La protección de sus datos personales es muy importante para el Notario José de Jesús Niño De la Selva, Titular de la Notaría 77 del Distrito Federal, razón por la cual, éste AVISO DE PRIVACIDAD, elaborado para dar cumplimiento a la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, tiene como fin informarle el tipo de datos personales que recabamos de Usted, cómo los tratamos y con quien los compartimos.
¿Qué datos personales recabamos de Usted?
Como cliente de alguno de nuestros servicios le podemos solicitar información personal, que varía según el caso, relativa a:

  • Su nombre, nacionalidad, lugar y fecha de nacimiento, estado civil, dirección, ocupación, su RFC y/o su CURP.
  • Su correo electrónico y número telefónico.
  • Sus datos patrimoniales como cuentas bancarias, créditos, bienes muebles e inmuebles, activos, pasivos, entre otros.
  • Información sobre su cónyuge, herederos, legatarios y beneficiarios.
  • Comprobantes oficiales que acrediten su identidad y personalidad de la información que Usted declara.

¿Para qué usamos sus datos personales?
Esta Notaría recaba y usa sus datos personales para el cumplimiento de las siguientes finalidades:

  • Confirmar su identidad.
  • Entender y atender sus necesidades de carácter legal en materia notarial.
  • Otorgar seguridad y certeza jurídica a los hechos y actos que celebra, como pueden ser, enunciativa y no limitativamente, compraventas, donaciones, permutas, adjudicaciones por herencia, adjudicaciones por remate, constituciones de regímenes de propiedad en condominio, constitución de sociedades mercantiles, civiles y asociaciones, testamentos, trámites sucesorios testamentarios e intestamentarios, créditos e hipotecas, cancelaciones de hipotecas, otorgamientos y revocación de poderes, ratificaciones de firmas, fes de hechos, cotejo de documentos, entre otros.
  • Elaborar los instrumentos notariales de su interés.
  • Brindarle asesoría legal.
  • Cumplir con los requerimientos legales que le son aplicables.
  • Verificar la información que nos proporciona.

¿Con quién compartimos su información y para que fines?
Sus datos personales sólo son tratados por el personal adscrito a esta Notaría a efecto de elaborar las escrituras, actas e instrumentos notariales que Usted nos solicita, por lo cual, sus datos personales no se transfieren a ningún tercero ajeno a ella, salvo para el cumplimiento de obligaciones legales ante las autoridades competentes tales como los registros y/o archivos públicos, las autoridades tributarias, autoridades judiciales y/o administrativas.
¿Cómo puede limitar el uso o divulgación de su información personal?
Usted puede limitar el uso y divulgación de su información personal a través de los siguientes medios que hemos instrumentado:

  • Presentando su solicitud personalmente en nuestro domicilio, dirigida al Notario José de Jesús Niño De la Selva, Titular de la Notaría 77 del Distrito Federal, con oficinas en Avenida Doctor Vértiz número 872, colonia Narvarte, delegación Benito Juárez, código postal 03020, en la Ciudad de México, Distrito Federal.
  • Enviando un correo electrónico a josenino@notaria77.com

¿Cómo acceder, rectificar, cancelar u oponerse al tratamiento de sus datos personales?
El ejercicio de los derechos de acceso, rectificación, cancelación y oposición o la revocación del consentimiento, podrá efectuarse a través de los siguientes medios que hemos instrumentado:

  • Presentando su solicitud personalmente en nuestro domicilio, dirigida al Notario José de Jesús Niño De la Selva, Titular de la Notaría 77 del Distrito Federal, con oficinas en Avenida Doctor Vértiz número 872, colonia Narvarte, delegación Benito Juárez, código postal 03020, en la Ciudad de México, Distrito Federal.
  • Enviando un correo electrónico a josenino@notaria77.com

