos establecidas en el Artículo 14, de manera particular, la aprobación de garantías estandarizadas; c. debe tener poderes para emitir decisiones respecto de las violaciones de las disposiciones de Convenio y podrá, en particular, imponer sanciones administrativas; d. debe tener el poder de entablar procedimientos legales o presentar ante las autoridades judiciales competentes las violaciones a las disposiciones de ese Convenio; e. debe promover: i. el conocimiento del público de sus funciones y facultades, así como de sus actividades; ii. el conocimiento público de los derechos en materia de datos personales, así como su ejercicio; iii. el conocimiento de los Responsables y de los procesadores de datos de sus responsabilidades bajo este Convenio; deberá darse atención específica a la protección de

acreditar que los titulares disponen de mecanismos adecuados para la protección de sus derechos.

213

personales incompletos; b) Se entreguen datos personales que no correspondan con los solicitados; c) Se niegue el acceso, rectificación, cancelación u oposición de datos personales; d) Se entregue o ponga a disposición datos personales en un formato incomprensible; e) El titular se inconforme con los costos de reproducción, envío, o tiempos de entrega de los datos personales, o f) Se oriente a un trámite específico que contravenga lo dispuesto por el artículo 54 de la presente Ley. Artículo 119. Los únicos requisitos exigibles e indispensables en el escrito de interposición del recurso de inconformidad son: I. El área responsable ante la cual se presentó la solicitud para el ejercicio de los derechos ARCO; II. El organismo garante que emitió la resolución impugnada; III. El nombre del titular que recurre o de su representante y, en su caso, del tercero interesado, así como su domicilio o el medio que señale para recibir notificaciones; IV. La fecha en que fue notificada la resolución al titular; V. El acto que se recurre y los puntos petitorios, así como las razones o motivos de inconformidad;

tercero interesado, en su caso; La fecha en que le fue notificada la resolución del organismo garante, y El acto que se recurre y los puntos petitorios, así como las razones o motivos de su inconformidad. Documentos que deberán acompañarse al escrito de recurso de inconformidad Articulo 166. En términos de lo dispuesto en el articulo 119 de la Ley General, el titular deberá� acompañar a su escrito de recurso de inconformidad lo siguiente: I Los documentos que acrediten su identidad y, en su caso, la de su representante; II. El documento que acredite la personalidad de su representante, en su caso, y III. La copia de resolución que se impugna y su notificación correspondiente, en su caso. El titular podrá� acompañar su escrito con las pruebas y demás elementos que considere procedente someter ajuicio del Instituto. Presentación del recurso de inconformidad ante el organismo garante Artículo 167. En términos del articulo 117 de la Ley General, cuando el titular o su representante presenten el recurso de inconformidad ante el organismo garante que emitió� la resolución, éste de considerarlo necesario, podrá� remitir

fin con las autoridades de control de otros Estados miembros;

f) tratar las reclamaciones



compartiendo información, con otras autoridades de control y prestar asistencia mutua con el fin de garantizar la coherencia en la aplicación y ejecución del presente Reglamento;

h) llevar a cabo

investigaciones sobre la aplicación del presente Reglamento, en particular basándose en información recibida de otra autoridad de control u otra autoridad pública;

i) hacer un seguimiento de

cambios que sean de interés, en la medida en que tengan incidencia en la protección de datos personales, en particular el

datos personales de niños y otros individuos vulnerables. 3. Las Autoridades Supervisoras competentes deberán ser consultadas en cualquier propuesta de medida legislativa o administrativa que se establezca para el procesamiento de datos personales. 4. Cada Autoridad Supervisora competente debe tratar las solicitudes y quejas presentadas por las personas concernidas relacionadas con sus derechos a la protección de datos personales y debe mantenerlas informadas de su progreso. 5. Las Autoridades Supervisoras deben actuar con completa independencia e imparcialidad en el desempeño de sus deberes y el ejercicio de sus poderes; al hacerlo, no deben buscar ni aceptar instrucciones. 6. Cada Parte debe garantizar que las Autoridades Supervisoras son establecidas con los recursos necesarios para que el desempeño de sus funciones y el ejercicio de sus funciones sea efectivo. 7. Cada Autoridad Supervisora debe preparar y publicar un reporte periódico de sus actividades. 8. Los Miembros y el personal de las Autoridades Supervisoras deberán estar sujetos a las obligaciones de confidencialidad respecto de la información

214

VI. En su caso, copia de la resolución que se impugna y de la notificación correspondiente, y VII. Los documentos que acrediten la identidad del titular y, en su caso, la personalidad e identidad de su representante. El promovente podrá acompañar su escrito con las pruebas y demás elementos que considere procedentes someter a juicio del Instituto. Artículo 120. El Instituto resolverá el recurso de inconformidad en un plazo que no podrá exceder de treinta días contados a partir del día siguiente de la interposición del recurso de inconformidad, plazo que podrá ampliarse por una sola vez y hasta por un periodo igual. Artículo 121. Durante el procedimiento a que se refiere el presente Capítulo, el Instituto deberá aplicar la suplencia de la queja a favor del titular, siempre y cuando no altere el contenido original del recurso de inconformidad, ni modifique los hechos o peticiones expuestas en el mismo, así como garantizar que las partes puedan presentar los argumentos y constancias que funden y motiven sus pretensiones. Artículo 122. Si en el escrito de interposición del recurso de inconformidad el titular no cumple con alguno de los requisitos previstos en el artículo 119 de la presente

junto con el recurso de inconformidad un informe justificado para acreditar la legalidad de su resolución. Ratificación del recurso de inconformidad Artículo 168. En ningún caso, será� necesario que el titular ratifique el recurso de inconformidad interpuesto ante el Instituto. Recepción y turno del recurso de inconformidad Artículo 169. Interpuesto un recurso de inconformidad ante el Instituto, o bien, recibido por el organismo garante que emitió� la resolución impugnada, el Comisionado Presidente del Instituto deberá� turnarlo al Comisionado ponente que corresponda en estricto orden cronológico y por orden alfabético conforme al primer apellido de los Comisionados, a más tardar al día siguiente de su recepción. Para efectos del presente Capitulo, las funciones conferidas al Comisionado ponente podrán ser realizadas por los servidores públicos que para tal efecto designe, de conformidad con la normatividad que resulte vigente al momento de la sustanciación del recurso de inconformidad. Momento de acreditación de la identidad del titular en el recurso de inconformidad Artículo 170. El Instituto deberá� acreditar la identidad del titular y, en su

desarrollo de las tecnologías de la información y la comunicación y las prácticas comerciales;

j) adoptar las cláusulas

contractuales tipo a que se refieren el artículo 28, apartado 8, y el artículo 46, apartado 2, letra d);

k) elaborar y mantener una

lista relativa al requisito de la evaluación de impacto relativa a la protección de datos, en virtud del artículo 35, apartado 4;



m) alentar la elaboración de

códigos de conducta con arreglo al artículo 40, apartado 1, y dictaminar y aprobar los códigos de conducta que den suficientes garantías con arreglo al artículo 40, apartado 5;


mecanismos de certificación de la protección de datos y de sellos y marcas de protección de datos con arreglo al artículo 42, apartado 1, y aprobar los criterios de certificación de conformidad con el artículo 42, apartado 5;

confidencial a la que tienen acceso, o han tenido acceso, en el desempeño de sus funciones y el ejercicio de sus poderes. 9. Las decisiones de las Autoridades Supervisoras podrán ser sujetas a la revisión judicial. 10. Las Autoridades Supervisoras no deberán ser competentes respecto del procesamiento llevado a cabo por organismos con facultades jurisdiccionales.

215

Ley y el Instituto no cuente con elementos para subsanarlos, éste deberá requerir al titular, por una sola ocasión, la información que subsane las omisiones en un plazo que no podrá exceder de cinco días, contados a partir del día siguiente de la presentación del escrito. El titular contará con un plazo que no podrá exceder de quince días, contados a partir del día siguiente al de la notificación de la prevención, para subsanar las omisiones, con el apercibimiento de que, en caso de no cumplir con el requerimiento, se desechará el recurso de inconformidad. La prevención tendrá el efecto de interrumpir el plazo que tiene el Instituto para resolver el recurso, por lo que comenzará a computarse a partir del día siguiente a su desahogo. Artículo 123. Una vez concluida la etapa probatoria, el Instituto pondrá a disposición de las partes las actuaciones del procedimiento y les otorgará un plazo de cinco días para que formulen alegatos contados a partir de la notificación del acuerdo a que se refiere este artículo. Artículo 124. Las resoluciones del Instituto podrán: I. Sobreseer o desechar el recurso de inconformidad; II. Confirmar la resolución del organismo garante;

caso, la identidad y personalidad de su representante al momento de interponer el recurso de inconformidad, para lo cual el titular podrá� enviar copia simple de su identificación oficial a través de medios electrónicos. Acuerdo de admisión o prevención del recurso de inconformidad Articulo 171. Recibido el recurso de inconformidad, el Comisionado ponente deberá�: I. Integrar un expediente del recurso de inconformidad; II. Proceder al estudio y análisis del recurso de inconformidad con las pruebas y demás elementos manifestados y presentados por el titular, y III. Emitir un acuerdo fundando y motivando cualquiera de las siguientes determinaciones: a) Requiriendoaltitularinformaciónadicionalentérminosdelosarticulos122dela Ley General y siguiente de los presentes Lineamientos generales, o b) Admitiendo el recurso de inconformidad. El Comisionado ponente deberá� emitir el acuerdo a que se refiere la fracción 111 del presente articulo dentro de los cinco días siguientes, contados a partir del día siguiente de recibir el recurso de inconformidad, el cual deberá� ser notificado al titular, organismo garante y, en su caso, tercero

o) llevar a cabo, si procede,

una revisión periódica de las certificaciones expedidas en virtud del artículo 42, apartado 7;

p) elaborar y publicar los

criterios para la acreditación de organismos de supervisión de los códigos de conducta con arreglo al artículo 41 y de organismos de certificación con arreglo al artículo 43;

q) efectuar la acreditación

de organismos de supervisión de los códigos de conducta con arreglo al artículo 41 y de organismos de certificación con arreglo al artículo 43;



s) aprobar normas

corporativas vinculantes de conformidad con lo dispuesto en el artículo 47;

t) contribuir a las actividades

del Comité; u) llevar registros internos

de las infracciones del presente Reglamento y de las medidas adoptadas de conformidad con el

216

III. Revocar o modificar la resolución del organismo garante, o IV. Ordenar la entrega de los datos personales, en caso de omisión del responsable. Las resoluciones establecerán, en su caso, los plazos y términos para su cumplimiento y los procedimientos para asegurar su ejecución. Los Organismos garantes deberán informar al Instituto sobre el cumplimiento de sus resoluciones. Si el Instituto no resuelve dentro del plazo establecido en este Capítulo, la resolución que se recurrió se entenderá confirmada. Cuando el Instituto determine durante la sustanciación del recurso de inconformidad, que se pudo haber incurrido en una probable responsabilidad por el incumplimiento a las obligaciones previstas en la presente Ley y a las demás disposiciones aplicables en la materia, deberá hacerlo del conocimiento del órgano interno de control o de la instancia competente para que ésta inicie, en su caso, el procedimiento de responsabilidad respectivo. Las medidas de apremio previstas en la presente Ley, resultarán aplicables para efectos del cumplimiento de las resoluciones que recaigan a los recursos de inconformidad. Estas medidas de apremio

interesado dentro de los tres días siguientes. Acuerdo de prevención al titular del recurso de inconformidad Articulo 172. El acuerdo de prevención resultará procedente cuando en el escrito de interposición del recurso de inconformidad el titular no cumpla con alguno de los requisitos previstos en los artículos 165 y 166 de los presentes Lineamientos generales y el Comisionado ponente no cuente -con elementos para subsanarlos. En este caso, el acuerdo de prevención deberá� requerir al titular, por una sola ocasión, la información necesaria para subsanar las omisiones de su escrito del recurso de inconformidad con el apercibimiento de que, en caso de no cumplir con el requerimiento, en un plazo máximo de quince días contados a partir del día siguiente al de la notificación del acuerdo, se desechará el recurso de inconformidad, de acuerdo con lo dispuesto en el 122 de la Ley General. Acuerdo de admisión del recurso de inconformidad Artículo 173. En el acuerdo de admisión del recurso de inconformidad, el Comisionado ponente deberá� poner a disposición del titular y el organismo garante el expediente

artículo 58, apartado 2, y v) desempeñar cualquier

otra función relacionada con la protección de los datos personales.

2. Cada autoridad de control facilitará la presentación de las reclamaciones contempladas en el apartado 1, letra f), mediante medidas como un formulario de presentación de reclamaciones que pueda cumplimentarse también por medios electrónicos, sin excluir otros medios de comunicación. 3. El desempeño de las funciones de cada autoridad de control será gratuito para el interesado y, en su caso, para el delegado de protección de datos. 4. Cuando las solicitudes sean manifiestamente infundadas o excesivas, especialmente debido a su carácter repetitivo, la autoridad de control podrá establecer una tasa razonable basada en los costes administrativos o negarse a actuar respecto de la solicitud. La carga de demostrar el carácter manifiestamente infundado o excesivo de la solicitud recaerá en la autoridad de control. CAPÍTULO VIII Recursos, responsabilidad y sanciones Artículo 77 Derecho a presentar una

217

deberán establecerse en la propia resolución. Artículo 125. El recurso de inconformidad podrá ser desechado por improcedente cuando: I. Sea extemporáneo por haber transcurrido el plazo establecido en el artículo 117 de la presente Ley; II. El Instituto anteriormente haya resuelto en definitiva sobre la materia del mismo; III. No se actualicen las causales de procedencia del recurso de inconformidad, previstas en el artículo 118 de la presente Ley; IV. Se esté tramitando ante el Poder Judicial algún recurso o medio de defensa interpuesto por el titular, o en su caso, por el tercero interesado, en contra del acto recurrido, o V. El inconforme amplíe su solicitud en el recurso de inconformidad, únicamente respecto de los nuevos contenidos. Artículo 126. El recurso de inconformidad solo podrá ser sobreseído cuando: I. El recurrente se desista expresamente; II. El recurrente fallezca; III. El organismo garante modifique o revoque su respuesta de tal manera que el recurso de inconformidad quede sin materia, o IV. Admitido el recurso, se actualice alguna causal de improcedencia en los términos de la presente Ley. Artículo 127. En los casos en que a través del recurso

respectivo para que en un plazo máximo de siete días contados a partir de la notificación de dicho acuerdo: l. Señalen lo que a su derecho convenga, y II. Ofrezcan las pruebas que consideren pertinentes en términos de lo dispuesto en los artículos 102 de la Ley General y 131 de los presentes Lineamientos generales. En caso de existir tercero interesado, deberá� acreditar su identidad y su carácter como tal, alegar lo que a su derecho convenga y aportar las pruebas que estime pertinentes en el plazo señalado en el primer párrafo del presente artículo. El titular, organismo garante y/o personas autorizadas podrán consultar los expedientes de los recursos de inconformidad durante los horarios y días hábiles del año que determine el Instituto. Acuerdo de admisión o desechamiento de pruebas en el recurso de inconformidad Articulo 174. Una vez recibidas las manifestaciones y pruebas ofrecidas por el titular y el organismo garante a que se refiere el articulo anterior de los presentes Lineamientos generales, el Comisionado ponente deberá� dictar un acuerdo de admisión o desechamiento de las

reclamación ante una autoridad de control 1. Sin perjuicio de cualquier otro recurso administrativo o acción judicial, todo interesado tendrá derecho a presentar una reclamación ante una autoridad de control, en particular en el Estado miembro en el que tenga su residencia habitual, lugar de trabajo o lugar de la supuesta infracción, si considera que el tratamiento de datos personales que le conciernen infringe el presente Reglamento. 2. La autoridad de control ante la que se haya presentado la reclamación informará al reclamante sobre el curso y el resultado de la reclamación, inclusive sobre la posibilidad de acceder a la tutela judicial en virtud del artículo 78. Artículo 78 Derecho a la tutela judicial efectiva contra una autoridad de control 1. Sin perjuicio de cualquier otro recurso administrativo o extrajudicial, toda persona física o jurídica tendrá derecho a la tutela judicial efectiva contra una decisión jurídicamente vinculante de una autoridad de control que le concierna. 2. Sin perjuicio de cualquier otro recurso administrativo o extrajudicial, todo interesado tendrá derecho a la tutela judicial efectiva en caso de que la autoridad de control que sea competente en virtud de los artículos 55 y 56 no dé curso a una

218

de inconformidad se modifique o revoque la resolución del organismo garante, éste deberá emitir un nuevo fallo atendiendo los lineamientos que se fijaron al resolver la inconformidad, dentro del plazo de quince días, contados a partir del día siguiente al en que se hubiere notificado o se tenga conocimiento de la resolución dictada en la inconformidad. Artículo 128. Corresponderá a los Organismos garantes, en el ámbito de su competencia, realizar el seguimiento y vigilancia del debido cumplimiento por parte del responsable de la nueva resolución emitida como consecuencia de la inconformidad en términos de la presente Ley. Artículo 129. Las resoluciones del Instituto serán vinculantes, definitivas e inatacables para los responsables y los Organismos garantes. Los titulares podrán impugnar dichas resoluciones ante el Poder Judicial de la Federación mediante el Juicio de Amparo.

pruebas que en su caso hubieren ofrecido, el cual señalará� lugar y hora para el desahogo de aquellas pruebas que por su propia naturaleza requieran ser desahogadas en audiencia, y, en su caso, citar a las personas señaladas como testigos. El acuerdo a que se refiere el párrafo anterior deberá� ser emitido en un plazo de tres días contados a partir del día siguiente del plazo que tienen el titular y el organismo garante para manifestar lo que a su derecho convenga y ofrecer pruebas. Para la admisión de las pruebas ofrecidas por el titular, organismo garante y, en su caso, tercero interesado, el Instituto deberá� observar lo dispuesto en el articulo 132 de los presentes Lineamientos generales. Pruebas supervenientes Articulo 175. Una vez emitido el acuerdo a que se refiere el articulo anterior de los presentes Lineamientos generales, el Comisionado ponente sólo admitirá� pruebas supervenientes. Audiencia de desahogo de pruebas en el recurso de inconformidad Articulo 176. En la audiencia de desahogo de pruebas a que se refiere el articulo 174 de los presentes Lineamientos generales y la valoración de las mismas, el Comisionado ponente

reclamación o no informe al interesado en el plazo de tres meses sobre el curso o el resultado de la reclamación presentada en virtud del artículo 77. 3. Las acciones contra una autoridad de control deberán ejercitarse ante los tribunales del Estado miembro en que esté establecida la autoridad de control. 4. Cuando se ejerciten acciones contra una decisión de una autoridad de control que haya sido precedida de un dictamen o una decisión del Comité en el marco del mecanismo de coherencia, la autoridad de control remitirá al tribunal dicho dictamen o decisión. Artículo 79 Derecho a la tutela judicial efectiva contra un responsable o encargado del tratamiento 1. Sin perjuicio de los recursos administrativos o extrajudiciales disponibles, incluido el derecho a presentar una reclamación ante una autoridad de control en virtud del artículo 77, todo interesado tendrá derecho a la tutela judicial efectiva cuando considere que sus derechos en virtud del presente Reglamento han sido vulnerados como consecuencia de un tratamiento de sus datos personales. 2. Las acciones contra un responsable o encargado del tratamiento deberán

219

deberá� observar lo dispuesto en los artículos 133 y 134 del mismo ordenamiento. Alegatos Articulo 177. En términos del articulo 123 de la Ley General, desahogadas las pruebas y sin más actuaciones y documentos que valorar, el Comisionado ponente deberá� emitir un acuerdo a través del cual ponga a disposición del titular, organismo garante y, en su caso, tercero interesado las actuaciones realizadas con el objeto de que formulen sus últimas manifestaciones, en su caso, en un plazo de cinco días contados a partir de la notificación de dicho acuerdo. El acuerdo a que se refiere el párrafo anterior deberá� emitirse dentro de los tres días siguientes contados a partir del día siguiente de la audiencia de desahogo de pruebas. Plazo de resolución del recurso de inconformidad Artículo 178. El Instituto deberá� resolver los recursos de inconformidad que le sean interpuestos en el plazo a que se refiere el artículo 120 de la Ley General. En el caso de que el recurso de inconformidad no sea presentado ante el Instituto, el plazo referido en el párrafo anterior empezará a correr a partir del día siguiente de la recepción del

ejercitarse ante los tribunales del Estado miembro en el que el responsable o encargado tenga un establecimiento. Alternativamente, tales acciones podrán ejercitarse ante los tribunales del Estado miembro en que el interesado tenga su residencia habitual, a menos que el responsable o el encargado sea una autoridad pública de un Estado miembro que actúe en ejercicio de sus poderes públicos.

220

recurso de inconformidad en el Instituto. Cuando el Instituto determine ampliar el plazo de treinta días que tiene para resolver el recurso de inconformidad, deberá� emitir un acuerdo que funde y motive la causa de ampliación dentro de dicho plazo, el cual deberá� ser notificado al titular, organismo garante y, en su caso, tercero interesado. Manifestación del desistimiento Artículo 179. Para el caso de que el titular se desista del recurso de inconformidad deberá� manifestar su voluntad de manera expresa de no continuar con la sustanciación y resolución del mismo conforme lo siguiente: I. Cuando se hubiere presentado por escrito ante el Instituto, el desistimiento deberá� promoverse por escrito con la firma autógrafa del titular; II. Cuando el recurso de inconformidad hubiere sido presentado por correo electrónico, el desistimiento deberá� de ser presentado a través de la misma cuenta de correo electrónico por la cual se presentó, de alguna de las cuentas de correo electrónico autorizadas para recibir notificaciones, salvo que durante la sustanciación del recurso de inconformidad el titular hubiere modificado el medio de notificación;

221

III. Cuando la presentación del recurso de inconformidad se hubiere efectuado a través del sistema electrónico, el desistimiento deberá� presentarse de alguna de las cuentas de correo electrónico autorizadas para recibir notificaciones, salvo que durante la sustanciación del recurso de inconformidad el titular hubiere modificado el medio de notificación, o IV. Cuando el titular comparezca personalmente ante el Instituto, con independencia del medio a través del cual hubiere presentado el recurso de inconformidad. En caso de que la manifestación de su voluntad no se advierta clara e inequívoca, el Comisionado ponente podrá� requerir al titular que precise su intención de no continuar con la sustanciación y resolución del mismo. Notificación de la resolución Artículo 180. El Instituto deberá� notificar a las partes y publicar las resoluciones recaídas a los recursos de inconformidad que conozca en versión pública, a más tardar, el tercer día siguiente de su aprobación.

222


C. Medios relativos al procedimiento y la ejecución 2.C. Sanciones

C. Medios relativos al procedimiento y la

ejecución LGPDPPSO LGPDPSP RGPD C108 C108+ Comentarios

La existencia de sanciones efectivas y disuasorias puede desempeñar un

papel importante a la hora de asegurar el respeto de

las normas, como, por supuesto, lo pueden hacer los sistemas de verificación

directa por parte de autoridades, auditores y

responsables independientes de la protección de datos

Artículo 163. Serán causas de sanción por incumplimiento de las obligaciones establecidas en la materia de la presente Ley, las siguientes: I. Actuar con negligencia, dolo o mala fe durante la sustanciación de las solicitudes para el ejercicio de los derechos ARCO; II. Incumplir los plazos de atención previstos en la presente Ley para responder las solicitudes para el ejercicio de los derechos ARCO o para hacer efectivo el derecho de que se trate; III. Usar, sustraer, divulgar, ocultar, alterar, mutilar, destruir o inutilizar, total o parcialmente y de manera indebida datos personales, que se encuentren bajo su custodia o a los cuales tengan acceso o conocimiento con motivo de su empleo, cargo o comisión; IV. Dar tratamiento, de manera intencional, a los datos personales en contravención a los principios y deberes establecidos en la presente Ley; V. No contar con el aviso de privacidad, o bien, omitir en el mismo alguno de los elementos a que refiere el artículo 27 de la presente Ley,

Título Noveno De las medidas de apremio y responsabilidades administrativas Capítulo Único De las medidas de apremio Tipos de medidas de apremio Artículo 232. De conformidad con lo previsto en el articulo 153 de la Ley General, el Instituto podrá� imponer como medidas de apremio para asegurar el cumplimiento de sus determinaciones la amonestación pública o la multa equivalente a la cantidad de ciento cincuenta hasta mil quinientas veces el valor diario de la Unidad de Medida y Actualización. Para la determinación y ejecución de las medidas de apremio a que se refiere el párrafo anterior, el Instituto, además de observar lo dispuesto en Titulo Décimo Primero, Capítulo I de la Ley General, deberá� cumplir con las disposiciones señaladas en el presente Titulo. Área encargada de calificar la gravedad de las faltas y proponer las medidas de apremio Articulo 233. De conformidad con lo previsto en el articulo 157, último párrafo de la Ley General, la Secretaria Técnica del Pleno, a través de la Dirección General de Cumplimientos y Responsabilidades, será� el

Condiciones generales para la imposición de multas administrativas 1. Cada autoridad de control garantizará que la imposición de las multas administrativas con arreglo al presente artículo por las infracciones del presente Reglamento indicadas en los apartados 4, 5 y 6 sean en cada caso individual efectivas, proporcionadas y disuasorias. 2. Las multas administrativas se impondrán, en función de las circunstancias de cada caso individual, a título adicional o sustitutivo de las medidas contempladas en el artículo 58, apartado 2, letras a) a h) y j). Al decidir la imposición de una multa administrativa y su cuantía en cada caso individual se tendrá debidamente en cuenta: a) la naturaleza, gravedad y

duración de la infracción, teniendo en cuenta la naturaleza, alcance o propósito de la operación de tratamiento de que se trate así como el número de interesados afectados y el nivel de los daños y perjuicios que hayan sufrido;

b) la intencionalidad onegligencia en la infracción;

c) cualquier medida tomada por el responsable o

Artículo 10. Sanciones y recursos Cada Parte se compromete a establecer sanciones y recursos convenientes contra las infracciones de las disposiciones de derecho interno que hagan efectivos los principios básicos para la protección de datos enunciados en el presente capítulo.

Artículo 12 – Sanciones y recursos Cada Parte se compromete a establecer las sanciones y recursos judiciales y no judiciales apropiados para las violaciones de las disposiciones de este Convenio.

La LGPDPPSO cuenta con sanciones específicas en caso de incumplimiento a la normatividad por lo que se puede acreditar el cumplimiento de este apartado.

223

según sea el caso, y demás disposiciones que resulten aplicables en la materia; VI. Clasificar como confidencial, con dolo o negligencia, datos personales sin que se cumplan las características señaladas en las leyes que resulten aplicables. La sanción sólo procederá cuando exista una resolución previa, que haya quedado firme, respecto del criterio de clasificación de los datos personales; VII. Incumplir el deber de confidencialidad establecido en el artículo 42 de la presente Ley; VIII. No establecer las medidas de seguridad en los términos que establecen los artículos 31, 32 y 33 de la presente Ley; IX. Presentar vulneraciones a los datos personales por la falta de implementación de medidas de seguridad según los artículos 31, 32 y 33 de la presente Ley; X. Llevar a cabo la transferencia de datos personales, en contravención a lo previsto en la presente Ley; XI. Obstruir los actos de verificación de la autoridad; XII. Crear bases de datos personales en contravención a lo dispuesto por el artículo 5 de la presente Ley; XIII. No acatar las resoluciones emitidas por el Instituto y los Organismos garantes, y

área encargada de calificar las medidas de apremio impuestas por el Pleno del Instituto. Calificación y propuesta de la medida de apremio Artículo 234. Para calificar la gravedad de las faltas y proponer la medida de apremio que corresponda, la Secretaria Técnica del Pleno deberá� tomar en cuenta los siguientes supuestos: l.· El incumplimiento de las resoluciones recaídas a los recursos de revisión emitidas por el Pleno del Instituto, a que se refiere la Ley General y los presentes Lineamientos generales, o II. El incumplimiento de las resoluciones derivadas del procedimiento de verificación a que se refiere la Ley General y los presentes Lineamientos generales. La Secretaria Técnica del Pleno deberá� someter a consideración del Pleno del Instituto el proyecto de calificación de la gravedad de la falta, para que éste determine la imposición de la medida de apremio que corresponda. Cuando se trate del incumplimiento a las determinaciones de los Comisionados ponentes ocurridas durante la sustanciación del recurso de revisión, la calificación de la gravedad de la falta, así como la medida de apremio a imponer serán propuestas por el Comisionado ponente en la resolución que corresponda, misma que será� aprobada por el Pleno del Instituto. Áreas encargadas de determinar e imponer las

encargado del tratamiento para paliar los daños y perjuicios sufridos por los interesados;

d) el grado de responsabilidad del responsable o del encargado del tratamiento, habida cuenta de las medidas técnicas u organizativas que hayan aplicado en virtud de los artículos 25 y 32;

e) toda infracción anterior cometida por el responsable o el encargado del tratamiento;

f) el grado de cooperación con la autoridad de control con el fin de poner remedio a la infracción y mitigar los posibles efectos adversos de la infracción;

g) las categorías de los datos de carácter personal afectados por la infracción;

h) la forma en que la autoridad de control tuvo conocimiento de la infracción, en particular si el responsable o el encargado notificó la infracción y, en tal caso, en qué medida;

i) cuando las medidas indicadas en el artículo 58, apartado 2, hayan sido ordenadas previamente contra el responsable o el encargado de que se trateen relación con el mismo asunto, el cumplimiento de dichas medidas;

j) la adhesión a códigos de conducta en virtud del artículo 40 o a mecanismos de certificación aprobados con arreglo al artículo 42, y

k) cualquier otro factor agravante o atenuante

224

XIV. Omitir la entrega del informe anual y demás informes a que se refiere el artículo 44, fracción VII de la Ley General de Transparencia y Acceso a la Información Pública, o bien, entregar el mismo de manera extemporánea. Las causas de responsabilidad previstas en las fracciones I, II, IV, VI, X, XII, y XIV, así como la reincidencia en las conductas previstas en el resto de las fracciones de este artículo, serán consideradas como graves para efectos de su sanción administrativa. En caso de que la presunta infracción hubiere sido cometida por algún integrante de un partido político, la investigación y, en su caso, sanción, corresponderán a la autoridad electoral competente. Las sanciones de carácter económico no podrán ser cubiertas con recursos públicos. Capítulo II De las Sanciones Artículo 164. Para las conductas a que se refiere el artículo anterior se dará vista a la autoridad competente para que imponga o ejecute la sanción. Artículo 165. Las responsabilidades que resulten de los procedimientos

medidas de apremio Articulo 235. El Pleno del Instituto será� el encargado de determinar e imponer las medidas de apremio a que se refiere la Ley General y los presentes Lineamientos generales. Área encargada de notificar, gestionar y, en su caso, ejecutar las medidas de apremio. Articulo 236. La Secretaria Técnica del Pleno, a través de la Dirección General de Cumplimientos y Responsabilidades, será� el área encargada de notificar, gestionar y, en su caso, ejecutar las medidas de apremio impuestas por el Pleno del Instituto. Criterios para la determinación de medidas de apremio Articulo 237. De conformidad con lo previsto en el articulo 157 de la Ley General, para calificar las medidas de apremio el Instituto deberá� considerar: l. La gravedad de la falta del responsable considerando: a) El daño causado: el perjuicio, menoscabo o agravio a los principios generales o bases constitucionales reconocidos en el articulo 16, segundo párrafo de la Constitución Política de los Estados Unidos Mexicanos, así como la afectación a los principios, objetivos y obligaciones previstas en la Ley General y los presentes Lineamientos generales; b) Los indicios de intencionalidad: los elementos subjetivos que permiten individualizar el grado de responsabilidad, entendidos

aplicable a las circunstancias del caso, como los beneficios financieros obtenidos o las pérdidas evitadas, directa o indirectamente, a través de la infracción.

3. Si un responsable o un encargado del tratamiento incumpliera de forma intencionada o negligente, para las mismas operaciones de tratamiento u operaciones vinculadas, diversas disposiciones del presente Reglamento, la cuantía total de la multa administrativa no será superior a la cuantía prevista para las infracciones más graves. 4. Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo con el apartado 2, con multas administrativas de 10 000 000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 2 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía: a) las obligaciones del

responsable y del encargado a tenor de los artículos 8, 11, 25 a 39, 42 y 43;

b) las obligaciones de los organismos de certificación a tenor de los artículos 42 y 43;

c) las obligaciones de la autoridad de control a tenor del artículo 41, apartado 4.

5. Las infracciones de las disposiciones siguientes se

225

administrativos correspondientes, derivados de la violación a lo dispuesto por el artículo 163 de esta Ley, son independientes de las del orden civil, penal o de cualquier otro tipo que se puedan derivar de los mismos hechos. Dichas responsabilidades se determinarán, en forma autónoma, a través de los procedimientos previstos en las leyes aplicables y las sanciones que, en su caso, se impongan por las autoridades competentes, también se ejecutarán de manera independiente. Para tales efectos, el Instituto o los organismos garantes podrán denunciar ante las autoridades competentes cualquier acto u omisión violatoria de esta Ley y aportar las pruebas que consideren pertinentes, en los términos de las leyes aplicables. Artículo 166. Ante incumplimientos por parte de los partidos políticos, el Instituto u organismo garante competente, dará vista, según corresponda, al Instituto Nacional Electoral o a los organismos públicos locales electorales de las Entidades Federativas competentes, para que resuelvan lo conducente, sin perjuicio de las sanciones establecidas para los partidos políticos en las leyes aplicables. En el caso de probables infracciones relacionadas con fideicomisos o fondos

como el aspecto volitivo en la realización de la conducta antijurídica. Para determinar lo anterior, deberá� considerarse si existió� contumacia total para dar cumplimiento a las disposiciones en la materia o, en su caso, se acreditó estar en vías de cumplimiento alas mismas; c) La duración del incumplimiento: el periodo que persistió� el incumplimiento, y d) La afectación al ejercicio de las atribuciones del Instituto: el obstáculo que representa el incumplimiento al ejercicio de las atribuciones de éste conferidas en el articulo 6, apartado A de la Constitución Política de los Estados Unidos Mexicanos, así como en la Ley General y los presentes Lineamientos generales. II. La condición económica del infractor: las áreas encargadas de calificar la gravedad de las faltas podrán requerir al infractor, a las autoridades competentes, asi como a las instituciones financieras la información y documentación necesaria para determinar la condición económica del infractor. Sin perjuicio de lo anterior, deberán utilizarse los elementos que se tengan a disposición o las evidencias que obren en registros públicos, páginas de Internet oficiales, medios de información o cualesquier otra que permita cuantificar la multa. III. La reincidencia: el que habiendo incurrido en una infracción que hubiere sido sancionada, cometa otra del mismo tipo o naturaleza. La reincidencia deberá� ser considerada como agravante,

sancionarán, de acuerdo con el apartado 2, con multas administrativas de 20 000 000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía: a) los principios básicos para

el tratamiento, incluidas las condiciones para el consentimiento a tenor de los artículos 5, 6, 7 y 9;

b) los derechos de los interesados a tenor de los artículos 12 a 22;

c) las transferencias de datos personales a un destinatario en un tercer país o una organización internacional a tenor de los artículos 44 a 49;

d) toda obligación en virtud del Derecho de los Estados miembros que se adopte con arreglo al capítulo IX;

e) el incumplimiento de una resolución o de una limitación temporal o definitiva del tratamiento o la suspensión de los flujosde datos por parte de la autoridad de control con arreglo al artículo 58, apartado 2, o el no facilitar acceso en incumplimiento del artículo 58, apartado 1.