Es importante mencionar que el ejercicio de sus derecho de acceso, rectificación, cancelación y oposición o la revocación del consentimiento solo puede ser previo al otorgamiento de una escritura, acta o instrumento notarial, ya que sus datos personales, una vez utilizados y plasmados en una escritura, acta o instrumento notarial, no podrán ser materia de rectificación, cancelación, oposición o revocación, pudiendo hacerlo solamente respecto de los datos personales que se conservan en la base de datos de esta Notaría.
¿Cómo conocer los cambios al presente aviso de privacidad?
El presente aviso de privacidad puede sufrir modificaciones, cambios o actualizaciones por lo cual nos comprometemos a mantenerlo informado a través de nuestra página de Internet www.notaria77.com.
¿Cómo contactarnos?
Si usted tiene alguna duda sobre el presente aviso de privacidad, puede aclararla:

  • Presentando su solicitud personalmente en nuestro domicilio, dirigida al Notario José de Jesús Niño De la Selva, Titular de la Notaría 77 del Distrito Federal, con oficinas en Avenida Doctor Vértiz número 872, colonia Narvarte, delegación Benito Juárez, código postal 03020, en la Ciudad de México, Distrito Federal.
  • Enviando un correo electrónico a josenino@notaria77.com

Asimismo, ponemos a su disposición copias del presente aviso de privacidad en nuestra dirección postal y en nuestra página de internet www.notaria77.com.
Actualizaciones del aviso de privacidad.
La última versión del presente aviso de Privacidad es de marzo de 2012.

Atentamente,

José de Jesús Niño De la Selva.
Titular de la Notaría 77 del Distrito Federal.
Avenida Doctor Vertiz número 872, colonia Narvarte, delegación Benito Juárez,
código postal 03020, Ciudad de México, Distrito Federal.
josenino@notaria77.com       www.notaria77.com


PODER EJECUTIVO

SECRETARIA DE GOBERNACION


DECRETO por el que se expide la Ley Federal de Protección de Datos Personales en Posesión de los Particulares y se reforman los artículos 3, fracciones II y VII, y 33, así como la denominación del Capítulo II, del Título Segundo, de la Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental.

Al margen un sello con el Escudo Nacional, que dice: Estados Unidos Mexicanos.- Presidencia  de la República.

FELIPE DE JESÚS CALDERÓN HINOJOSA, Presidente de los Estados Unidos Mexicanos, a sus habitantes sabed:
Que el Honorable Congreso de la Unión, se ha servido dirigirme el siguiente
DECRETO
"EL CONGRESO GENERAL DE LOS ESTADOS UNIDOS MEXICANOS, DECRETA:
SE EXPIDE LA LEY FEDERAL DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE LOS PARTICULARES Y SE REFORMAN LOS ARTÍCULOS 3, FRACCIONES II Y VII, Y 33, ASÍ COMO LA DENOMINACIÓN DEL CAPÍTULO II, DEL TÍTULO SEGUNDO, DE LA LEY FEDERAL DE TRANSPARENCIA Y ACCESO A LA INFORMACIÓN PÚBLICA GUBERNAMENTAL.
ARTÍCULO PRIMERO. Se expide la Ley Federal de Protección de Datos Personales en Posesión de los Particulares.
LEY FEDERAL DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE LOS PARTICULARES
CAPÍTULO I
Disposiciones Generales
Artículo 1.- La presente Ley es de orden público y de observancia general en toda la República y tiene por objeto la protección de los datos personales en posesión de los particulares, con la finalidad de regular su tratamiento legítimo, controlado e informado, a efecto de garantizar la privacidad y el derecho a la autodeterminación informativa de las personas.
Artículo 2.- Son sujetos regulados por esta Ley, los particulares sean personas físicas o morales de carácter privado que lleven a cabo el tratamiento de datos personales, con excepción de:
I.       Las sociedades de información crediticia en los supuestos de la Ley para Regular las Sociedades de Información Crediticia y demás disposiciones aplicables, y
II.      Las personas que lleven a cabo la recolección y almacenamiento de datos personales, que sea para uso exclusivamente personal, y sin fines de divulgación o utilización comercial.
Artículo 3.- Para los efectos de esta Ley, se entenderá por:
I.       Aviso de Privacidad: Documento físico, electrónico o en cualquier otro formato generado por el responsable que es puesto a disposición del titular, previo al tratamiento de sus datos personales, de conformidad con el artículo 15 de la presente Ley.
II.      Bases de datos: El conjunto ordenado de datos personales referentes a una persona identificada o identificable.
III.     Bloqueo: La identificación y conservación de datos personales una vez cumplida la finalidad para la cual fueron recabados, con el único propósito de determinar posibles responsabilidades en relación con su tratamiento, hasta el plazo de prescripción legal o contractual de éstas. Durante dicho periodo, los datos personales no podrán ser objeto de tratamiento y transcurrido éste, se procederá a su cancelación en la base de datos que corresponde.
IV.     Consentimiento: Manifestación de la voluntad del titular de los datos mediante la cual se efectúa el tratamiento de los mismos.
V.      Datos personales: Cualquier información concerniente a una persona física identificada o identificable.
VI.     Datos personales sensibles: Aquellos datos personales que afecten a la esfera más íntima de su titular, o cuya utilización indebida pueda dar origen a discriminación o conlleve un riesgo grave para éste. En particular, se consideran sensibles aquellos que puedan revelar aspectos como origen racial o étnico, estado de salud presente y futuro, información genética, creencias religiosas, filosóficas y morales, afiliación sindical, opiniones políticas, preferencia sexual.
VII.    Días: Días hábiles.
VIII.   Disociación: El procedimiento mediante el cual los datos personales no pueden asociarse al titular ni permitir, por su estructura, contenido o grado de desagregación, la identificación del mismo.
IX.     Encargado: La persona física o jurídica que sola o conjuntamente con otras trate datos personales por cuenta del responsable.
X.      Fuente de acceso público: Aquellas bases de datos cuya consulta puede ser realizada por cualquier persona, sin más requisito que, en su caso, el pago de una contraprestación, de conformidad con lo señalado por el Reglamento de esta Ley.
XI.     Instituto: Instituto Federal de Acceso a la Información y Protección de Datos, a que hace referencia la Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental.
XII.    Ley: Ley Federal de Protección de Datos Personales en Posesión de los Particulares.
XIII.   Reglamento: El Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares.
XIV.   Responsable: Persona física o moral de carácter privado que decide sobre el tratamiento de datos personales.
XV.    Secretaría: Secretaría de Economía.
XVI.   Tercero: La persona física o moral, nacional o extranjera, distinta del titular o del responsable de los datos.
XVII.  Titular: La persona física a quien corresponden los datos personales.