6. El incumplimiento de las resoluciones de la autoridad de control a tenor del artículo 58, apartado 2, se sancionará de acuerdo con el apartado 2 del presente artículo con multas

226

públicos, el Instituto u organismo garante competente deberá dar vista al órgano interno de control del sujeto obligado relacionado con éstos, cuando sean servidores públicos, con el fin de que instrumenten los procedimientos administrativos a que haya lugar. Artículo 167. En aquellos casos en que el presunto infractor tenga la calidad de servidor público, el Instituto o el organismo garante, deberá remitir a la autoridad competente, junto con la denuncia correspondiente, un Expediente en que se contengan todos los elementos que sustenten la presunta responsabilidad administrativa. La autoridad que conozca del asunto deberá informar de la conclusión del procedimiento y, en su caso, de la ejecución de la sanción al Instituto o al organismo garante, según corresponda. A efecto de sustanciar el procedimiento citado en este artículo, el Instituto, o el organismo garante que corresponda, deberá elaborar una denuncia dirigida a la contraloría, órgano interno de control o equivalente, con la descripción precisa de los actos u omisiones que, a su consideración, repercuten en la adecuada aplicación de la presente Ley y que pudieran constituir una posible responsabilidad. Asimismo, deberá elaborar un

por lo que siempre deberán consultarse los antecedentes del infractor. Reglas generales de la notificación de las medidas de apremio Artículo 238. La notificación que contenga la imposición de la medida de apremio deberá� realizarse en un plazo máximo de quince días hábiles, contados a partir de la emisión de la resolución correspondiente, y contener el texto íntegro del acto, así� como el fundamento legal en que se apoye con la indicación del medio de impugnación que proceda contra la misma, el órgano ante el cual hubiera de presentarse y el plazo para su interposición. Las diligencias o actuaciones para llevar a cabo la notificación de la imposición de medidas de apremio, se efectuarán conforme al horario de labores del Instituto publicado en el Diario Oficial de la Federación. Las diligencias o actuaciones que inicien en hora hábil y terminen en hora inhábil se tendrán por legalmente practicadas; y las que se lleven a cabo fuera del horario de labores del Instituto se tendrán por realizadas a primera hora del día hábil siguiente. La Secretaria Técnica del Pleno, a través de la Dirección General de Cumplimientos y Responsabilidades, de oficio o a petición de parte interesada, podrá� habilitar días inhábiles cuando así lo requiera el asunto, Medios para notificar las medidas de apremio Artículo 239. La notificación de

administrativas de 20 000 000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía. 7. Sin perjuicio de los poderes correctivos de las autoridades de control en virtud del artículo 58, apartado 2, cada Estado miembro podrá establecer normas sobre si se puede, y en qué medida, imponer multas administrativas a autoridades y organismos públicos establecidos en dicho Estado miembro. 8. El ejercicio por una autoridad de control de sus poderes en virtud del presente artículo estará sujeto a garantías procesales adecuadas de conformidad con el Derecho de la Unión y de los Estados miembros, entre ellas la tutela judicial efectiva y el respeto de las garantías procesales. 9. Cuando el ordenamiento jurídico de un Estado miembro no establezca multas administrativas, el presente artículo podrá aplicarse de tal modo que la incoación de la multa corresponda a la autoridad de control competente y su imposición a los tribunales nacionales competentes, garantizando al mismo tiempo que estas vías de derecho sean efectivas y tengan un efecto equivalente a las

227

expediente que contenga todos aquellos elementos de prueba que considere pertinentes para sustentar la existencia de la posible responsabilidad. Para tal efecto, se deberá acreditar el nexo causal existente entre los hechos controvertidos y las pruebas presentadas. La denuncia y el Expediente deberán remitirse a la contraloría, órgano interno de control o equivalente dentro de los quince días siguientes a partir de que el Instituto o el organismo garante correspondiente tenga conocimiento de los hechos. Artículo 168. En caso de que el incumplimiento de las determinaciones de los Organismos garantes implique la presunta comisión de un delito, el organismo garante respectivo deberá denunciar los hechos ante la autoridad competente.

las medidas de apremio podrá� realizarse: l. Vía electrónica; II. Mediante oficio entregado por mensajero o correo certificado con acuse de recibo, o III. Personalmente con quien deba entenderse la diligencia en el domicilio del responsable de cumplir con la determinación del Instituto. Las notificaciones personales a que se refiere la fracción 111 del presente articulo, deberán practicarse de conformidad con lo previsto en el articulo 36 de la Ley Federal de Procedimiento Administrativo, de aplicación supletoria a los mecanismos de notificación y ejecución de las medidas de apremio. Imposición y ejecución de las amonestaciones públicas a servidores públicos Articulo 240. En términos de lo previsto en el articulo 160 de la Ley General, la Secretaria Técnica del Pleno, a través de la Dirección General de Cumplimientos y Responsabilidades, solicitará al superior jerárquico inmediato del infractor que se haga efectiva la amonestación pública de que se trate. Imposición y ejecución de las amonestaciones públicas a partidos políticos Artículo 241. Cuando se trate de partidos políticos, la Secretaria Técnica del Pleno, a través de la Dirección General de Cumplimientos y Responsabilidades, requerirá� al Instituto Nacional Electoral la ejecución de la amonestación pública impuesta.

multas administrativas impuestas por las autoridades de control. En cualquier caso, las multas impuestas serán efectivas, proporcionadas y disuasorias. Los Estados miembros de que se trate notificarán a la Comisión las disposiciones legislativas que adopten en virtud del presente apartado a más tardar el 25 de mayo de 2018 y, sin dilación, cualquier ley de modificación o modificación posterior que les sea aplicable. Artículo 84 Sanciones 1. Los Estados miembros establecerán las normas en materia de otras sanciones aplicables a las infracciones del presente Reglamento, en particular las infracciones que no se sancionen con multas administrativas de conformidad con el artículo 83, y adoptarán todas las medidas necesarias para garantizar su observancia. Dichas sanciones serán efectivas, proporcionadas y disuasorias. 2. Cada Estado miembro notificará a la Comisión las disposiciones legislativas que adopte de conformidad con el apartado 1 a más tardar el 25 de mayo de 2018 y, sin dilación, cualquier modificación posterior que les sea aplicable.

228

Seguimiento de la ejecución de la multa Articulo 242. La Secretaria Técnica del Pleno, a través de la Dirección General de Cumplimientos y Responsabilidades, deberá� gestionar y dar seguimiento a la ejecución de la multa por lo que solicitará al Servicio de Administración Tributaria que proceda a su cobro, mediante oficio que contenga, al menos, el monto total de la multa impuesta, el domicilio del infractor, la fecha de su notificación y demás datos que resulten relevantes para la ejecución de la misma. No será� impedimento para el Servicio de Administración Tributaria ejecutar una multa impuesta a servidores públicos adscritos a dicha entidad. Registro de las medidas de apremio y sanciones Articulo 243. Las medidas de apremio a que se refiere la Ley General y los presentes Lineamientos generales deberán inscribirse en el Registro de Medidas de Apremio y Sanciones a que se refieren los Lineamientos generales que regulan las atribuciones de las áreas encargadas de calificar la gravedad de las faltas, así� como de la notificación y ejecución de las medidas de apremio previstas en la Ley Federal de Transparencia y Acceso a la Información Pública. Denuncias penales Artículo 244. En caso de que el incumplimiento de las determinaciones del Instituto

229

implique la presunta comisión de un delito, éste deberá� denunciar los hechos ante la autoridad competente. Sanciones de carácter económico Artículo 245. Las sanciones de carácter económico no podrán ser cubiertas con recursos públicos.

231

C. Responsabilidad proactiva La siguiente tabla presenta el análisis de la LGPDPPSO y demás normatividad aplicable para identificar las disposiciones que regulan el establecimiento del principio de responsabilidad proactiva para los responsables y encargados, según establece el WP 254:

El marco de protección de datos de un tercer país debe obligar a los encargados del tratamiento o a aquellos que realizan el tratamiento de datos en su nombre a cumplirlo y a poder demostrar dicho cumplimiento en particular ante la autoridad de control competente. Estas medidas pueden incluir, por ejemplo, evaluaciones de impacto relativas a la protección de datos, la llevanza de registros de actividades de tratamiento de datos durante un tiempo adecuado, la designación de un delegado de protección de datos o la protección de datos desde el diseño y por defecto.

Lo anterior con fundamento en la LGPDPPSO y demás normatividad aplicable, el RGPD, el C108 y el C108+.

232


C. Medios relativos al procedimiento y la ejecución 3) Responsabilidad proactiva

C. Medios relativos al procedimiento y la

ejecución LGPDPPSO LGPDPSP Otras disposiciones RGPD C108 C108+ Comentarios

Principio general

Artículo 29. El responsable deberá implementar los mecanismos previstos en el artículo 30 de la presente Ley para acreditar el cumplimiento de los principios, deberes y obligaciones establecidos en la presente Ley y rendir cuentas sobre el tratamiento de datos personales en su posesión al titular e Instituto o a los Organismos garantes, según corresponda, caso en el cual deberá observar la Constitución y los Tratados Internacionales en los que el Estado mexicano sea parte; en lo que no se contraponga con la normativa mexicana podrá valerse de estándares o mejores prácticas nacionales o internacionales para tales fines.

Principio de responsabilidad Artículo 46. El responsable deberá� adoptar políticas e implementar mecanismos para asegurar y acreditar el cumplimiento de los principios, deberes y demás obligaciones establecidas en la Ley General y los presentes Lineamientos generales; así� como establecer aquellos mecanismos necesarios para evidenciar dicho cumplimiento ante los titulares y el Instituto. Lo anterior, también resultará aplicable cuando los datos personales sean tratados por parte de un encargado a solicitud del responsable; así� como al momento de realizar transferencias, nacionales o internacionales, de datos personales. Adicionalmente a lo dispuesto en el artículo 30 de la Ley General, en la adopción de las políticas e implementación de mecanismos a que se refiere el presente

No aplica

CAPÍTULO IV Responsable del tratamiento y encargado del tratamiento Sección 1 Obligaciones generales Artículo 24 Responsabilidad del responsable del tratamiento 1. Teniendo en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento así como los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas, el responsable del tratamiento aplicará medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el presente Reglamento. Dichas medidas se revisarán y actualizarán cuando sea necesario. 2. Cuando sean proporcionadas en relación con las actividades de tratamiento, entre las medidas mencionadas en el apartado 1 se incluirá la aplicación,

No aplica

Artículo 10 – Obligaciones adicionales 1. Cada Parte debe establecer que los Responsables y, en su caso, los procesadores, toman todas las medidas apropiadas para cumplir con las obligaciones de este Convenio, además de demostrar que la legislación nacional adoptada es concordante con el Artículo 11, párrafo 3, y en particular, en lo relativo a la Autoridad Supervisora competente prevista en el Artículo 15, así como que el tratamiento de datos bajo su control es acorde a las disposiciones of this Convenio. 2. Cada Parte debe establecer que los Responsables y, en su caso, los procesadores, examinan el posible impacto del tratamiento intencional de datos en los derechos y libertades fundamentales de las personas concernidas de manera previa al inicio de éste, además

Las disposiciones de la normatividad mexicana son congruentes con las previsiones de RGPD.

233

artículo, el responsable deberá� considerar, de manera enunciativa más no limitativa, el desarrollo tecnológico y las técnicas existentes; la naturaleza, contexto, alcance y finalidades del tratamiento de los datos personales; las atribuciones y facultades del responsable y demás cuestiones que considere convenientes. Para el cumplimiento de la presente obligación, el responsable podrá� valerse de estándares, mejores prácticas nacionales o internacionales, esquemas de mejores prácticas, o cualquier otro mecanismo que determine adecuado para tales fines.

por parte del responsable del tratamiento, de las oportunas políticas de protección de datos. 3. La adhesión a códigos de conducta aprobados a tenor del artículo 40 o a un mecanismo de certificación aprobado a tenor del artículo 42 podrán ser utilizados como elementos para demostrar el cumplimiento de las obligaciones por parte del responsable del tratamiento.

de que debe diseñar el tratamiento de datos de manera tal que prevenga o minimice el riesgo de interferencia con esos derechos y libertades fundamentales. 3. Cada Parte debe establecer que los Responsables y, en su caso, los procesadores, implementan medidas técnicas y organizacionales que toman en consideración las implicaciones del derecho a la protección de datos personales en todas las estapas del tratamiento de datos. 4. Cada Parte puede, una vez considerados los riesgos para los intereses, derechos y libertades fundamentales de las personas concernidas, adaptar la aplicación de las provisiones de los párrafos 1, 2 y 3 en la ley que aplica las disposiciones de este Convenio, de acuerdo con la naturaleza y volumen de los datos, la naturaleza, el alcance y el propósito del procesamiento y, de ser el caso, el tamaño del responsable o de los procesadores

Análisis de riesgos (enfoque de riesgos)

Artículo 32. Las medidas de seguridad adoptadas por el responsable deberán considerar:

Ciclo de vida de los datos personales en el inventario de éstos Artículo 59. Aunado a lo dispuesto en el artículo

No aplica

Artículo 32 Seguridad del tratamiento 1. Teniendo en cuenta el estado de la técnica,

No aplica

Artículo 10 – Obligaciones adicionales 1. Cada Parte debe establecer que los


234

I. El riesgo inherente a los datos personales tratados; II. La sensibilidad de los datos personales tratados; III. El desarrollo tecnológico; IV. Las posibles consecuencias de una vulneración para los titulares; V. Las transferencias de datos personales que se realicen; VI. El número de titulares; VII. Las vulneraciones previas ocurridas en los sistemas de tratamiento, y VIII. El riesgo por el valor potencial cuantitativo o cualitativo que pudieran tener los datos personales tratados para una tercera persona no autorizada para su posesión. Artículo 33. Para establecer y mantener las medidas de seguridad para la protección de los datos personales, el responsable deberá realizar, al menos, las siguientes actividades interrelacionadas: I. Crear políticas internas para la gestión y tratamiento de los datos personales, que tomen en cuenta el contexto en el que ocurren los tratamientos

anterior de los presentes Lineamientos generales, en la elaboración del inventario de datos personales el responsable deberá considerar el ciclo de vida de los datos personales conforme lo siguiente: l. La obtención de los datos personales; II. El almacenamiento de los datos personales; III. El uso de los datos personales conforme a su acceso, manejo, aprovechamiento, monitoreo y procesamiento, incluyendo los sistemas físicos y/o electrónicos utilizados para tal fin; IV.La divulgación de los datos personales considerando las remisiones y transferencias que, en su caso, se efectúen; V. El bloqueo de los datos personales, en su caso, y VI. La cancelación, supresión o destrucción de los datos personales. El responsable deberá identificar el riesgo inherente de los datos personales, contemplando su ciclo de vida y los activos involucrados en su tratamiento, como podrían ser hardware, software, personal, o cualquier otro recurso humano o material que

los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya, entre otros: a) lla seudonimización y el cifrado de datos personales; b) la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento; c) la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico; d) un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento. 2. Al evaluar la adecuación del nivel de seguridad

Responsables y, en su caso, los procesadores, toman todas las medidas apropiadas para cumplir con las obligaciones de este Convenio, además de demostrar que la legislación nacional adoptada es concordante con el Artículo 11, párrafo 3, y en particular, en lo relativo a la Autoridad Supervisora competente prevista en el Artículo 15, así como que el tratamiento de datos bajo su control es acorde a las disposiciones de este Convenio. 2. Cada Parte debe establecer que los Responsables y, en su caso, los procesadores, examinan el posible impacto del tratamiento intencional de datos en los derechos y libertades fundamentales de las personas concernidas de manera previa al inicio de éste, además de que debe diseñar el tratamiento de datos de manera tal que prevenga o minimice el riesgo de interferencia con esos derechos y libertades fundamentales. 3. Cada Parte debe establecer que los Responsables y, en su caso, los procesadores, implementan medidas

235

y el ciclo de vida de los datos personales, es decir, su obtención, uso y posterior supresión; II. Definir las funciones y obligaciones del personal involucrado en el tratamiento de datos personales; III. Elaborar un inventario de datos personales y de los sistemas de tratamiento; IV. Realizar un análisis de riesgo de los datos personales, considerando las amenazas y vulnerabilidades existentes para los datos personales y los recursos involucrados en su tratamiento, como pueden ser, de manera enunciativa más no limitativa, hardware, software, personal del responsable, entre otros; V. Realizar un análisis de brecha, comparando las medidas de seguridad existentes contra las faltantes en la organización del responsable; VI. Elaborar un plan de trabajo para la implementación de las medidas de seguridad faltantes, así como las medidas para el cumplimiento cotidiano de las políticas de gestión y tratamiento de los datos personales; VII. Monitorear y revisar de manera periódica las

resulte pertinente considerar. Análisís de ríesgos Artículo 60. Para dar cumplimiento al artículo 33, fraccíón IV de la Ley General, el responsable deberá realizar un análísis de riesgos de los datos personales tratados considerando lo siguiente: I. Los requerimientos regulatorios, códigos de conducta o mejores prácticas de un sector específico; II. El valor de los datos personales de acuerdo a su clasificación previamente definida y su ciclo de vida; III. El valor y exposición de los activos involucrados en el tratamiento de los datos personales; IV. Las consecuencias negativas para los titulares que pudieran derivar de una vulneración de seguridad ocurrida, y V. Los factores previstos en el artículo 32 de la Ley General.

se tendrán particularmente en cuenta los riesgos que presente el tratamiento de datos, en particular como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos. 3. La adhesión a un código de conducta aprobado a tenor del artículo 40 o a un mecanismo de certificación aprobado a tenor del artículo 42 podrá servir de elemento para demostrar el cumplimiento de los requisitos establecidos en el apartado 1 del presente artículo. 4. El responsable y el encargado del tratamiento tomarán medidas para garantizar que cualquier persona que actúe bajo la autoridad del responsable o del encargado y tenga acceso a datos personales solo pueda tratar dichos datos siguiendo instrucciones del responsable, salvo que esté obligada a ello en virtud del Derecho de la Unión o de los Estados miembros.

técnicas y organizacionales que toman en consideración las implicaciones del derecho a la protección de datos personales en todas las etapas del tratamiento de datos. 4. Cada Parte puede, una vez considerados los riesgos para los intereses, derechos y libertades fundamentales de las personas concernidas, adaptar la aplicación de las provisiones de los párrafos 1, 2 y 3 en la ley que aplica las disposiciones de este Convenio, de acuerdo con la naturaleza y volumen de los datos, la naturaleza, el alcance y el propósito del procesamiento y, de ser el caso, el tamaño del responsable o de los procesadores

236

medidas de seguridad implementadas, así como las amenazas y vulneraciones a las que están sujetos los datos personales, y VIII. Diseñar y aplicar diferentes niveles de capacitación del personal bajo su mando, dependiendo de sus roles y responsabilidades respecto del tratamiento de los datos personales. Artículo 35. De manera particular, el responsable deberá elaborar un documento de seguridad que contenga, al menos, lo siguiente: I. El inventario de datos personales y de los sistemas de tratamiento; II. Las funciones y obligaciones de las personas que traten datos personales; III. El análisis de riesgos; IV. El análisis de brecha; V. El plan de trabajo; VI. Los mecanismos de monitoreo y revisión de las medidas de seguridad, y VII. El programa general de capacitación. Artículo 36. El responsable deberá actualizar el documento de seguridad cuando ocurran los siguientes eventos:

237

I. Se produzcan modificaciones sustanciales al tratamiento de datos personales que deriven en un cambio en el nivel de riesgo; II. Como resultado de un proceso de mejora continua, derivado del monitoreo y revisión del sistema de gestión; III. Como resultado de un proceso de mejora para mitigar el impacto de una vulneración a la seguridad ocurrida, y IV. Implementación de acciones correctivas y preventivas ante una vulneración de seguridad.

Registro de actividades del tratamiento

Artículo 33. Para establecer y mantener las medidas de seguridad para la protección de los datos personales, el responsable deberá realizar, al menos, las siguientes actividades interrelacionadas: I. Crear políticas internas para la gestión y tratamiento de los datos personales, que tomen en cuenta el contexto en el que ocurren los tratamientos y el ciclo de vida de los datos personales, es decir, su obtención, uso y posterior supresión; II. Definir las funciones y obligaciones del personal involucrado en

Inventario de datos personales Artículo 58. Con relación a lo previsto en el articulo 33, fracción 111 de la Ley General, el responsable deberá� elaborar un inventario con la información básica de cada tratamiento de datos personales, considerando, al menos, los siguientes elementos: l. El catálogo de medios físicos y electrónicos a través de los cuales se obtienen los datos personales; II. Las finalidades de cada tratamiento de datos personales; III. El catálogo de los

No aplica

Artículo 30 Registro de las actividades de tratamiento 1. Cada responsable y, en su caso, su representante llevarán un registro de las actividades de tratamiento efectuadas bajo su responsabilidad. Dicho registro deberá contener toda la información indicada a continuación: a) el nombre y los datos de contacto del responsable y, en su caso, del corresponsable, del representante del responsable, y del delegado de protección de datos;

No aplica

Artículo 10 – Obligaciones adicionales 1. Cada Parte debe establecer que los Responsables y, en su caso, los procesadores, toman todas las medidas apropiadas para cumplir con las obligaciones de este Convenio, además de demostrar que la legislación nacional adoptada es concordante con el Artículo 11, párrafo 3, y en particular, en lo relativo a la Autoridad Supervisora competente prevista en el Artículo 15, así como que el tratamiento de datos bajo su control es

La LGPDPPSO no obliga a contar con un registro de medios de tratamiento sino con un inventario de datos personales. Esta obligación debe hacerse extensible al encargado.

238

el tratamiento de datos personales; III. Elaborar un inventario de datos personales y de los sistemas de tratamiento; IV. Realizar un análisis de riesgo de los datos personales, considerando las amenazas y vulnerabilidades existentes para los datos personales y los recursos involucrados en su tratamiento, como pueden ser, de manera enunciativa más no limitativa, hardware, software, personal del responsable, entre otros; V. Realizar un análisis de brecha, comparando las medidas de seguridad existentes contra las faltantes en la organización del responsable; VI. Elaborar un plan de trabajo para la implementación de las medidas de seguridad faltantes, así como las medidas para el cumplimiento cotidiano de las políticas de gestión y tratamiento de los datos personales; VII. Monitorear y revisar de manera periódica las medidas de seguridad implementadas, así como las amenazas y vulneraciones a las que están sujetos los datos

tipos de datos personales que se traten, indicando si son sensibles o no; IV. El catálogo de formatos de almacenamiento, así� como la descripción general de la ubicación física y/o electrónica de los datos personales; V. La lista de servidores públicos que tienen acceso a los sistemas de tratamiento; VI. En su caso, el nombre completo o denominación o razón social del encargado y el instrumento jurídico que formaliza la prestación de los servicios que brinda al responsable, y VII. En su caso, los destinatarios o terceros receptores de las transferencias que se efectúen, así� como las finalidades que justifican éstas.

b) los fines del tratamiento; c) una descripción de las categorías de interesados y de las categorías de datos personales; d) las categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales, incluidos los destinatarios en terceros países u organizaciones internacionales; e) en su caso, las transferencias de datos personales a un tercer país o una organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el artículo 49, apartado 1, párrafo segundo, la documentación de garantías adecuadas; f) cuando sea posible, los plazos previstos para la supresión de las diferentes categorías de datos; g) cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad a que se refiere el artículo 32, apartado 1. 2. Cada encargado y, en su caso, el representante del encargado, llevará un

acorde a las disposiciones de este Convenio. 2. Cada Parte debe establecer que los Responsables y, en su caso, los procesadores, examinan el posible impacto del tratamiento intencional de datos en los derechos y libertades fundamentales de las personas concernidas de manera previa al inicio de éste, además de que debe diseñar el tratamiento de datos de manera tal que prevenga o minimice el riesgo de interferencia con esos derechos y libertades fundamentales. 3. Cada Parte debe establecer que los Responsables y, en su caso, los procesadores, implementan medidas técnicas y organizacionales que toman en consideración las implicaciones del derecho a la protección de datos personales en todas las etapas del tratamiento de datos. 4. Cada Parte puede, una vez considerados los riesgos para los intereses, derechos y libertades fundamentales de las personas concernidas, adaptar la aplicación de las provisiones de los párrafos 1, 2 y 3 en la ley que aplica las

239

personales, y VIII. Diseñar y aplicar diferentes niveles de capacitación del personal bajo su mando, dependiendo de sus roles y responsabilidades respecto del tratamiento de los datos personales.

registro de todas las categorías de actividades de tratamiento efectuadas por cuenta de un responsable que contenga: a) el nombre y los datos de contacto del encargado o encargados y de cada responsable por cuenta del cual actúe el encargado, y, en su caso, del representante del responsable o del encargado, y del delegado de protección de datos; b) las categorías de tratamientos efectuados por cuenta de cada responsable; c) en su caso, las transferencias de datos personales a un tercer país u organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el artículo 49, apartado 1, párrafo segundo, la documentación de garantías adecuadas; d) cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad a que se refiere el artículo 30, apartado 1. 3. Los registros a que se refieren los

disposiciones de este Convenio, de acuerdo con la naturaleza y volumen de los datos, la naturaleza, el alcance y el propósito del procesamiento y, de ser el caso, el tamaño del responsable o de los procesadores

240

apartados 1 y 2 constarán por escrito, inclusive en formato electrónico. 4. El responsable o el encargado del tratamiento y, en su caso, el representante del responsable o del encargado pondrán el registro a disposición de la autoridad de control que lo solicite. 5. Las obligaciones indicadas en los apartados 1 y 2 no se aplicarán a ninguna empresa ni organización que emplee a menos de 250 personas, a menos que el tratamiento que realice pueda entrañar un riesgo para los derechos y libertades de los interesados, no sea ocasional, o incluya categorías especiales de datos personales indicadas en el artículo 9, apartado 1, o datos personales relativos a condenas e infracciones penales a que se refiere el artículo 10.

Protección de datos desde el diseño

Artículo 30. Entre los mecanismos que deberá adoptar el responsable para cumplir con el principio de responsabilidad establecido en la presente Ley están, al menos, los siguientes: I. Destinar recursos

Protección de datos personales por diseño Articulo 51. Para el cumplimiento de lo dispuesto en el articulo 30, fracción VII de la Ley General, el responsable deberá� aplicar medidas de carácter administrativo,

No aplica

Artículo 25 Protección de datos desde el diseño y por defecto 1. Teniendo en cuenta el estado de la técnica, el coste de la aplicación y la naturaleza, ámbito, contexto y fines del tratamiento, así como

No aplica

Artículo 10 – Obligaciones adicionales 1. Cada Parte debe establecer que los Responsables y, en su caso, los procesadores, toman todas las medidas apropiadas para cumplir con las


241

autorizados para tal fin para la instrumentación de programas y políticas de protección de datos personales; II. Elaborar políticas y programas de protección de datos personales, obligatorios y exigibles al interior de la organización del responsable; III. Poner en práctica un programa de capacitación y actualización del personal sobre las obligaciones y demás deberes en materia de protección de datos personales; IV. Revisar periódicamente las políticas y programas de seguridad de datos personales para determinar las modificaciones que se requieran; V. Establecer un sistema de supervisión y vigilancia interna y/o externa, incluyendo auditorías, para comprobar el cumplimiento de las políticas de protección de datos personales; VI. Establecer procedimientos para recibir y responder dudas y quejas de los titulares; VII. Diseñar, desarrollar e implementar sus políticas públicas, programas, servicios,

técnico, físico u otras de cualquier naturaleza que, desde el diseño, le permitan aplicar de forma efectiva el cumplimiento de los principios, deberes y demás obligaciones previstas en la Ley General y los presentes Lineamientos generales, en sus políticas, programas, servicios, sistemas o plataformas informáticas, aplicaciones electrónicas o cualquier otra tecnología que implique el tratamiento de datos personales. Lo anterior, considerando los avances tecnológicos, los costos de implementación, la naturaleza, el ámbito, el contexto y los fines del tratamiento de los datos personales, los riesgos de diversa probabilidad y gravedad que entraña éste para el derecho a la protección de datos personales de los titulares, así como otros factores que considere relevantes el responsable.

los riesgos de diversa probabilidad y gravedad que entraña el tratamiento para los derechos y libertades de las personas físicas, el responsable del tratamiento aplicará, tanto en el momento de determinar los medios de tratamiento como en el momento del propio tratamiento, medidas técnicas y organizativas apropiadas, como la seudonimización, concebidas para aplicar de forma efectiva los principios de protección de datos, como la minimización de datos, e integrar las garantías necesarias en el tratamiento, a fin de cumplir los requisitos del presente Reglamento y proteger los derechos de los interesados. 2. El responsable del tratamiento aplicará las medidas técnicas y organizativas apropiadas con miras a garantizar que, por defecto, solo sean objeto de tratamiento los datos personales que sean necesarios para cada uno de los fines específicos del tratamiento. Esta obligación se aplicará a la cantidad de datos personales recogidos, a la extensión de su tratamiento, a su plazo de conservación y a su

obligaciones de este Convenio, además de demostrar que la legislación nacional adoptada es concordante con el Artículo 11, párrafo 3, y en particular, en lo relativo a la Autoridad Supervisora competente prevista en el Artículo 15, así como que el tratamiento de datos bajo su control es acorde a las disposiciones de este Convenio. 2. Cada Parte debe establecer que los Responsables y, en su caso, los procesadores, examinan el posible impacto del tratamiento intencional de datos en los derechos y libertades fundamentales de las personas concernidas de manera previa al inicio de éste, además de que debe diseñar el tratamiento de datos de manera tal que prevenga o minimice el riesgo de interferencia con esos derechos y libertades fundamentales. 3. Cada Parte debe establecer que los Responsables y, en su caso, los procesadores, implementan medidas técnicas y organizacionales que toman en consideración las implicaciones del derecho a la protección

242

sistemas o plataformas informáticas, aplicaciones electrónicas o cualquier otra tecnología que implique el tratamiento de datos personales, de conformidad con las disposiciones previstas en la presente Ley y las demás que resulten aplicables en la materia, y VIII. Garantizar que sus políticas públicas, programas, servicios, sistemas o plataformas informáticas, aplicaciones electrónicas o cualquier otra tecnología que implique el tratamiento de datos personales, cumplan por defecto con las obligaciones previstas en la presente Ley y las demás que resulten aplicables en la materia.

accesibilidad. Tales medidas garantizarán en particular que, por defecto, los datos personales no sean accesibles, sin la intervención de la persona, a un número indeterminado de personas físicas. 3. Podrá utilizarse un mecanismo de certificación aprobado con arreglo al artículo 42 como elemento que acredite el cumplimiento de las obligaciones establecidas en los apartados 1 y 2 del presente artículo.

de datos personales en todas las etapas del tratamiento de datos. 4. Cada Parte puede, una vez considerados los riesgos para los intereses, derechos y libertades fundamentales de las personas concernidas, adaptar la aplicación de las provisiones de los párrafos 1, 2 y 3 en la ley que aplica las disposiciones de este Convenio, de acuerdo con la naturaleza y volumen de los datos, la naturaleza, el alcance y el propósito del procesamiento y, de ser el caso, el tamaño del responsable o de los procesadores

Protección de datos por defecto

Artículo 30. Entre los mecanismos que deberá adoptar el responsable para cumplir con el principio de responsabilidad establecido en la presente Ley están, al menos, los siguientes: I. Destinar recursos autorizados para tal fin para la instrumentación de programas y políticas de protección de datos personales; II. Elaborar políticas y programas de

Protección de datos personales por defecto Articulo 52. Para el cumplimiento de lo dispuesto en el artículo 30, fracción VIII de la Ley General, el responsable deberá� aplicar medidas técnicas y organizativas apropiadas y orientadas a garantizar que, por defecto, sólo sean objeto de tratamiento los datos personales estrictamente necesarios para cada

No aplica

Artículo 25 Protección de datos desde el diseño y por defecto 1. Teniendo en cuenta el estado de la técnica, el coste de la aplicación y la naturaleza, ámbito, contexto y fines del tratamiento, así como los riesgos de diversa probabilidad y gravedad que entraña el tratamiento para los derechos y libertades de las personas físicas, el responsable del

No aplica

Artículo 10 – Obligaciones adicionales 1. Cada Parte debe establecer que los Responsables y, en su caso, los procesadores, toman todas las medidas apropiadas para cumplir con las obligaciones de este Convenio, además de demostrar que la legislación nacional adoptada es concordante con el Artículo 11, párrafo 3, y


243

protección de datos personales, obligatorios y exigibles al interior de la organización del responsable; III. Poner en práctica un programa de capacitación y actualización del personal sobre las obligaciones y demás deberes en materia de protección de datos personales; IV. Revisar periódicamente las políticas y programas de seguridad de datos personales para determinar las modificaciones que se requieran; V. Establecer un sistema de supervisión y vigilancia interna y/o externa, incluyendo auditorías, para comprobar el cumplimiento de las políticas de protección de datos personales; VI. Establecer procedimientos para recibir y responder dudas y quejas de los titulares; VII. Diseñar, desarrollar e implementar sus políticas públicas, programas, servicios, sistemas o plataformas informáticas, aplicaciones electrónicas o cualquier otra tecnología que implique el tratamiento de datos personales, de conformidad con las

uno de los fines específicos del tratamiento. Lo anterior, resultará aplicable, de manera enunciativa más no limitativa, a la cantidad de datos personales recabados, al alcance del tratamiento, el plazo de conservación de los datos personales, ente otros factores que considere relevantes el responsable.

tratamiento aplicará, tanto en el momento de determinar los medios de tratamiento como en el momento del propio tratamiento, medidas técnicas y organizativas apropiadas, como la seudonimización, concebidas para aplicar de forma efectiva los principios de protección de datos, como la minimización de datos, e integrar las garantías necesarias en el tratamiento, a fin de cumplir los requisitos del presente Reglamento y proteger los derechos de los interesados. 2. El responsable del tratamiento aplicará las medidas técnicas y organizativas apropiadas con miras a garantizar que, por defecto, solo sean objeto de tratamiento los datos personales que sean necesarios para cada uno de los fines específicos del tratamiento. Esta obligación se aplicará a la cantidad de datos personales recogidos, a la extensión de su tratamiento, a su plazo de conservación y a su accesibilidad. Tales medidas garantizarán en particular que, por defecto, los datos personales no sean accesibles, sin la intervención de la

en particular, en lo relativo a la Autoridad Supervisora competente prevista en el Artículo 15, así como que el tratamiento de datos bajo su control es acorde a las disposiciones of this Convenio. 2. Cada Parte debe establecer que los Responsables y, en su caso, los procesadores, examinan el posible impacto del tratamiento intencional de datos en los derechos y libertades fundamentales de las personas concernidas de manera previa al inicio de éste, además de que debe diseñar el tratamiento de datos de manera tal que prevenga o minimice el riesgo de interferencia con esos derechos y libertades fundamentales. 3. Cada Parte debe establecer que los Responsables y, en su caso, los procesadores, implementan medidas técnicas y organizacionales que toman en consideración las implicaciones del derecho a la protección de datos personales en todas las estapas del tratamiento de datos. 4. Cada Parte puede, una vez considerados los riesgos para los intereses, derechos y

244

disposiciones previstas en la presente Ley y las demás que resulten aplicables en la materia, y VIII. Garantizar que sus políticas públicas, programas, servicios, sistemas o plataformas informáticas, aplicaciones electrónicas o cualquier otra tecnología que implique el tratamiento de datos personales, cumplan por defecto con las obligaciones previstas en la presente Ley y las demás que resulten aplicables en la materia.

persona, a un número indeterminado de personas físicas. 3. Podrá utilizarse un mecanismo de certificación aprobado con arreglo al artículo 42 como elemento que acredite el cumplimiento de las obligaciones establecidas en los apartados 1 y 2 del presente artículo.

libertades fundamentales de las personas concernidas, adaptar la aplicación de las provisiones de los párrafos 1, 2 y 3 en la ley que aplica las disposiciones de este Convenio, de acuerdo con la naturaleza y volumen de los datos, la naturaleza, el alcance y el propósito del procesamiento y, de ser el caso, el tamaño del responsable o de los procesadores

Notificacación de vulneraciones de seguridad

Artículo 37. En caso de que ocurra una vulneración a la seguridad, el responsable deberá analizar las causas por las cuales se presentó e implementar en su plan de trabajo las acciones preventivas y correctivas para adecuar las medidas de seguridad y el tratamiento de los datos personales si fuese el caso a efecto de evitar que la vulneración se repita. Artículo 38. Además de las que señalen las leyes respectivas y la normatividad aplicable, se considerarán como vulneraciones de

Plazo para notificar las vulneraciones de seguridad Artículo 66. De conformidad con lo dispuesto en el articulo 40 de la Ley General, el responsable deberá notificar al titular y al Instituto las vulneraciones de seguridad que de forma significativa afecten los derechos patrimoniales o morales del titular dentro en un plazo máximo de setenta y dos horas, a partir de que confirme la ocurrencia de éstas y el responsable haya empezado a tomar las acciones encaminadas a detonar un proceso de mitigación de la

No aplica

Artículo 33 Notificación de una violación de la seguridad de los datos personales a la autoridad de control 1. En caso de violación de la seguridad de los datos personales, el responsable del tratamiento la notificará a la autoridad de control competente de conformidad con el artículo 55 sin dilación indebida y, de ser posible, a más tardar 72 horas después de que haya tenido constancia de ella, a menos que sea improbable que dicha violación de la seguridad constituya un riesgo para los

No aplica

Artículo 10 – Obligaciones adicionales 1. Cada Parte debe establecer que los Responsables y, en su caso, los procesadores, toman todas las medidas apropiadas para cumplir con las obligaciones de este Convenio, además de demostrar que la legislación nacional adoptada es concordante con el Artículo 11, párrafo 3, y en particular, en lo relativo a la Autoridad Supervisora competente prevista en el Artículo 15, así como que el tratamiento de datos bajo su control es acorde a las

Las disposiciones de la normatividad mexicana son congruentes con las previsiones de RGPD de forma parcial, ya que no se establece la posibilidad de que la autoridad obligue al responsable a notificar una vulneración que ponga en riesgo los derechos y libertades de los titulares.