XVIII. Tratamiento: La obtención, uso, divulgación o almacenamiento de datos personales, por cualquier medio. El uso abarca cualquier acción de acceso, manejo, aprovechamiento, transferencia o disposición de datos personales.
XIX.   Transferencia: Toda comunicación de datos realizada a persona distinta del responsable o encargado del tratamiento.
Artículo 4.- Los principios y derechos previstos en esta Ley, tendrán como límite en cuanto a su observancia y ejercicio, la protección de la seguridad nacional, el orden, la seguridad y la salud públicos, así como los derechos de terceros.
Artículo 5.- A falta de disposición expresa en esta Ley, se aplicarán de manera supletoria las disposiciones del Código Federal de Procedimientos Civiles y de la Ley Federal de Procedimiento Administrativo.
Para la substanciación de los procedimientos de protección de derechos, de verificación e imposición de sanciones se observarán las disposiciones contenidas en la Ley Federal de Procedimiento Administrativo.
CAPÍTULO II
De los Principios de Protección de Datos Personales
Artículo 6.- Los responsables en el tratamiento de datos personales, deberán observar los principios de licitud, consentimiento, información, calidad, finalidad, lealtad, proporcionalidad y responsabilidad, previstos en la Ley.
Artículo 7.- Los datos personales deberán recabarse y tratarse de manera lícita conforme a las disposiciones establecidas por esta Ley y demás normatividad aplicable.
La obtención de datos personales no debe hacerse a través de medios engañosos o fraudulentos.
En todo tratamiento de datos personales, se presume que existe la expectativa razonable de privacidad, entendida como la confianza que deposita cualquier persona en otra, respecto de que los datos personales proporcionados entre ellos serán tratados conforme a lo que acordaron las partes en los términos establecidos por esta Ley.
Artículo 8.- Todo tratamiento de datos personales estará sujeto al consentimiento de su titular, salvo las excepciones previstas por la presente Ley.
El consentimiento será expreso cuando la voluntad se manifieste verbalmente, por escrito, por medios electrónicos, ópticos o por cualquier otra tecnología, o por signos inequívocos.
Se entenderá que el titular consiente tácitamente el tratamiento de sus datos, cuando habiéndose puesto a su disposición el aviso de privacidad, no manifieste su oposición.
Los datos financieros o patrimoniales requerirán el consentimiento expreso de su titular, salvo las excepciones a que se refieren los artículos 10 y 37 de la presente Ley.
El consentimiento podrá ser revocado en cualquier momento sin que se le atribuyan efectos retroactivos. Para revocar el consentimiento, el responsable deberá, en el aviso de privacidad, establecer los mecanismos y procedimientos para ello.
Artículo 9.- Tratándose de datos personales sensibles, el responsable deberá obtener el consentimiento expreso y por escrito del titular para su tratamiento, a través de su firma autógrafa, firma electrónica, o cualquier mecanismo de autenticación que al efecto se establezca.
No podrán crearse bases de datos que contengan datos personales sensibles, sin que se justifique la creación de las mismas para finalidades legítimas, concretas y acordes con las actividades o fines explícitos que persigue el sujeto regulado.
Artículo 10.- No será necesario el consentimiento para el tratamiento de los datos personales cuando:
I.       Esté previsto en una Ley;
II.      Los datos figuren en fuentes de acceso público;
III.     Los datos personales se sometan a un procedimiento previo de disociación;
IV.     Tenga el propósito de cumplir obligaciones derivadas de una relación jurídica entre el titular y el responsable;
V.      Exista una situación de emergencia que potencialmente pueda dañar a un individuo en su persona o en sus bienes;
VI.     Sean indispensables para la atención médica, la prevención, diagnóstico, la prestación de asistencia sanitaria, tratamientos médicos o la gestión de servicios sanitarios, mientras el titular no esté en condiciones de otorgar el consentimiento, en los términos que establece la Ley General de Salud y demás disposiciones jurídicas aplicables y que dicho tratamiento de datos se realice por una persona sujeta al secreto profesional u obligación equivalente, o
VII.    Se dicte resolución de autoridad competente.
Artículo 11.- El responsable procurará que los datos personales contenidos en las bases de datos sean pertinentes, correctos y actualizados para los fines para los cuales fueron recabados.
Cuando los datos de carácter personal hayan dejado de ser necesarios para el cumplimiento de las finalidades previstas por el aviso de privacidad y las disposiciones legales aplicables, deberán ser cancelados.
El responsable de la base de datos estará obligado a eliminar la información relativa al incumplimiento de obligaciones contractuales, una vez que transcurra un plazo de setenta y dos meses, contado a partir de la fecha calendario en que se presente el mencionado incumplimiento.
Artículo 12.- El tratamiento de datos personales deberá limitarse al cumplimiento de las finalidades previstas en el aviso de privacidad. Si el responsable pretende tratar los datos para un fin distinto que no resulte compatible o análogo a los fines establecidos en aviso de privacidad, se requerirá obtener nuevamente el consentimiento del titular.
Artículo 13.- El tratamiento de datos personales será el que resulte necesario, adecuado y relevante en relación con las finalidades previstas en el aviso de privacidad. En particular para datos personales sensibles, el responsable deberá realizar esfuerzos razonables para limitar el periodo de tratamiento de los mismos a efecto de que sea el mínimo indispensable.
Artículo 14.- El responsable velará por el cumplimiento de los principios de protección de datos personales establecidos por esta Ley, debiendo adoptar las medidas necesarias para su aplicación. Lo anterior aplicará aún y cuando estos datos fueren tratados por un tercero a solicitud del responsable. El responsable deberá tomar las medidas necesarias y suficientes para garantizar que el aviso de privacidad dado a conocer al titular, sea respetado en todo momento por él o por terceros con los que guarde alguna relación jurídica.
Artículo 15.- El responsable tendrá la obligación de informar a los titulares de los datos, la información que se recaba de ellos y con qué fines, a través del aviso de privacidad.
Artículo 16.- El aviso de privacidad deberá contener, al menos, la siguiente información:
I.       La identidad y domicilio del responsable que los recaba;
II.      Las finalidades del tratamiento de datos;
III.     Las opciones y medios que el responsable ofrezca a los titulares para limitar el uso o divulgación de los datos;
IV.     Los medios para ejercer los derechos de acceso, rectificación, cancelación u oposición, de conformidad con lo dispuesto en esta Ley;
V.      En su caso, las transferencias de datos que se efectúen, y
VI.     El procedimiento y medio por el cual el responsable comunicará a los titulares de cambios al aviso de privacidad, de conformidad con lo previsto en esta Ley.
En el caso de datos personales sensibles, el aviso de privacidad deberá señalar expresamente que se trata de este tipo de datos.
Artículo 17.- El aviso de privacidad debe ponerse a disposición de los titulares a través de formatos impresos, digitales, visuales, sonoros o cualquier otra tecnología, de la siguiente manera:
I.       Cuando los datos personales hayan sido obtenidos personalmente del titular, el aviso de privacidad deberá ser facilitado en el momento en que se recaba el dato de forma clara y fehaciente, a través de los formatos por los que se recaban, salvo que se hubiera facilitado el aviso con anterioridad, y
II.      Cuando los datos personales sean obtenidos directamente del titular por cualquier medio electrónico, óptico, sonoro, visual, o a través de cualquier otra tecnología, el responsable deberá proporcionar al titular de manera inmediata, al menos la información a que se refiere las fracciones I y II del artículo anterior, así como proveer los mecanismos para que el titular conozca el texto completo del aviso de privacidad.
Artículo 18.- Cuando los datos no hayan sido obtenidos directamente del titular, el responsable deberá darle a conocer el cambio en el aviso de privacidad.
No resulta aplicable lo establecido en el párrafo anterior, cuando el tratamiento sea con fines históricos, estadísticos o científicos.
Cuando resulte imposible dar a conocer el aviso de privacidad al titular o exija esfuerzos desproporcionados, en consideración al número de titulares, o a la antigüedad de los datos, previa autorización del Instituto, el responsable podrá instrumentar medidas compensatorias en términos del Reglamento de esta Ley.
Artículo 19.- Todo responsable que lleve a cabo tratamiento de datos personales deberá establecer y mantener medidas de seguridad administrativas, técnicas y físicas que permitan proteger los datos personales contra daño, pérdida, alteración, destrucción o el uso, acceso o tratamiento no autorizado.
Los responsables no adoptarán medidas de seguridad menores a aquellas que mantengan para el manejo de su información. Asimismo se tomará en cuenta el riesgo existente, las posibles consecuencias para los titulares, la sensibilidad de los datos y el desarrollo tecnológico.