245

seguridad, en cualquier fase del tratamiento de datos, al menos, las siguientes: I. La pérdida o destrucción no autorizada; II. El robo, extravío o copia no autorizada; III. El uso, acceso o tratamiento no autorizado, o IV. El daño, la alteración o modificación no autorizada. Artículo 39. El responsable deberá llevar una bitácora de las vulneraciones a la seguridad en la que se describa ésta, la fecha en la que ocurrió, el motivo de ésta y las acciones correctivas implementadas de forma inmediata y definitiva. Artículo 40. El responsable deberá informar sin dilación alguna al titular, y según corresponda, al Instituto y a los Organismos garantes de las Entidades Federativas, las vulneraciones que afecten de forma significativa los derechos patrimoniales o morales, en cuanto se confirme que ocurrió la vulneración y que el responsable haya empezado a tomar las acciones encaminadas a detonar un proceso de revisión exhaustiva de la

afectación. El plazo a que se refiere el párrafo anterior, comenzará a correr el mismo dia natural en que el responsable confirme la vulneración de seguridad. Para efectos del presente articulo, se entenderá que se afectan los derechos patrimoniales del titular cuando la vulneración esté relacionada, de manera enunciativa más no limitativa, con sus bienes muebles e inmuebles, información fiscal, historial crediticio, ingresos y egresos, cuentas bancarias, seguros, afores, fianzas, servicios contratados o las cantidades o porcentajes relacionados con la situación económica del titular. Para los efectos del presente artículo, se entenderá que se afectan los derechos morales del titular cuando la vulneración esté relacionada, de manera enunciativa más no limitativa, con sus sentimientos, afectos, creencias, decoro, honor, reputacíón, vida privada, configuración y aspecto físicos, consideración que de sí mismo tienen los demás, o cuando se menoscabe ilegítimamente la

derechos y las libertades de las personas físicas. Si la notificación a la autoridad de control no tiene lugar en el plazo de 72 horas, deberá ir acompañada de indicación de los motivos de la dilación. 2. El encargado del tratamiento notificará sin dilación indebida al responsable del tratamiento las violaciones de la seguridad de los datos personales de las que tenga conocimiento. 3. La notificación contemplada en el apartado 1 deberá, como mínimo: a) describir la naturaleza de la violación de la seguridad de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados; b) comunicar el nombre y los datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información; c) describir las posibles consecuencias de la violación de la seguridad de los datos

disposiciones de este Convenio. 2. Cada Parte debe establecer que los Responsables y, en su caso, los procesadores, examinan el posible impacto del tratamiento intencional de datos en los derechos y libertades fundamentales de las personas concernidas de manera previa al inicio de éste, además de que debe diseñar el tratamiento de datos de manera tal que prevenga o minimice el riesgo de interferencia con esos derechos y libertades fundamentales. 3. Cada Parte debe establecer que los Responsables y, en su caso, los procesadores, implementan medidas técnicas y organizacionales que toman en consideración las implicaciones del derecho a la protección de datos personales en todas las etapas del tratamiento de datos. 4. Cada Parte puede, una vez considerados los riesgos para los intereses, derechos y libertades fundamentales de las personas concernidas, adaptar la aplicación de las provisiones de los párrafos 1, 2 y 3 en la ley que aplica las disposiciones de este

246

magnitud de la afectación, a fin de que los titulares afectados puedan tomar las medidas correspondientes para la defensa de sus derechos. Artículo 41. El responsable deberá informar al titular al menos lo siguiente: I. La naturaleza del incidente; II. Los datos personales comprometidos; III.Las recomendaciones al titular acerca de las medidas que éste pueda adoptar para proteger sus intereses; IV. Las acciones correctivas realizadas de forma inmediata, y V. Los medios donde puede obtener más información al respecto.

libertad o la integridad física o psíquica de éste. Notificación de las vulneraciones de seguridad al Instituto Artículo 67. En la notificación a que se refiere el artículo anterior, el responsable deberá informar mediante escrito presentado en el domicilio del Instituto, o bien, a través de cualquier otro medio que se habilite para tal efecto, al menos, lo siguiente: l. La hora y fecha de la identificación de la vulneración; II. La hora y fecha del inicio de la investigación sobre la vulneración; III. La naturaleza del incidente ovulneración ocurrida; IV. La descripción detallada de las circunstancias en torno a la vulneración ocurrida; V. Las categorias y número aproximado de titulares afectados; VI. Los sistemas de tratamiento y datos personales comprometidos; VII. Las acciones correctivas realizadas de forma inmediata; VIII.La descripción de las posibles consecuencias de la vulneración de

personales; d) describir las medidas adoptadas o propuestas por el responsable del tratamiento para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos. 4. Si no fuera posible facilitar la información simultáneamente, y en la medida en que no lo sea, la información se facilitará de manera gradual sin dilación indebida. 5. El responsable del tratamiento documentará cualquier violación de la seguridad de los datos personales, incluidos los hechos relacionados con ella, sus efectos y las medidas correctivas adoptadas. Dicha documentación permitirá a la autoridad de control verificar el cumplimiento de lo dispuesto en el presente artículo. Artículo 34 Comunicación de una violación de la seguridad de los datos personales al interesado 1. Cuando sea probable que la violación de la seguridad de los datos personales entrañe un alto riesgo para los

Convenio, de acuerdo con la naturaleza y volumen de los datos, la naturaleza, el alcance y el propósito del procesamiento y, de ser el caso, el tamaño del responsable o de los procesadores

247

seguridad ocurrida; IX. Las recomendaciones dirigidas al titular; X. El medio puesto a disposición del titular para que pueda obtener mayor información al respecto; XI. El nombre completo de la o las personas designadas y sus datos de contacto, para que puedan proporcionar mayor información al Instituto, en caso de requerirse, y XII.Cualquier otra información y documentación que considere conveniente hacer del conocimiento del Instituto. Notificación de las vulneraciones de seguridad al titular Articulo 68. En la notificación que realice el responsable al titular sobre las vulneraciones de seguridad a que se refieren los articulos 40 de la Ley General y 66 de los presentes Lineamientos generales deberá informar, al menos, lo siguiente: I. La naturaleza del incidente o vulneración ocurrida; II. Los datos personales comprometidos; III.Las recomendaciones dirigidas al titular sobre las medidas que éste pueda adoptar para proteger sus intereses;

derechos y libertades de las personas físicas, el responsable del tratamiento la comunicará al interesado sin dilación indebida. 2. La comunicación al interesado contemplada en el apartado 1 del presente artículo describirá en un lenguaje claro y sencillo la naturaleza de la violación de la seguridad de los datos personales y contendrá como mínimo la información y las medidas a que se refiere el artículo 33, apartado 3, letras b), c) y d). 3. La comunicación al interesado a que se refiere el apartado 1 no será necesaria si se cumple alguna de las condiciones siguientes: a) el responsable del tratamiento ha adoptado medidas de protección técnicas y organizativas apropiadas y estas medidas se han aplicado a los datos personales afectados por la violación de la seguridad de los datos personales, en particular aquellas que hagan ininteligibles los datos personales para cualquier persona que no esté autorizada a acceder a ellos, como el cifrado; b) el responsable del

248

IV. Las acciones correctivas realizadas de forma inmediata; V. Los medios puestos a disposición del titular para que pueda obtener mayor información al respecto; VI. La descripción de las circunstancias generales en torno a la vulneración ocurrida, que ayuden al titular a entender el impacto del incidente, y VII. Cualquier otra información y documentación que considere conveniente para apoyar a los titulares. El responsable deberá notificar directamente al titular la información a que se refieren las fracciones anteriores a través de los medios que establezca para tal fin. Para seleccionar y definir los medios de comunicación, el responsable deberá considerar el perfil de los titulares, la forma en que mantiene contacto o comunicación con éstos, que sean gratuitos; de fácil acceso; con la mayor cobertura posible y que estén debidamente habilitados y disponibles en todo momento para el titular.

tratamiento ha tomado medidas ulteriores que garanticen que ya no exista la probabilidad de que se concretice el alto riesgo para los derechos y libertades del interesado a que se refiere el apartado 1; c) suponga un esfuerzo desproporcionado. En este caso, se optará en su lugar por una comunicación pública o una medida semejante por la que se informe de manera igualmente efectiva a los interesados. 4. Cuando el responsable todavía no haya comunicado al interesado la violación de la seguridad de los datos personales, la autoridad de control, una vez considerada la probabilidad de que tal violación entrañe un alto riesgo, podrá exigirle que lo haga o podrá decidir que se cumple alguna de las condiciones mencionadas en el apartado 3.

Evaluaciones de Artículo 74. Cuando el Las Disposiciones No aplica Artículo 35 No aplica Artículo 10 – Las disposiciones de la

249

Impacto en la Protección de Datos (EIPD)

responsable pretenda poner en operación o modificar políticas públicas, sistemas o plataformas informáticas, aplicaciones electrónicas o cualquier otra tecnología que a su juicio y de conformidad con esta Ley impliquen el tratamiento intensivo o relevante de datos personales, deberá realizar una Evaluación de impacto en la protección de datos personales, y presentarla ante el Instituto o los Organismos garantes, según corresponda, los cuales podrán emitir recomendaciones no vinculantes especializadas en la materia de protección de datos personales. El contenido de la evaluación de impacto a la protección de datos personales deberá determinarse por el Sistema Nacional de Transparencia, Acceso a la Información Pública y Protección de Datos Personales. Artículo 75. Para efectos de esta Ley se considerará que se está en presencia de un tratamiento intensivo o relevante de datos personales cuando: I. Existan riesgos inherentes a los datos

administrativas de carácter general para la elaboración, presentación y valoración de evaluaciones de impacto en la protección de datos personales establecen los requisitos para la EIPD y señala que debe cumplir contener: I. La descripción de la política pública, programa, sistema o plataforma informática, aplicación electrónica o cualquier otra tecnología que implique un tratamiento intensivo o relevante de datos personales que pretenda poner en operación o modificar; II. La justificación de la necesidad de implementar o modificar la política pública, programa, sistema o plataforma informática, aplicación electrónica o cualquier otra tecnología que implique un tratamiento intensivo o relevante de datos personales; III. La representación del ciclo de vida de los datos personales a tratar; IV. La identificación, análisis y descripción de la gestión de los riesgos inherentes para la protección de los datos personales; V. El análisis de cumplimiento normativo

Evaluación de impacto relativa a la protección de datos 1. Cuando sea probable que un tipo de tratamiento, en particular si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento realizará, antes del tratamiento, una evaluación del impacto de las operaciones de tratamiento en la protección de datos personales. Una única evaluación podrá abordar una serie de operaciones de tratamiento similares que entrañen altos riesgos similares. 2. El responsable del tratamiento recabará el asesoramiento del delegado de protección de datos, si ha sido nombrado, al realizar la evaluación de impacto relativa a la protección de datos. 3. La evaluación de impacto relativa a la protección de los datos a que se refiere el apartado 1 se requerirá en particular en caso de: a)evaluación sistemática y exhaustiva de aspectos personales

Obligaciones adicionales 1. Cada Parte debe establecer que los Responsables y, en su caso, los procesadores, toman todas las medidas apropiadas para cumplir con las obligaciones de este Convenio, además de demostrar que la legislación nacional adoptada es concordante con el Artículo 11, párrafo 3, y en particular, en lo relativo a la Autoridad Supervisora competente prevista en el Artículo 15, así como que el tratamiento de datos bajo su control es acorde a las disposiciones of this Convenio. 2. Cada Parte debe establecer que los Responsables y, en su caso, los procesadores, examinan el posible impacto del tratamiento intencional de datos en los derechos y libertades fundamentales de las personas concernidas de manera previa al inicio de éste, además de que debe diseñar el tratamiento de datos de manera tal que prevenga o minimice el riesgo de interferencia con esos derechos y libertades fundamentales. 3. Cada Parte debe

normatividad mexicana son congruentes con las previsiones de RGPD.

250

personales a tratar; II. Se traten datos personales sensibles, y III. Se efectúen o pretendan efectuar transferencias de datos personales. Artículo 76. El Sistema Nacional podrá emitir criterios adicionales con sustento en parámetros objetivos que determinen que se está en presencia de un tratamiento intensivo o relevante de datos personales, de conformidad con lo dispuesto en el artículo anterior, en función de: I. El número de titulares; II. El público objetivo; III. El desarrollo de la tecnología utilizada, y IV. La relevancia del tratamiento de datos personales en atención al impacto social o, económico del mismo, o bien, del interés público que se persigue. Artículo 77. Los sujetos obligados que realicen una Evaluación de impacto en la protección de datos personales, deberán presentarla ante el Instituto o los Organismos garantes, según corresponda, treinta días anteriores a la fecha en que se pretenda poner en operación o modificar políticas públicas, sistemas o plataformas

en materia de protección de datos personales de conformidad con la Ley General o las legislaciones estatales en la materia y demás disposiciones aplicables; VI. Los resultados de la o las consultas externas que, en su caso, se efectúen; VII. La opinión técnica del oficial de protección de datos personales respecto del tratamiento intensivo o relevante de datos personales que implique la política pública, programa, sistema o plataforma informática, aplicación electrónica o cualquier otra tecnología, en su caso, y VIII. Cualquier otra información o documentos que considere conveniente hacer del conocimiento del Instituto o los organismos garantes en función de la política pública, programa, sistema o plataforma informática, aplicación electrónica o cualquier otra tecnología que implique un tratamiento intensivo o relevante de datos personales y que pretenda poner en operación o modificar. Los LGPDPSP señalan

de personas físicas que se base en un tratamiento automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente de modo similar; b) tratamiento a gran escala de las categorías especiales de datos a que se refiere el artículo 9, apartado 1, o de los datos personales relativos a condenas e infracciones penales a que se refiere el artículo 10, o c)observación sistemática a gran escala de una zona de acceso público. 4. La autoridad de control establecerá y publicará una lista de los tipos de operaciones de tratamiento que requieran una evaluación de impacto relativa a la protección de datos de conformidad con el apartado 1. La autoridad de control comunicará esas listas al Comité a que se refiere el artículo 68. 5. La autoridad de control podrá asimismo establecer y publicar la lista de los tipos de tratamiento que no requieren evaluaciones

establecer que los Responsables y, en su caso, los procesadores, implementan medidas técnicas y organizacionales que toman en consideración las implicaciones del derecho a la protección de datos personales en todas las estapas del tratamiento de datos. 4. Cada Parte puede, una vez considerados los riesgos para los intereses, derechos y libertades fundamentales de las personas concernidas, adaptar la aplicación de las provisiones de los párrafos 1, 2 y 3 en la ley que aplica las disposiciones de este Convenio, de acuerdo con la naturaleza y volumen de los datos, la naturaleza, el alcance y el propósito del procesamiento y, de ser el caso, el tamaño del responsable o de los procesadores

251

informáticas, aplicaciones electrónicas o cualquier otra tecnología, ante el Instituto o los organismos garantes, según corresponda, a efecto de que emitan las recomendaciones no vinculantes correspondientes. Artículo 78. El Instituto y los Organismos garantes, según corresponda, deberán emitir, de ser el caso, recomendaciones no vinculantes sobre la Evaluación de impacto en la protección de datos personales presentado por el responsable. El plazo para la emisión de las recomendaciones a que se refiere el párrafo anterior será dentro de los treinta días siguientes contados a partir del día siguiente a la presentación de la evaluación. Artículo 79. Cuando a juicio del sujeto obligado se puedan comprometer los efectos que se pretenden lograr con la posible puesta en operación o modificación de políticas públicas, sistemas o plataformas informáticas, aplicaciones electrónicas o cualquier

lo siguiente: Evaluaciones de impacto en la protección de datos personales Artículo 120. En la elaboración, presentación y valoración de las evaluaciones de impacto en la protección de datos personales, así como en la emisión de las recomendaciones no vinculantes, el responsable y el Instituto, según corresponda, deberán observar lo dispuesto en las disposiciones que para tal efecto emita el Sistema Nacional. Para efectos de los presentes Lineamientos generales y en términos de lo dispuesto en el artículo 75 de la Ley General, el responsable estará� en presencia de un tratamiento intensivo o relevante de datos personales cuando concurra cada una de las siguientes condiciones: I. Existan riesgos inherentes a los datos personales a tratar, entendidos como el valor potencial cuantitativo o cualitativo que pudieran tener éstos para una tercera persona no autorizada para su posesión o uso en función de la sensibilidad de los datos personales; las

de impacto relativas a la protección de datos. La autoridad de control comunicará esas listas al Comité. 6. Antes de adoptar las listas a que se refieren los apartados 4 y 5, la autoridad de control competente aplicará el mecanismo de coherencia contemplado en el artículo 63 si esas listas incluyen actividades de tratamiento que guarden relación con la oferta de bienes o servicios a interesados o con la observación del comportamiento de estos en varios Estados miembros, o actividades de tratamiento que puedan afectar sustancialmente a la libre circulación de datos personales en la Unión. 7. La evaluación deberá incluir como mínimo: a) una descripción sistemática de las operaciones de tratamiento previstas y de los fines del tratamiento, inclusive, cuando proceda, el interés legítimo perseguido por el responsable del tratamiento; b) una evaluación de la necesidad y la proporcionalidad de las operaciones de tratamiento con

252

otra tecnología que implique el tratamiento intensivo o relevante de datos personales o se trate de situaciones de emergencia o urgencia, no será necesario realizar la Evaluación de impacto en la protección de datos personales.

categorías de titulares involucrados; el volumen total de los datos personales tratados; la cantidad de datos personales que se tratan por cada titular; la intensidad o frecuencia del tratamiento, o bien, la realización de cruces de datos personales con múltiples sistemas o plataformas informáticas; II. Se traten datos personales sensibles a los que se refiere el artículo 3, fracción X de la Ley General, entendidos como aquellos que se refieran a la esfera más íntima de su titular o cuya utilización indebida pueda dar origen a discriminación o conlleve un riesgo grave para éste. De manera enunciativa más no limitativa, se consideran sensibles los datos personales que puedan revelar aspectos como origen racial o étnico, estado de salud presente o futuro, información genética, creencias religiosas, filosóficas y morales, opiniones políticas y preferencia sexual, y III. Se efectúen o pretendan efectuar transferencias de datos personales a las que se refiere el articulo 3, fracción XXXII de la Ley General, según

respecto a su finalidad; c) una evaluación de los riesgos para los derechos y libertades de los interesados a que se refiere el apartado 1, y d) las medidas previstas para afrontar los riesgos, incluidas garantías, medidas de seguridad y mecanismos que garanticen la protección de datos personales, y a demostrar la conformidad con el presente Reglamento, teniendo en cuenta los derechos e intereses legítimos de los interesados y de otras personas afectadas. 8. El cumplimiento de los códigos de conducta aprobados a que se refiere el artículo 40 por los responsables o encargados correspondientes se tendrá debidamente en cuenta al evaluar las repercusiones de las operaciones de tratamiento realizadas por dichos responsables o encargados, en particular a efectos de la evaluación de impacto relativa a la protección de datos. 9. Cuando proceda, el responsable recabará la opinión de los interesados o de sus representantes en relación con el tratamiento previsto, sin perjuicio de la

253

corresponda, entendidas como cualquier comunicación de datos personales, dentro o fuera del territorio mexicano, realizada a persona distinta del titular, responsable o encargado, considerando con especial énfasis, de manera enunciativa más no limitativa, las finalidades que motivan éstas y su periodicidad prevista; las categorías de titulares involucrados; la categoría y sensibilidad de los datos personales transferidos; el carácter nacional y/o internacional de los destinatarios o terceros receptores y la tecnología utilizada para la realización de éstas.

protección de intereses públicos o comerciales o de la seguridad de las operaciones de tratamiento. 10.Cuando el tratamiento de conformidad con el artículo 6, apartado 1, letras c) o e), tenga su base jurídica en el Derecho de la Unión o en el Derecho del Estado miembro que se aplique al responsable del tratamiento, tal Derecho regule la operación específica de tratamiento o conjunto de operaciones en cuestión, y ya se haya realizado una evaluación de impacto relativa a la protección de datos como parte de una evaluación de impacto general en el contexto de la adopción de dicha base jurídica, los apartados 1 a 7 no serán de aplicación excepto si los Estados miembros consideran necesario proceder a dicha evaluación previa a las actividades de tratamiento. 11. En caso necesario, el responsable examinará si el tratamiento es conforme con la evaluación de impacto relativa a la protección de datos, al menos cuando exista un cambio del riesgo que representen las operaciones de

254

tratamiento.