Artículo 20.- Las vulneraciones de seguridad ocurridas en cualquier fase del tratamiento que afecten de forma significativa los derechos patrimoniales o morales de los titulares, serán informadas de forma inmediata por el responsable al titular, a fin de que este último pueda tomar las medidas correspondientes a la defensa de sus derechos.
Artículo 21.- El responsable o terceros que intervengan en cualquier fase del tratamiento de datos personales deberán guardar confidencialidad respecto de éstos, obligación que subsistirá aun después de finalizar sus relaciones con el titular o, en su caso, con el responsable.
CAPÍTULO III
De los Derechos de los Titulares de Datos Personales
Artículo 22.- Cualquier titular, o en su caso su representante legal, podrá ejercer los derechos de acceso, rectificación, cancelación y oposición previstos en la presente Ley. El ejercicio de cualquiera de ellos no es requisito previo ni impide el ejercicio de otro. Los datos personales deben ser resguardados de tal manera que permitan el ejercicio sin dilación de estos derechos.
Artículo 23.- Los titulares tienen derecho a acceder a sus datos personales que obren en poder del responsable, así como conocer el Aviso de Privacidad al que está sujeto el tratamiento.
Artículo 24.- El titular de los datos tendrá derecho a rectificarlos cuando sean inexactos o incompletos.
Artículo 25.- El titular tendrá en todo momento el derecho a cancelar sus datos personales.
La cancelación de datos personales dará lugar a un periodo de bloqueo tras el cual se procederá a la supresión del dato. El responsable podrá conservarlos exclusivamente para efectos de las responsabilidades nacidas del tratamiento. El periodo de bloqueo será equivalente al plazo de prescripción de las acciones derivadas de la relación jurídica que funda el tratamiento en los términos de la Ley aplicable en la materia.
Una vez cancelado el dato se dará aviso a su titular.
Cuando los datos personales hubiesen sido transmitidos con anterioridad a la fecha de rectificación o cancelación y sigan siendo tratados por terceros, el responsable deberá hacer de su conocimiento dicha solicitud de rectificación o cancelación, para que proceda a efectuarla también.
Artículo 26.- El responsable no estará obligado a cancelar los datos personales cuando:
I.       Se refiera a las partes de un contrato privado, social o administrativo y sean necesarios para su desarrollo y cumplimiento;
II.      Deban ser tratados por disposición legal;
III.     Obstaculice actuaciones judiciales o administrativas vinculadas a obligaciones fiscales, la investigación y persecución de delitos o la actualización de sanciones administrativas;
IV.     Sean necesarios para proteger los intereses jurídicamente tutelados del titular;
V.      Sean necesarios para realizar una acción en función del interés público;
VI.     Sean necesarios para cumplir con una obligación legalmente adquirida por el titular, y
VII.    Sean objeto de tratamiento para la prevención o para el diagnóstico médico o la gestión de servicios de salud, siempre que dicho tratamiento se realice por un profesional de la salud sujeto a un deber de secreto.
Artículo 27.- El titular tendrá derecho en todo momento y por causa legítima a oponerse al tratamiento de sus datos. De resultar procedente, el responsable no podrá tratar los datos relativos al titular.
CAPÍTULO IV
Del Ejercicio de los Derechos de Acceso, Rectificación, Cancelación y Oposición
Artículo 28.- El titular o su representante legal podrán solicitar al responsable en cualquier momento el acceso, rectificación, cancelación u oposición, respecto de los datos personales que le conciernen.
Artículo 29.- La solicitud de acceso, rectificación, cancelación u oposición deberá contener y acompañar lo siguiente:
I.       El nombre del titular y domicilio u otro medio para comunicarle la respuesta a su solicitud;
II.      Los documentos que acrediten la identidad o, en su caso, la representación legal del titular;
III.     La descripción clara y precisa de los datos personales respecto de los que se busca ejercer alguno de los derechos antes mencionados, y
IV.     Cualquier otro elemento o documento que facilite la localización de los datos personales.
Artículo 30.- Todo responsable deberá designar a una persona, o departamento de datos personales, quien dará trámite a las solicitudes de los titulares, para el ejercicio de los derechos a que se refiere la presente Ley. Asimismo fomentará la protección de datos personales al interior de la organización.
Artículo 31.- En el caso de solicitudes de rectificación de datos personales, el titular deberá indicar, además de lo señalado en el artículo anterior de esta Ley, las modificaciones a realizarse y aportar la documentación que sustente su petición.