Delegado de Protección de Datos (Oficial de Protección de Datos)

Artículo 85. Cada responsable contará con una Unidad de Transparencia, se integrará y funcionará conforme a lo dispuesto en la Ley General de Transparencia y Acceso a la Información Pública, esta Ley y demás normativa aplicable, que tendrá las siguientes funciones: I. Auxiliar y orientar al titular que lo requiera con relación al ejercicio del derecho a la protección de datos personales; II.Gestionar las solicitudes para el ejercicio de los derechos ARCO; III.Establecer mecanismos para asegurar que los datos personales solo se entreguen a su titular o su representante debidamente acreditados; IV. Informar al titular o su representante el monto de los costos a cubrir por la reproducción y envío de los datos personales, con base en lo establecido en las disposiciones normativas aplicables; V. Proponer al Comité de Transparencia los procedimientos internos que aseguren y

Designación del oficial de protección de datos personales Artículo 121. Para aquellos responsables que en el ejercicio de sus funciones sustantivas lleven a cabo tratamientos relevantes o intensivos de datos personales a que se refieren los artículos 74 y, en su caso, 75 de la Ley General, podrán designar a un oficial de protección de datos personales, el cual formará parte de la Unidad de Transparencia. La persona designada como oficial de protección de datos deberá contar con la jerarquia o posición dentro de la organización del responsable que le permita implementar políticas transversales en esta materia. El oficial de protección de datos personales deberá ser designado atendiendo a sus conocimientos, cualidades profesionales, experiencia en la materia, y, en su caso, a la o las certificaciones con que cuente en materia de protección

No aplica

Artículo 37 Designación del delegado de protección de datos 1. El responsable y el encargado del tratamiento designarán un delegado de protección de datos siempre que: a) el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial; b) las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala, o c) las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales con arreglo al artículo 9 y de datos relativos a condenas e infracciones penales a que se refiere el artículo 10. 2. Un grupo empresarial podrá nombrar un único

No aplica

Artículo 10 – Obligaciones adicionales 1. Cada Parte debe establecer que los Responsables y, en su caso, los procesadores, toman todas las medidas apropiadas para cumplir con las obligaciones de este Convenio, además de demostrar que la legislación nacional adoptada es concordante con el Artículo 11, párrafo 3, y en particular, en lo relativo a la Autoridad Supervisora competente prevista en el Artículo 15, así como que el tratamiento de datos bajo su control es acorde a las disposiciones de este Convenio. 2. Cada Parte debe establecer que los Responsables y, en su caso, los procesadores, examinan el posible impacto del tratamiento intencional de datos en los derechos y libertades fundamentales de las personas concernidas de manera previa al inicio de éste, además de que debe diseñar el tratamiento de datos de manera tal que prevenga o minimice el riesgo de interferencia

Las disposiciones de la normatividad mexicana son congruentes con las previsiones del RGPD.

255

fortalezcan mayor eficiencia en la gestión de las solicitudes para el ejercicio de los derechos ARCO; VI. Aplicar instrumentos de evaluación de calidad sobre la gestión de las solicitudes para el ejercicio de los derechos ARCO, y VII. Asesorar a las áreas adscritas al responsable en materia de protección de datos personales. Los responsables que en el ejercicio de sus funciones sustantivas lleven a cabo tratamientos de datos personales relevantes o intensivos, podrán designar a un oficial de protección de datos personales, especializado en la materia, quien realizará las atribuciones mencionadas en este artículo y formará parte de la Unidad de Transparencia. Los sujetos obligados promoverán acuerdos con instituciones públicas especializadas que pudieran auxiliarles a la recepción, trámite y entrega de las respuestas a solicitudes de información, en la lengua indígena, braille o cualquier formato accesible correspondiente, en forma más eficiente.

de datos personales. Funciones del oficial de protección de datos personales Articulo 122. El oficial de protección de datos personales tendrá las siguientes atribuciones: I. Asesorar al Comité de Transparencia respecto a los temas que sean sometidos a su consideración en materia de protección de datos personales; II. Proponer al Comité de Transparencia políticas, programas, acciones y demás actividades que correspondan para el cumplimiento de la Ley General y los presentes Lineamientos generales; III. Implementar políticas, programas, acciones y demás actividades que correspondan para el cumplimiento de la Ley General y los presentes Lineamientos generales, previa autorización del Comité de Transparencia; IV. Asesorar permanentemente a las áreas adscritas al responsable en materia de protección de datos personales, y V. Las demás que determine el responsable y la normatividad que resulte aplicable. Lo anterior, sin perjuicio de lo señalado en el

delegado de protección de datos siempre que sea fácilmente accesible desde cada establecimiento. 3. Cuando el responsable o el encargado del tratamiento sea una autoridad u organismo público, se podrá designar un único delegado de protección de datos para varias de estas autoridades u organismos, teniendo en cuenta su estructura organizativa y tamaño. 4. En casos distintos de los contemplados en el apartado 1, el responsable o el encargado del tratamiento o las asociaciones y otros organismos que representen a categorías de responsables o encargados podrán designar un delegado de protección de datos o deberán designarlo si así lo exige el Derecho de la Unión o de los Estados miembros. El delegado de protección de datos podrá actuar por cuenta de estas asociaciones y otros organismos que representen a responsables o encargados. 5. El delegado de protección de datos será designado atendiendo a sus

con esos derechos y libertades fundamentales. 3. Cada Parte debe establecer que los Responsables y, en su caso, los procesadores, implementan medidas técnicas y organizacionales que toman en consideración las implicaciones del derecho a la protección de datos personales en todas las etapas del tratamiento de datos. 4. Cada Parte puede, una vez considerados los riesgos para los intereses, derechos y libertades fundamentales de las personas concernidas, adaptar la aplicación de las provisiones de los párrafos 1, 2 y 3 en la ley que aplica las disposiciones de este Convenio, de acuerdo con la naturaleza y volumen de los datos, la naturaleza, el alcance y el propósito del procesamiento y, de ser el caso, el tamaño del responsable o de los procesadores

256

articulo 85 párrafo segundo de la Ley General.

cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos y a su capacidad para desempeñar las funciones indicadas en el artículo 39. 6. El delegado de protección de datos podrá formar parte de la plantilla del responsable o del encargado del tratamiento o desempeñar sus funciones en el marco de un contrato de servicios. 7. El responsable o el encargado del tratamiento publicarán los datos de contacto del delegado de protección de datos y los comunicarán a la autoridad de control. Artículo 38 Posición del delegado de protección de datos 1. El responsable y el encargado del tratamiento garantizarán que el delegado de protección de datos participe de forma adecuada y en tiempo oportuno en todas las cuestiones relativas a la protección de datos personales. 2. El responsable y el encargado del tratamiento respaldarán

257

al delegado de protección de datos en el desempeño de las funciones mencionadas en el artículo 39, facilitando los recursos necesarios para el desempeño de dichas funciones y el acceso a los datos personales y a las operaciones de tratamiento, y para el mantenimiento de sus conocimientos especializados. 3. El responsable y el encargado del tratamiento garantizarán que el delegado de protección de datos no reciba ninguna instrucción en lo que respecta al desempeño de dichas funciones. No será destituido ni sancionado por el responsable o el encargado por desempeñar sus funciones. El delegado de protección de datos rendirá cuentas directamente al más alto nivel jerárquico del responsable o encargado. 4. Los interesados podrán ponerse en contacto con el delegado de protección de datos por lo que respecta a todas las cuestiones relativas al tratamiento de sus datos personales y al ejercicio de sus derechos al amparo del presente Reglamento.

258

5. El delegado de protección de datos estará obligado a mantener el secreto o la confidencialidad en lo que respecta al desempeño de sus funciones, de conformidad con el Derecho de la Unión o de los Estados miembros. 6. El delegado de protección de datos podrá desempeñar otras funciones y cometidos. El responsable o encargado del tratamiento garantizará que dichas funciones y cometidos no den lugar a conflicto de intereses. Artículo 39 Funciones del delegado de protección de datos 1. El delegado de protección de datos tendrá como mínimo las siguientes funciones: a) informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que les incumben en virtud del presente Reglamento y de otras disposiciones de protección de datos de la Unión o de los Estados miembros; b) supervisar el cumplimiento de lo dispuesto en el presente Reglamento, de otras

259

disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes; c) ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación de conformidad con el artículo 35; d) cooperar con la autoridad de control; e) actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento, incluida la consulta previa a que se refiere el artículo 36, y realizar consultas, en su caso, sobre cualquier otro asunto. 2. El delegado de protección de datos desempeñará sus funciones prestando la debida atención a los riesgos asociados a las operaciones de tratamiento, teniendo en

260

cuenta la naturaleza, el alcance, el contexto y fines del tratamiento.

261

D. Apoyo y ayuda a los interesados individuales en el ejercicio de sus derechos y mecanismos de reclamación adecuados

La siguiente tabla presenta el análisis de la LGPDPPSO para identificar las disposiciones que regulan el establecimiento de mecanismos de apoyo y ayuda a los interesados individuales en el ejercicio de sus derechos y mecanismos de reclamación adecuados, según se prevé en el WP 254:

Una persona debe poder interponer un recurso judicial para hacer valer sus derechos de forma rápida y efectiva, y sin costes prohibitivos, así como para garantizar su cumplimiento. Para tal fin, deben aplicarse mecanismos de supervisión que permitan la investigación independiente de reclamaciones y que posibiliten que las infracciones del derecho a la protección de datos y respeto por la vida privada sean identificadas y castigadas en la práctica. Cuando no se cumplan las normas, también se ofrecerán al interesado mecanismos efectivos de reclamación administrativa y judicial, incluida la indemnización por daños como resultado del tratamiento ilícito de sus datos personales. Este es un elemento básico que debe contemplar un sistema de adjudicación o arbitraje independiente que permita pagar indemnizaciones e imponer sanciones cuando proceda.

Lo anterior con fundamento en la LGPDPPSO, el RGPD, el C108 y el C108+.

262

Capítulo 3 de el WP 254: Principios generales en materia de protección de datos para garantizar que el nivel de protección en un tercer país, territorio o uno o varios sectores específicos de ese tercer país, u organización internacional es sustancialmente equivalente al garantizado por la legislación de la UE

C. Medios relativos al procedimiento y la ejecución 4) El sistema de protección de datos debe ofrecer apoyo y ayuda a los interesados individuales en el ejercicio de sus derechos y mecanismos de reclamación adecuados

LGPDPPSO LGPDPSP RGPD C108 C108+ Comentarios

Artículo 115. Las resoluciones del Instituto y de los Organismos garantes serán vinculantes, definitivas e inatacables para los responsables. Los titulares podrán impugnar dichas resoluciones ante el Poder Judicial de la Federación mediante el Juicio de Amparo. Artículo 116. Tratándose de las resoluciones a los recursos de revisión de los Organismos garantes de las Entidades Federativas, los particulares podrán optar por acudir ante el Instituto interponiendo el recurso de inconformidad previsto en esta Ley o ante el Poder Judicial de la Federación mediante el Juicio de Amparo.

Medios de impugnación de las resoluciones Artículo 159. De conformidad con el artículo 115 de la Ley General, las resoluciones del Instituto serán vinculantes, definitivas e inatacables para el responsable, salvo la interposición del recurso de revisión en materia de seguridad nacional por parte de la Consejería Jurídica del Ejecutivo Federal ante la Suprema Corte de Justicia de la Nación, en términos de lo dispuesto en los artículos 139, 140, 141, 142 Y143 de la Ley General. El titular podrá impugnar dichas resoluciones ante el Poder Judicial de la Federación mediante el juicio de amparo, de conformidad con la normatividad aplicable en la materia. Impugnación de las resoluciones del procedimiento de verificación Artículo 214. Las resoluciones dictadas por el Instituto en el procedimiento de verificación serán vinculantes, definitivas e inatacables para los responsables, los titulares podrán impugnar dichas resoluciones ante el Poder Judicial de la Federación mediante juicio de amparo.

CAPÍTULO VIII Recursos, responsabilidad y sanciones Artículo 77 Derecho a presentar una reclamación ante una autoridad de control 1. Sin perjuicio de cualquier otro recurso administrativo o acción judicial, todo interesado tendrá derecho a presentar una reclamación ante una autoridad de control, en particular en el Estado miembro en el que tenga su residencia habitual, lugar de trabajo o lugar de la supuesta infracción, si considera que el tratamiento de datos personales que le conciernen infringe el presente Reglamento. 2. La autoridad de control ante la que se haya presentado la reclamación informará al reclamante sobre el curso y el resultado de la reclamación, inclusive sobre la posibilidad de acceder a la tutela judicial en virtud del artículo 78. Artículo 78 Derecho a la tutela judicial efectiva contra una autoridad de control 1. Sin perjuicio de cualquier otro recurso administrativo o extrajudicial, toda persona física o jurídica tendrá derecho a la tutela judicial efectiva contra una decisión jurídicamente vinculante de una autoridad de control que le concierna. 2. Sin perjuicio de cualquier otro recurso administrativo o extrajudicial, todo interesado tendrá derecho a la tutela judicial efectiva en caso de que la autoridad de control que sea competente en virtud de los artículos 55 y 56 no dé curso a una reclamación o no informe al interesado en el plazo de tres meses sobre el curso o el resultado de la reclamación presentada en virtud del artículo 77. 3. Las acciones contra una autoridad de control deberán ejercitarse ante los tribunales del Estado miembro en que esté establecida la autoridad de control.

No hay disposiciones aplicables

Artículo 12 – Sanciones y recursos Cada Parte se compromete a establecer las sanciones y recursos judiciales y no judiciales apropiados para las violaciones de las disposiciones de este Convenio.

Las disposiciones de la normatividad mexicana son congruentes con las previsiones de RGPD y establecen recursos específicos al alcance de los particulares.

263

4. Cuando se ejerciten acciones contra una decisión de una autoridad de control que haya sido precedida de un dictamen o una decisión del Comité en el marco del mecanismo de coherencia, la autoridad de control remitirá al tribunal dicho dictamen o decisión. Artículo 79 Derecho a la tutela judicial efectiva contra un responsable o encargado del tratamiento 1. Sin perjuicio de los recursos administrativos o extrajudiciales disponibles, incluido el derecho a presentar una reclamación ante una autoridad de control en virtud del artículo 77, todo interesado tendrá derecho a la tutela judicial efectiva cuando considere que sus derechos en virtud del presente Reglamento han sido vulnerados como consecuencia de un tratamiento de sus datos personales. 2. Las acciones contra un responsable o encargado del tratamiento deberán ejercitarse ante los tribunales del Estado miembro en el que el responsable o encargado tenga un establecimiento. Alternativamente, tales acciones podrán ejercitarse ante los tribunales del Estado miembro en que el interesado tenga su residencia habitual, a menos que el responsable o el encargado sea una autoridad pública de un Estado miembro que actúe en ejercicio de sus poderes públicos. Artículo 82 Derecho a indemnización y responsabilidad 1. Toda persona que haya sufrido daños y perjuicios materiales o inmateriales como consecuencia de una infracción del presente Reglamento tendrá derecho a recibir del responsable o el encargado del tratamiento una indemnización por los daños y perjuicios sufridos. 2. Cualquier responsable que participe en la operación de tratamiento responderá de los daños y perjuicios causados en caso de que dicha operación no cumpla lo dispuesto por el

264

presente Reglamento. Un encargado únicamente responderá de los daños y perjuicios causados por el tratamiento cuando no haya cumplido con las obligaciones del presente Reglamento dirigidas específicamente a los encargados o haya actuado al margen o en contra de las instrucciones legales del responsable. 3. El responsable o encargado del tratamiento estará exento de responsabilidad en virtud del apartado 2 si demuestra que no es en modo alguno responsable del hecho que haya causado los daños y perjuicios. 4. Cuando más de un responsable o encargado del tratamiento, o un responsable y un encargado hayan participado en la misma operación de tratamiento y sean, con arreglo a los apartados 2 y 3, responsables de cualquier daño o perjuicio causado por dicho tratamiento, cada responsable o encargado será considerado responsable de todos los daños y perjuicios, a fin de garantizar la indemnización efectiva del interesado. 5. Cuando, de conformidad con el apartado 4, un responsable o encargado del tratamiento haya pagado una indemnización total por el perjuicio ocasionado, dicho responsable o encargado tendrá derecho a reclamar a los demás responsables o encargados que hayan participado en esa misma operación de tratamiento la parte de la indemnización correspondiente a su parte de responsabilidad por los daños y perjuicios causados, de conformidad con las condiciones fijadas en el apartado 2. 6. Las acciones judiciales en ejercicio del derecho a indemnización se presentarán ante los tribunales competentes con arreglo al Derecho del Estado miembro que se indica en el artículo 79, apartado 2.

265

2) Capítulo 4 del WP 254 y el WP 237 La siguiente tabla presenta un análisis de la normatividad vigente a la luz del Capítulo 4 del WP 254 y el WP 237 los cuales señalan que, al evaluar la adecuación de un tercer país en el ámbito de la vigilancia, y la aplicación de estas garantías puede diferir en los ámbitos del acceso a los datos por parte de los cuerpos policiales y de seguridad nacional pero se recomienda tomar en consideración siguientes cuatro garantías para acceder a los datos, tanto para fines de seguridad nacional como para fines de cumplimiento de la ley:

1) El tratamiento debe basarse en normas claras, precisas y accesibles (base jurídica); 2) Se deben demostrar la necesidad y la proporcionalidad respecto a los objetivos legítimos perseguidos; 3) El tratamiento debe estar sujeto a una supervisión independiente; 4) Las personas deben disponer de vías de acción efectivas.

De esta manera, se presenta un análisis de distintos cuerpos normativos y la forma en la que estos cumplen con las garantías citadas.

266

Capítulo 4: Garantías esenciales en terceros países para el acceso a los datos por parte de los cuerpos policiales y de seguridad nacional a fin de limitar las injerencias en los derechos fundamentales (WP 237)

Garantía 1. El tratamiento debe basarse en normas claras, precisas y accesibles (base jurídica) Esta garantía se refiere a que el tratamiento de los datos personales por parte de los cuerpos policiales y de seguridad nacional deberá estar previsto y regulado en el marco normativo correspondiente.

Esta normatividad deberá estructurarse en torno a normas jurídicas de orden público, que no sean vagas o ambiguas y que prevean una finalidad específica de este tratamiento. Disposiciones

aplicables Comentarios Conclusión

CPEUM

El segundo párrafo del artículo 16 de la CPEUM limita el ejercicio del derecho a la protección de datos personales por razones de seguridad nacional, disposiciones de orden público, seguridad y salud públicas o para proteger los derechos de terceros:

Artículo 16. Nadie puede ser molestado en su persona, familia, domicilio, papeles o posesiones, sino en virtud de mandamiento escrito de la autoridad competente, que funde y motive la causa legal del procedimiento. En los juicios y procedimientos seguidos en forma de juicio en los que se establezca como regla la oralidad, bastará con que quede constancia de ellos en cualquier medio que dé certeza de su contenido y del cumplimiento de lo previsto en este párrafo.

Toda persona tiene derecho a la protección de sus datos personales, al acceso, rectificación y cancelación de los mismos, así como a manifestar su oposición, en los términos que fije la ley, la cual establecerá los supuestos de excepción a los principios que rijan el tratamiento de datos, por razones de seguridad nacional, disposiciones de orden público, seguridad y salud públicas o para proteger los derechos de terceros.

…

Las limitaciones al derecho fundamental se establecen a nivel constitucional y se sujetan a la existencia de un mandamiento fundado y motivado por parte de una autoridad competente.

LGPDPPSO

En sintonía con lo previsto por la CPEUM, el artículo 6 de la LGPDPPSO limita el ejercicio del derecho a la protección de datos personales por razones de seguridad nacional, disposiciones de orden público, seguridad y salud públicas o para proteger los derechos de terceros.

Artículo 6. El Estado garantizará la privacidad de los individuos y deberá velar porque terceras personas no incurran en conductas que puedan afectarla arbitrariamente. El derecho a la protección de los datos personales solamente se limitará por razones de seguridad nacional, en términos de la ley en la materia, disposiciones de orden público, seguridad y salud públicas o para proteger los derechos de terceros.

Las limitaciones al derecho están establecidas en una ley formal y materialmente válida y son congruentes con las limitaciones previstas por la CPEUM.

LFTR

La LFTR señala: Artículo 189. Los concesionarios de telecomunicaciones y, en su caso, los autorizados y proveedores de servicios de aplicaciones y contenidos están obligados a atender todo mandamiento por escrito, fundado y motivado de la autoridad competente en los términos que establezcan las leyes. Los titulares de las instancias de seguridad y procuración de justicia designarán a los servidores públicos encargados de gestionar los requerimientos que se realicen a los concesionarios y recibir la información correspondiente, mediante acuerdos publicados en el Diario Oficial de la Federación. Artículo 190. Los concesionarios de telecomunicaciones y, en su caso, los autorizados deberán:

I. Colaborar con las instancias de seguridad, procuración y administración de justicia, en la localización geográfica, en tiempo real, de los equipos de comunicación móvil, en los términos que establezcan las leyes. Cualquier omisión o desacato a estas disposiciones será sancionada por la autoridad, en los términos de lo previsto por la legislación penal aplicable. El Instituto, escuchando a las autoridades a que se refiere el artículo 189 de esta Ley, establecerá los lineamientos que los concesionarios de telecomunicaciones y, en su caso, los autorizados deberán adoptar para que la colaboración a que se refiere esta Ley con dichas autoridades, sea efectiva y oportuna; II. Conservar un registro y control de comunicaciones que se realicen desde cualquier tipo de línea que utilice numeración propia o arrendada, bajo cualquier modalidad, que permitan identificar con precisión los siguientes datos:

Las limitaciones están previstas en una ley formal y materialmente válida pero no requieren orden judicial y pueden considerarse injustificadas.

267

a) Nombre, denominación o razón social y domicilio del suscriptor; b) Tipo de comunicación (transmisión de voz, buzón vocal, conferencia, datos), servicios suplementarios (incluidos el reenvío o transferencia de llamada) o servicios de mensajería o multimedia empleados (incluidos los servicios de mensajes cortos, servicios multimedia y avanzados); c)Datos necesarios para rastrear e identificar el origen y destino de las comunicaciones de telefonía móvil: número de destino, modalidad de líneas con contrato o plan tarifario, como en la modalidad de líneas de prepago; d)Datos necesarios para determinar la fecha, hora y duración de la comunicación, así como el servicio de mensajería o multimedia; e) Además de los datos anteriores, se deberá conservar la fecha y hora de la primera activación del servicio y la etiqueta de localización (identificador de celda) desde la que se haya activado el servicio; f) En su caso, identificación y características técnicas de los dispositivos, incluyendo, entre otros, los códigos internacionales de identidad de fabricación del equipo y del suscriptor; g) La ubicación digital del posicionamiento geográfico de las líneas telefónicas, y h) La obligación de conservación de datos, comenzará a contarse a partir de la fecha en que se haya producido la comunicación.

Para tales efectos, el concesionario deberá conservar los datos referidos en el párrafo anterior durante los primeros doce meses en sistemas que permitan su consulta y entrega en tiempo real a las autoridades competentes, a través de medios electrónicos. Concluido el plazo referido, el concesionario deberá conservar dichos datos por doce meses adicionales en sistemas de almacenamiento electrónico, en cuyo caso, la entrega de la información a las autoridades competentes se realizará dentro de las cuarenta y ocho horas siguientes, contadas a partir de la notificación de la solicitud. La solicitud y entrega en tiempo real de los datos referidos en este inciso, se realizará mediante los mecanismos que determinen las autoridades a que se refiere el artículo 189 de esta Ley, los cuales deberán informarse al Instituto para los efectos de lo dispuesto en el párrafo tercero, fracción I del presente artículo. Los concesionarios de telecomunicaciones y, en su caso, los autorizados, tomarán las medidas técnicas necesarias respecto de los datos objeto de conservación, que garanticen su conservación, cuidado, protección, no manipulación o acceso ilícito, destrucción, alteración o cancelación, así como el personal autorizado para su manejo y control. Sin perjuicio de lo establecido en esta Ley, respecto a la protección, tratamiento y control de los datos personales en posesión de los concesionarios o de los autorizados, será aplicable lo dispuesto en la Ley Federal de Protección de Datos Personales en Posesión de los Particulares;

III. Entregar los datos conservados a las autoridades a que se refiere el artículo 189 de esta Ley, que así lo requieran, conforme a sus atribuciones, de conformidad con las leyes aplicables. Queda prohibida la utilización de los datos conservados para fines distintos a los previstos en este capítulo, cualquier uso distinto será sancionado por las autoridades competentes en términos administrativos y penales que resulten. Los concesionarios de telecomunicaciones y, en su caso, los autorizados, están obligados a entregar la información dentro de un plazo máximo de veinticuatro horas siguientes, contado a partir de la notificación, siempre y cuando no exista otra disposición expresa de autoridad competente; IV. Contar con un área responsable disponible las veinticuatro horas del día y los trescientos sesenta y cinco días del año, para atender los requerimientos de información, localización geográfica e intervención de comunicaciones privadas a que se refiere este Título. Para efectos de lo anterior, los concesionarios deberán notificar a los titulares de las instancias a que se refiere el artículo 189 de esta Ley el nombre del responsable de dichas áreas y sus datos de localización; además deberá tener facultades amplias y suficientes para atender los requerimientos que se formulen al concesionario o al autorizado y adoptar las medidas necesarias. Cualquier cambio del responsable deberá notificarse previamente con una anticipación de veinticuatro horas;

[…] Las comunicaciones privadas son inviolables. Exclusivamente la autoridad judicial federal, a petición de la autoridad federal que faculte la ley o del titular del Ministerio Público de la entidad federativa correspondiente, podrá autorizar la intervención de cualquier comunicación privada

268

LCMSJ

Los LCMSJ tienen por objeto:

PRIMERO. El objeto de los presentes Lineamientos es establecer disposiciones administrativas de carácter general para que la colaboración de los Concesionarios y Autorizados con las instancias de seguridad, procuración y administración de justicia sea oportuna y efectiva, y emitir las demás disposiciones conforme al Título Octavo de la Ley Federal de Telecomunicaciones y Radiodifusión y demás normatividad aplicable, salvaguardando siempre y en todo momento la protección de la privacidad y los Datos Personales de los usuarios y los demás derechos protegidos por la Constitución Política de los Estados Unidos Mexicanos y los tratados internacionales en los que México sea parte. Los Concesionarios, los Autorizados y los proveedores de servicios de aplicaciones y contenidos están obligados a atender todo mandamiento por escrito, fundado y motivado de la autoridad competente en los términos que establezcan las leyes aplicables. En caso de no contar con la infraestructura y los medios necesarios para cumplir con los presentes Lineamientos, los Autorizados deberán contratar con los Concesionarios los servicios necesarios, quienes estarán obligados a prestar a los Autorizados dichos servicios.

El segundo de estos lineamientos identifica los actores involucrados en los procedimientos de acceso de datos personales por parte de los cuerpos policiales y de seguridad nacional:

SEGUNDO. Para efectos de los presentes Lineamientos, además de las definiciones previstas en la Ley Federal de Telecomunicaciones y Radiodifusión y demás disposiciones legales, reglamentarias y administrativas aplicables, se entenderá por:

I. Área Responsable: área designada por los Concesionarios y Autorizados disponible las veinticuatro horas del día, los trescientos sesenta y cinco días del año, para la atención de los requerimientos de las Autoridades Designadas sobre localización geográfica en tiempo real de los equipos de comunicación móvil, entrega de datos conservados, así como intervención de comunicaciones privadas; II. Autoridades Designadas: todo aquel servidor público que haya sido designado por los titulares de las Autoridades Facultadas mediante acuerdos publicados en el Diario Oficial de la Federación, de conformidad con lo dispuesto en el artículo 189 de la LFTR, para gestionar los requerimientos que, en los términos establecidos en las leyes aplicables, se realicen a los Concesionarios y los Autorizados, y recibir la información correspondiente; III. Autoridades Facultadas: instancias de seguridad, procuración de justicia y administración de justicia que, conforme a sus atribuciones previstas en sus leyes aplicables o en acuerdos delegatorios, cuenten con la facultad expresa para requerir la localización geográfica en tiempo real de los equipos de comunicación, así como la entrega de los datos conservados por los Concesionarios y Autorizados; […]

Las limitaciones no requieren orden judicial y pueden considerarse injustificadas.

CNPP

El CNPP indica:

Artículo 291. Intervención de las comunicaciones privadas Cuando en la investigación el Ministerio Público considere necesaria la intervención de comunicaciones privadas, el Titular de la Procuraduría General de la República, o en quienes éste delegue esta facultad, así como los Procuradores de las entidades federativas, podrán solicitar al Juez federal de control competente, por cualquier medio, la autorización para practicar la intervención, expresando el objeto y necesidad de la misma. La intervención de comunicaciones privadas abarca todo sistema de comunicación, o programas que sean resultado de la evolución tecnológica, que permitan el intercambio de datos, informaciones, audio, video, mensajes, así como archivos electrónicos que graben, conserven el contenido de las conversaciones registren datos que identifiquen la comunicación, los cuales se pueden presentar en tiempo real. La solicitud deberá ser resuelta por la autoridad judicial de manera inmediata, por cualquier medio que garantice su autenticidad, o en audiencia privada con la sola comparecencia del Ministerio Público, en un plazo que no exceda de las seis

Las limitaciones al derecho en virtud de intervención de comunicaciones están sujetas a orden judicial y se contienen en un Ley formal y materialmente válida.

269

horas siguientes a que la haya recibido. También se requerirá autorización judicial en los casos de extracción de información, la cual consiste en la obtención de comunicaciones privadas, datos de identificación de las comunicaciones; así como la información, documentos, archivos de texto, audio, imagen o video contenidos en cualquier dispositivo, accesorio, aparato electrónico, equipo informático, aparato de almacenamiento y todo aquello que pueda contener información, incluyendo la almacenada en las plataformas o centros de datos remotos vinculados con éstos. […] Los servidores públicos autorizados para la ejecución de la medida serán responsables de que se realice en los términos de la resolución judicial. […]

Artículo 294. Objeto de la intervención Podrán ser objeto de intervención las comunicaciones privadas que se realicen de forma oral, escrita, por signos, señales o mediante el empleo de aparatos eléctricos, electrónicos, mecánicos, alámbricos o inalámbricos, sistemas o equipos informáticos, así� como por cualquier otro medio o forma que permita la comunicación entre uno o varios emisores y uno o varios receptores. En ningún caso se podrán autorizar intervenciones cuando se trate de materias de carácter electoral, fiscal, mercantil, civil, laboral o administrativo, ni en el caso de las comunicaciones del detenido con su Defensor. El Juez podrá� en cualquier momento verificar que las intervenciones sean realizadas en los términos autorizados y, en caso de incumplimiento, decretar su revocación parcial o total.

El tratamiento de la información y de los datos personales obtenidos en estos contextos se encuentra regulado en los

artículos 297 a 300 del CNPP:

Artículo 297. Registro de las intervenciones Las intervenciones de comunicación deberán ser registradas por cualquier medio que no altere la fidelidad, autenticidad y contenido de las mismas, por la Policía o por el perito que intervenga, a efecto de que aquélla pueda ser ofrecida como medio de prueba en los términos que señala este Código.

Artículo 298. Registro El registro a que se refiere el artículo anterior contendrá las fechas de inicio y término de la intervención, un inventario pormenorizado de los documentos, objetos y los medios para la reproducción de sonidos o imágenes captadas durante la misma, cuando no se ponga en riesgo a la investigación o a la persona, la identificación de quienes hayan participado en los actos de investigación, así como los demás datos que se consideren relevantes para la investigación. El registro original y el duplicado, así como los documentos que los integran, se numerarán progresivamente y contendrán los datos necesarios para su identificación.

Artículo 299. Conclusión de la intervención Al concluir la intervención, la Policía o el perito, de manera inmediata, informará al Ministerio Público sobre su desarrollo, así como de sus resultados y levantará el acta respectiva. A su vez, con la misma prontitud el Ministerio Público que haya solicitado la intervención o su prórroga lo informará al Juez de control. Las intervenciones realizadas sin las autorizaciones antes citadas o fuera de los términos en ellas ordenados, carecerán de valor probatorio, sin perjuicio de la responsabilidad administrativa o penal a que haya lugar.

Artículo 300. Destrucción de los registros El Órgano jurisdiccional ordenará la destrucción de aquellos registros de intervención de comunicaciones privadas que no se relacionen con los delitos investigados o con otros delitos que hayan ameritado la apertura de una investigación diversa, salvo que la defensa solicite que sean preservados por considerarlos útiles para su labor. Asimismo, ordenará la destrucción de los registros de intervenciones no autorizadas o cuando éstos rebasen los términos de la autorización judicial respectiva. Los registros serán destruidos cuando se decrete el archivo definitivo, el sobreseimiento o la absolución del imputado. Cuando el

270

Ministerio Público decida archivar temporalmente la investigación, los registros podrán ser conservados hasta que el delito prescriba.

Artículo 301. Colaboración con la autoridad Los concesionarios, permisionarios y demás titulares de los medios o sistemas susceptibles de intervención, deberán colaborar eficientemente con la autoridad competente para el desahogo de dichos actos de investigación, de conformidad con las disposiciones aplicables. Asimismo, deberán contar con la capacidad técnica indispensable que atienda las exigencias requeridas por la autoridad judicial para operar una orden de intervención de comunicaciones privadas. El incumplimiento a este mandato será sancionado conforme a las disposiciones penales aplicables.

Artículo 302. Deber de secrecía Quienes participen en alguna intervención de comunicaciones privadas deberán observar el deber de secrecía sobre el contenido de las mismas.

LSN

La LSN en su capítulo II regula la intervención de comunicaciones y establece las bases para que esta sea realizada por parte de las autoridades competentes.

En su artículo 33 la LSN establece que en casos de amenaza inminente el Gobierno Mexicano podrá hacer uso de los recursos que legalmente se encuentren a su alcance, incluyendo la información anónima:

Artículo 33.- En los casos de amenaza inminente a los que se refiere el artículo 5 de esta Ley, el Gobierno Mexicano podrá hacer uso de los recursos que legalmente se encuentren a su alcance, incluyendo la información anónima.

Por su parte, el artículo 34 establece que de acuerdo con lo previsto por el artículo 16 de la CPEUM la autoridad deberá solicitar en los términos y supuestos previstos por la LSN Ley, autorización judicial para efectuar intervenciones de comunicaciones privadas en materia de Seguridad Nacional:

Artículo 34.- De conformidad con lo dispuesto por el párrafo noveno del artículo 16 de la Constitución Política de los Estados Unidos Mexicanos, el Centro deberá solicitar en los términos y supuestos previstos por la presente Ley, autorización judicial para efectuar intervenciones de comunicaciones privadas en materia de Seguridad Nacional. Se entiende por intervención de comunicaciones la toma, escucha, monitoreo, grabación o registro, que hace una instancia autorizada, de comunicaciones privadas de cualquier tipo y por cualquier medio, aparato o tecnología.

El artículo 35 la LSN establece los supuestos en los que procederá la solicitud de intervención de comunicaciones:

Artículo 35.- La solicitud a que se refiere el artículo anterior sólo procederá cuando se esté en uno de los supuestos que se contemplan en el artículo 5 de la presente Ley. En ningún otro caso podrá autorizarse al Centro la intervención de comunicaciones privadas. El Poder Judicial de la Federación, de acuerdo con su ley orgánica, determinará los juzgados que deban conocer de las solicitudes que en materia de Seguridad Nacional se presenten para intervenir comunicaciones privadas.

Finalmente, el artículo 36 de la LSN indica que los procedimientos judiciales que se instauren para autorizar las solicitudes de intervención en materia de Seguridad Nacional no tendrán naturaleza contenciosa y sus constancias procesales carecerán de valor probatorio en procedimientos judiciales o administrativos:

Las limitaciones al derecho están sujetas a orden judicial y se contienen en un Ley formal y materialmente válida.

271

6 Artículo 5. El objeto de la Guardia Nacional es realizar la función de seguridad pública a cargo de la Federación y, en su caso, conforme a los convenios que para tal efecto se celebren, colaborar temporalmente en las tareas de seguridad pública que corresponden a las entidades federativas o municipios.

Artículo 36.- Los procedimientos judiciales que se instauren para autorizar las solicitudes de intervención en materia de Seguridad Nacional no tendrán naturaleza contenciosa y sus constancias procesales carecerán de valor probatorio en procedimientos judiciales o administrativos. Cuando el Centro coopere en las actividades de procuración de justicia, las intervenciones de comunicaciones privadas en las que se preste auxilio técnico tendrán naturaleza distinta a las reguladas por este Capítulo y se ajustarán a los requisitos y formalidades que establezca el Código Federal de Procedimientos Penales y la Ley Federal contra la Delincuencia Organizada.

LGN

La Ley de la Guardia Nacional (LGN) establece en su artículo 9 diversas atribuciones para la Guardia Nacional6 e indica que esta institución tiene distintas atribuciones que se relacionan con las labores de inteligencia, seguridad y vigilancia de particulares, así como con la obtención de datos personales para dichos fines:

Recabar información en lugares públicos para evitar el fenómeno delictivo, mediante la utilización de medios e instrumentos y cualquier herramienta que resulten necesarios para la generación de inteligencia preventiva. En el ejercicio de esta atribución se deberá� respetar el derecho a la vida privada de las personas. Los datos obtenidos con afectación a los derechos humanos carecerán de todo valor probatorio (fracción V del artículo 9 de la LSN).

Realizar análisis técnico, táctico o estratégico de la información obtenida para la generación de inteligencia (fracción VII del artículo 9 de la LSN).

Verificar la información que reciba sobre hechos que puedan ser constitutivos de delito y, en su caso, hacerla del conocimiento del Ministerio Público (fracción XII del artículo 9 de la LSN).

Requerir a las autoridades competentes y solicitar a las personas físicas o morales informes y documentos para fines de investigación (fracción XVIII del artículo 9 de la LSN).

Entrevistar a las personas que puedan aportar algún dato o elemento para la investigación en caso de flagrancia o por mandato del Ministerio Público, en términos de las disposiciones aplicables. De las entrevistas que se practiquen se dejará constancia (fracción XXIII del artículo 9 de la LSN).

Incorporar a las Bases de Datos del Sistema Nacional de Información en Seguridad Pública la información que pueda ser útil en la investigación de los delitos y utilizar su contenido para el desempeño de sus atribuciones, sin afectar el derecho de las personas a la protección de sus datos personales (fracción XXIV del artículo 9 de la LSN).

Colaborar con otras autoridades federales en funciones de vigilancia, verificación e inspección que tengan conferidas por disposición de otras leyes (fracción XXV del artículo 9 de la LSN).

Solicitar por escrito, previa autorización del Juez de control, en los términos del artículo 16 de la CPEUM, a los concesionarios, permisionarios, operadoras telefónicas y todas aquellas comercializadoras de servicios en materia de telecomunicaciones o de sistemas de comunicación vía satélite, la información con que cuenten, así� como la georreferenciación de los equipos de comunicación móvil en tiempo real, para el cumplimiento de sus fines de prevención de los delitos (fracción XXIV del artículo 9 de la LSN).

Obtener, analizar y procesar información, así� como realizar las acciones que, conforme a las disposiciones aplicables, resulten necesarias para la prevención de delitos, sea directamente o mediante los mecanismos de coordinación previstos en otras leyes federales (fracción XXIX del artículo 9 de la LSN).

Realizar acciones de vigilancia, identificación, monitoreo y rastreo en la red pública de Internet sobre sitios web, con el fin de prevenir conductas delictivas (fracción XXXVIII del artículo 9 de la LSN).

Desarrollar, mantener y supervisar fuentes de información en la sociedad que le permitan obtener datos sobre


272

actividades relacionadas con fenómenos delictivos (fracción XXXVIII del artículo 9 de la LSN). Integrar al Sistema Nacional de Información en Seguridad Pública los datos que se recaben para identificar a las

personas (fracción XL del artículo 9 de la LSN).

LGSNSP

La Ley General del Sistema Nacional de Seguridad Pública (LGSNSP) establece en su artículo 109 que la Federación, las entidades federativas y los Municipios, suministrarán, consultarán y actualizarán la información que diariamente se genere sobre Seguridad Pública mediante los sistemas e instrumentos tecnológicos respectivos, al Sistema Nacional de Información (SNI).

El artículo 109 de la LGSNSP añade también que las Instituciones de Seguridad Pública tendrán acceso a la información contenida en el SNI, en el ámbito de su función de prevención, investigación y persecución de los delitos, o como auxiliares en el ejercicio de dichas funciones, según corresponda. Asimismo, dicho artículo también específica que el Centro Nacional de Información (CNI) puede utilizar las Bases de Datos del SNI, para generar productos que apoyen la planificación de acciones orientadas a alcanzar los objetivos del Sistema Nacional de Seguridad Pública (SNSP).

Respecto del acceso a información, el artículo 110 de la LGSNSP indica que los integrantes del SNSP están obligados a permitir la interconexión de sus Bases de Datos para compartir la información sobre Seguridad Pública con el SNI y que, para ello, adoptarán los mecanismos tecnológicos necesarios para la interconexión en tiempo real y respaldo de la información.

En este sentido, el citado artículo 110 indica que la información contenida en todas y cada una de las Bases de Datos del SNI, así como los Registros Nacionales y la información contenida en ellos, en materia de detenciones, información criminal, personal de seguridad pública, personal y equipo de los servicios de seguridad privada, armamento y equipo, vehículos, huellas dactilares, teléfonos celulares, medidas cautelares, soluciones alternas y formas de terminación anticipada, sentenciados y las demás necesarias para la operación del Sistema se clasificada como reservada y su consulta es exclusiva de las instituciones de Seguridad Pública que estén facultadas en cada caso, a través de los servidores públicos que cada institución designe, por lo que el público no tendrá acceso a la información que en ellos se contenga.

Por su parte, el artículo 117 indica que, la Federación, las entidades federativas y los Municipios serán responsables de integrar y actualizar el SNI, con la información que generen las Instituciones de Procuración de Justicia e Instituciones Policiales, que coadyuve a salvaguardar la integridad y derechos de las personas, así como preservar las libertades, el orden y la paz públicos, mediante la prevención, persecución y sanción de las infracciones y delitos, así como la reinserción social.


273

2) Se deben demostrar la necesidad y la proporcionalidad respecto a los objetivos legítimos perseguidos

Esta Garantía debe interpretarse en el sentido de que la limitación al derecho de protección de datos personales debe hacerse mediante orden escrita, fundada y motiva de autoridad judicial competente. La limitación debe ser lo menos invasiva posible y obedecer a que la obtención de información no sea posible a través de otros medios. En relación con la demostración de la necesidad y proporcionalidad de las injerencias al derecho de protección de datos personales se presenta la siguiente tabla:

Normatividad que regula la de la injerencia Justificación de la necesidad y proporcionalidad de la injerencia

CPEUM

El artículo 16 de la CPEUM establece que ninguna persona puede ser molestada en su persona, familia, domicilio, papeles o posesiones, sino en virtud de mandamiento escrito de la autoridad competente, que funde y motive la causa legal del procedimiento.

LGPDPPSO Se aplica lo previsto en el artículo 16 de la CPEUM.

CNPP La intervención de comunicaciones está sujeta a la autorización judicial del juez de control competente.

LFTR

No se establece el requerimiento de autorización judicial para atender los mandamientos de las autoridades que soliciten acceso a datos personales de usuarios y clientes.

No establece cuales son las autoridades designadas y facultadas para solicitar acceso a datos personales.

Se establece la obligación de conservar datos personales de usuarios por hasta 24 meses.

LCMSJ No se establece el requerimiento de autorización judicial para atender los mandamientos de las autoridades que soliciten acceso a datos personales de usuarios y clientes.

El catálogo de autoridades facultadas y designadas es bastante amplio en los LCMSJ:

o Autoridades Designadas: todo aquel servidor público que haya sido designado por los titulares de las Autoridades Facultadas mediante acuerdos publicados en el Diario Oficial de la Federación, de conformidad con lo dispuesto en el artículo 189 de la LFTR, para gestionar los requerimientos que, en los términos establecidos en las leyes aplicables, se realicen a los Concesionarios y los Autorizados, y recibir la información correspondiente;

o Autoridades Facultadas: instancias de seguridad, procuración de justicia y administración de justicia que, conforme a sus atribuciones previstas en sus leyes aplicables o en acuerdos delegatorios, cuenten con la facultad expresa para requerir la localización geográfica en tiempo real de los equipos de comunicación, así como la entrega de los datos conservados por los Concesionarios y Autorizados;

274

Normatividad que regula la de la injerencia Justificación de la necesidad y proporcionalidad de la injerencia

LSN

La Seguridad Nacional se rige por los principios de legalidad, responsabilidad, respeto a los derechos fundamentales de protección a la persona humana y garantías individuales y sociales, confidencialidad, lealtad, transparencia, eficiencia, coordinación y cooperación.

La intervención de comunicaciones está sujeta a la autorización judicial.

LGN

Establece que en la obtención de información en lugares públicos se deberá� respetar el derecho a la vida privada de las personas y que la incorporación de información a las Bases de Datos del Sistema Nacional de Información en Seguridad Pública habrá de realizarse sin afectar el derecho de las personas a la protección de sus datos personales.

Indica que la solicitud de información y la georreferenciación de los equipos de comunicación móvil en tiempo real que se realice a los concesionarios, permisionarios, operadoras telefónicas y todas aquellas comercializadoras de servicios en materia de telecomunicaciones o de sistemas de comunicación vía satélite deberá solicitarse por escrito, previa autorización del juez de control competente en términos del artículo 16 de la CPEUM.

LGSNSP

Se establece que las Instituciones de Seguridad Pública pueden tener acceso a la información contenida en el SNI, en el ámbito de su función de prevención, investigación y persecución de los delitos, o como auxiliares en el ejercicio de dichas funciones.

El CNI) puede utilizar las Bases de Datos del SNI, para generar productos que apoyen la planificación de acciones orientadas a alcanzar los objetivos del SNSP.

275

3) El tratamiento debe estar sujeto a una supervisión independiente En México, el tratamiento de datos personales para fines relacionados con la seguridad pública, la defensa, la seguridad nacional y la legislación penal, y el acceso de las autoridades públicas a los datos personales es supervisado por el INAI como máxima autoridad garante del derecho humano a la protección de datos personales al nivel federal caracterizada por su autonomía constitucional e independencia. El INAI es una autoridad independiente compuesta por un órgano colegiado integrado por 7 Comisionados que se eligen de conformidad con el procedimiento previsto en la CPEUM, la LGTAIP y la LFTAIP, con competencia en materia de datos personales sobre el sector público y privado, y que conocen también de asuntos relacionados con las materias de transparencia y acceso a la información pública. En relación con lo anterior se puede destacar que:

El INAI es un organismo autónomo de acuerdo con lo previsto por el apartado A, fracción XVIII del artículo 6º de la CPEUM.

Es un órgano especializado, independiente, imparcial y colegiado, con personalidad jurídica y patrimonio propio, con plena autonomía técnica, de gestión, capacidad para decidir sobre el ejercicio de su presupuesto y determinar su organización interna.

El INAI tiene a su cargo la responsabilidad de garantizar el cumplimiento de los derechos humanos de acceso a la información pública y de protección de datos personales.

El Pleno es el órgano superior de dirección del INAI y está integrado por siete comisionados que duran en su encargo siete años sin posibilidad de reelección, con las facultades descritas por el artículo 29 de la LFTAIP y el artículo 18 del Estatuto Orgánico del INAI. Asimismo, el INAI cuenta con un Consejo Consultivo integrado por diez consejeros que duran en su encargo siete años elegidos (salvo en la actual primera integración) por el voto de las dos terceras partes de los miembros presentes de la Cámara de Senadores y con las atribuciones establecidas en el artículo 54 de la LFTAIP. Las atribuciones generales del INAI se señalan en el artículo 21 de la LFTAIPG y en el artículo 12 de su Estatuto Orgánico, entre las que son relevantes para la tutela del derecho de protección de datos personales podemos mencionar las siguientes:

Ejercer las atribuciones que le otorgan la CPEUM, la LGTAIP, la LFTAIP, la LFPDPPP, la LGPDPPSO y demás normatividad aplicable.

Interpretar la LGTAIP, la LFTAIP y la LFPDPPP, en el ámbito de su competencia. Conocer y resolver los medios de defensa que interpongan los particulares en materia de

acceso a la información y protección de datos personales. Autorizar su estructura orgánica, así� como sus modificaciones. Aprobar la creación de comisiones y comités de apoyo. Nombrar y remover a los titulares de sus Secretarías y de Direcciones Generales. Aprobar el programa de trabajo institucional, así como los programas, planes y proyectos para dar

cumplimiento a su misión y visión. Aprobar las propuestas de acuerdos, lineamientos, normas, resoluciones generales, programas,

políticas y demás instrumentos y documentos que presente el Comisionado Presidente ante los Sistemas e instancias nacionales donde participe el INAI.

Aprobar la propuesta de suscripción de convenios, acuerdos, bases de colaboración y demás actos consensuales, tanto nacionales como internacionales, a celebrarse con cualquier ente público o privado, que someta a su consideración el Comisionado Presidente.

Aprobar la agenda internacional del INAI, así� como la participación de los Comisionados en seminarios, foros, congresos y eventos que se lleven a cabo en otros países.

276

Aprobar en el mes de diciembre, tanto el calendario de días inhábiles como el calendario de sesiones ordinarias aplicables para el año siguiente.

Aprobar los lineamientos, criterios y demás disposiciones normativas, así como sus modificaciones, que resulten necesarias para el ejercicio de sus atribuciones y funcionamiento.

Deliberar y votar los proyectos de acuerdos, resoluciones y dictámenes que se sometan a su consideración.

Instruir la publicación de los acuerdos y resoluciones. Las demás que le señalen la CPEUM Mexicanos, las leyes, sus reglamentos y otras disposiciones

legales y administrativas que le resulten aplicables.

a) Protección de datos personales en el sector privado El INAI, en lo que respecta a la materia de protección de datos personales en el sector privado ejerce sus facultades a través de la Secretaría de Protección de Datos, misma que se apoya en las Dirección General de Investigación y Verificación del Sector Privado, Dirección General de Investigación y Verificación del Sector Público, Dirección General de Normatividad de Consulta, Dirección General de Prevención y Autorregulación, Dirección General de Protección de Derechos y Sanción y la Dirección de Coordinación y Seguimiento. Entre las facultades del INAI que son ejercidas a través de sus unidades administrativas competentes están la de vigilar y verificar el contenido de la normatividad; proporcionar apoyo técnico a los sujetos de derecho privado que lo soliciten; emitir criterios y recomendaciones; conocer y resolver los procedimientos regulados en la normatividad (PPD, PI, PV y PISAN), como se verá en el correspondiente apartado, e imponer las sanciones que correspondan. Derivado de lo anterior, el INAI (antes IFAI) ha emitido interesantes resoluciones para garantizar el derecho de protección de datos personales en el sector privado. Entre ellas, destaca la resolución del Procedimiento de Verificación identificado con el expediente IFAI.3S.07.02-014/2013 en la que el órgano garante inició una investigación a una empresa privada que comercializaba un supuesto software de espionaje contratado para el gobierno federal, a solicitud de la denuncia de diversos particulares. Dicha resolución culminó en el PISAN identificado con el expediente PS.0025/13 por virtud del cual la empresa comercializadora del software de espionaje fue sancionada por obstruir los actos de verificación de la autoridad.

b) Protección de datos personales en el sector público Por otro lado, respecto al ejercicio de las facultades en materia de protección de datos personales en el sector público el INAI se apoya en la Dirección General de Evaluación Investigación y Verificación del Sector Público (“DGEIV”), misma que se integra de 2 Direcciones: La de Evaluación del Sector Público y la de Investigación y Verificación del Sector Público. El INAI es competente para realizar investigaciones previas, conocer el procedimiento de investigación, conocer sobre los recursos de inconformidad, revisión y revisión en materia de seguridad nacional. La labor de protección de datos personales en el sector público frente a las actividades de vigilancia e interferencia al derecho de protección de datos personales ha sido vigilada por el INAI, órgano que a través de diversas comunicaciones declaró la necesidad de proteger los datos personales y enfatizó el incumplimiento a dicha obligación por parte de autoridades federales:

En febrero de 2019, el INAI resolvió� dar vista al Órgano Interno de Control en la Fiscalía General de la República (FGR), a fin de que determine si los servidores públicos a cargo de operar el software Pegasus incurrieron en responsabilidades administrativas. Tras concluir el proceso de verificación, que inició de oficio en noviembre de 2018, el Instituto determinó que la entonces Procuraduría

277

General de la República (PGR) incumplió� con el deber de seguridad y el principio de responsabilidad, previstos en la LGPDPPSO.7

Por su parte, el Comisionado Presidente Francisco Javier Acuña Llamas, en la inauguración del foro “Vigilancia del Estado: Hacia la implementación de controles democráticos” afirmó que en una democracia es inaceptable que herramientas como el software Pegasus, adquirido por el Estado para combatir ilícitos, haya sido utilizado sin el debido protocolo y “burlando la legalidad” para vigilar a periodistas, defensores de derechos humanos y representantes de la sociedad civil organizada.8

Durante su participación en el foro Vigilancia del Estado: Hacia la implementación de controles democráticos, el Comisionado Joel Salas Suárez destacó que el INAI, en el ámbito de sus facultades, inició una investigación de oficio, a partir de la cual dio vista al Órgano Interno de Control de la FGR por el tratamiento indebido de datos personales en uso del software e interpuso una denuncia penal, debido a que la entonces Procuraduría General de la República negó la existencia de dos contratos para actualizar la licencia del uso de Pegasus en 2016 y 2017. 9

Asimismo, en el ámbito local, los organismos garantes locales en cada una de las entidades federativas del país vigilan el cumplimiento de la normatividad de protección de datos personales en el ámbito de sus competencias. Estos órganos, de acuerdo con lo previsto por la LGTAIP y la LFTAIP son órganos autónomos, especializados, independientes, imparciales y colegiados que se rigen por los principios de certeza, eficacia, imparcialidad, independencia, legalidad, máxima publicidad, profesionalismo, objetividad y transparencia y cuentan con atribuciones específicas para conocer de los asuntos relacionados con la materia de protección de datos personales en sus respectivos ámbitos competenciales. Esto es, en cada entidad federativa del país existe un organismo garante local encargado de velar por el cumplimiento de las disposiciones locales de protección de datos personales. Además, podemos destacar como facultades representativas y competencialmente distintas de las de la autoridad garante federal las siguientes:

Presentar petición fundada al INAI, para que conozca de los recursos de revisión que por su interés y trascendencia así lo ameriten.

Hacer del conocimiento de las autoridades competentes, la probable responsabilidad derivada del incumplimiento de las obligaciones previstas en la LGPDPPSO.

Proporcionar al INAI los elementos que requiera para resolver los recursos de inconformidad que le sean presentados.

Administrar, en el ámbito de sus competencias, la Plataforma Nacional de Transparencia. Interponer acciones de inconstitucionalidad en contra de leyes expedidas por las legislaturas de las

Entidades Federativas, que vulneren el derecho a la protección de datos personales.

7 Vid, Iinstituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI), Comunicado INAI/054/19, 20 de febrero de 2019, disponible en http://inicio.ifai.org.mx/Comunicados/Comunicado%20INAI-054-19.pdf 8 Vid, Iinstituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI), Comunicado INAI/083/19, 26 de marzo de 2019, disponible en http://inicio.ifai.org.mx/Comunicados/Comunicado%20INAI-083-19.pdf 9 Vid, Iinstituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI), Comunicado INAI/085/19, 26 de marzo de 2019, disponible en http://inicio.ifai.org.mx/Comunicados/Comunicado%20INAI-085-19.pdf

278

4) Las personas deben disponer de vías de acción efectivas En México existen diversas vías de acción, tanto administrativas como jurisdiccionales al alcance de los titulares de datos personales con el objeto de que estos puedan defenderse en caso de que identifiquen un tratamiento ilícito de sus datos personales para fines relacionados con la seguridad pública, la defensa y la seguridad nacional. Los primeros de ellos son los procedimientos en materia de protección de datos personales que se sustancian ante el INAI y los organismos garantes locales, y los segundos se refieren al juicio de amparo ante el Poder Judicial de la Federación, y el juicio contencioso administrativo federal que se sustancia ante el Tribunal Federal de Justicia Administrativa (TFJA) tratándose de los procedimientos regulados en el sector privado. Es decir, en la práctica, el derecho a la protección de datos personales se ve garantizado a través de la existencia de procedimientos de tutela sustanciados por el INAI y los garantes locales como autoridades competentes de supervisión. De esta suerte, se pueden distinguir los siguientes procedimientos en materia de protección de datos personales:

1. Sector privado: a. Procedimiento de Protección de Derechos (PPD). b. Procedimiento de Investigación (PI). c. Procedimiento de Verificación (PV). d. Procedimiento de Imposición de Sanciones (PISAN)

2. Sector público:

a. Recurso de Revisión (RR) b. Recurso de Inconformidad (RI) c. Recurso de Revisión en materia de Seguridad Nacional (RRSN) d. Procedimiento de Verificación (PV)

Como decíamos, las resoluciones derivadas de los procedimientos en materia de protección de datos personales pueden ser controvertidas a través de distintos mecanismos legales, por ejemplo, en el sector privado las resoluciones derivadas del PPD, PV y PISAN pueden ser impugnadas a través del Juicio Contencioso Administrativo Federal .-también conocido como juicio de nulidad- que se tramita ante el TJFA, y en caso de que la resolución del juicio de nulidad no favorezca al responsable, podrá interponerse el juicio de amparo. En la perspectiva del derecho público, las resoluciones del RR y RI emitidas por el INAI son vinculantes, definitivas e inatacables para los responsables y los organismos garantes. Sin embargo, los particulares afectados con motivo de una resolución recaída del desarrollo del RR, RI o en su caso de las sanciones establecidas por la LGPDPPSO podrán impugnar dichas determinaciones mediante el juicio de amparo ante el PJF.

instituto nacional de transparencia, acceso a la...

Documents