Artículo 32.- El responsable comunicará al titular, en un plazo máximo de veinte días, contados desde la fecha en que se recibió la solicitud de acceso, rectificación, cancelación u oposición, la determinación adoptada, a efecto de que, si resulta procedente, se haga efectiva la misma dentro de los quince días siguientes a la fecha en que se comunica la respuesta. Tratándose de solicitudes de acceso a datos personales, procederá la entrega previa acreditación de la identidad del solicitante o representante legal, según corresponda.
Los plazos antes referidos podrán ser ampliados una sola vez por un periodo igual, siempre y cuando así lo justifiquen las circunstancias del caso.
Artículo 33.- La obligación de acceso a la información se dará por cumplida cuando se pongan a disposición del titular los datos personales; o bien, mediante la expedición de copias simples, documentos electrónicos o cualquier otro medio que determine el responsable en el aviso de privacidad.
En el caso de que el titular solicite el acceso a los datos a una persona que presume es el responsable y ésta resulta no serlo, bastará con que así se le indique al titular por cualquiera de los medios a que se refiere el párrafo anterior, para tener por cumplida la solicitud.
Artículo 34.- El responsable podrá negar el acceso a los datos personales, o a realizar la rectificación o cancelación o conceder la oposición al tratamiento de los mismos, en los siguientes supuestos:
I.       Cuando el solicitante no sea el titular de los datos personales, o el representante legal no esté debidamente acreditado para ello;
II.      Cuando en su base de datos, no se encuentren los datos personales del solicitante;
III.     Cuando se lesionen los derechos de un tercero;
IV.     Cuando exista un impedimento legal, o la resolución de una autoridad competente, que restrinja el acceso a los datos personales, o no permita la rectificación, cancelación u oposición de los mismos, y
V.      Cuando la rectificación, cancelación u oposición haya sido previamente realizada.
La negativa a que se refiere este artículo podrá ser parcial en cuyo caso el responsable efectuará el acceso, rectificación, cancelación u oposición requerida por el titular.
En todos los casos anteriores, el responsable deberá informar el motivo de su decisión y comunicarla al titular, o en su caso, al representante legal, en los plazos establecidos para tal efecto, por el mismo medio por el que se llevó a cabo la solicitud, acompañando, en su caso, las pruebas que resulten pertinentes.
Artículo 35.- La entrega de los datos personales será gratuita, debiendo cubrir el titular únicamente los gastos justificados de envío o con el costo de reproducción en copias u otros formatos.
Dicho derecho se ejercerá por el titular en forma gratuita, previa acreditación de su identidad ante el responsable. No obstante, si la misma persona reitera su solicitud en un periodo menor a doce meses, los costos no serán mayores a tres días de Salario Mínimo General Vigente en el Distrito Federal, a menos que existan modificaciones sustanciales al aviso de privacidad que motiven nuevas consultas.
El titular podrá presentar una solicitud de protección de datos por la respuesta recibida o falta de respuesta del responsable, de conformidad con lo establecido en el siguiente Capítulo.
CAPÍTULO V
De la Transferencia de Datos
Artículo 36.- Cuando el responsable pretenda transferir los datos personales a terceros nacionales o extranjeros, distintos del encargado, deberá comunicar a éstos el aviso de privacidad y las finalidades a las que el titular sujetó su tratamiento.
El tratamiento de los datos se hará conforme a lo convenido en el aviso de privacidad, el cual contendrá una cláusula en la que se indique si el titular acepta o no la transferencia de sus datos, de igual manera, el tercero receptor, asumirá las mismas obligaciones que correspondan al responsable que transfirió los datos.
Artículo 37.- Las transferencias nacionales o internacionales de datos podrán llevarse a cabo sin el consentimiento del titular cuando se dé alguno de los siguientes supuestos:
I.       Cuando la transferencia esté prevista en una Ley o Tratado en los que México sea parte;
II.      Cuando la transferencia sea necesaria para la prevención o el diagnóstico médico, la prestación de asistencia sanitaria, tratamiento médico o la gestión de servicios sanitarios;
III.     Cuando la transferencia sea efectuada a sociedades controladoras, subsidiarias o afiliadas bajo el control común del responsable, o a una sociedad matriz o a cualquier sociedad del mismo grupo del responsable que opere bajo los mismos procesos y políticas internas;
IV.     Cuando la transferencia sea necesaria por virtud de un contrato celebrado o por celebrar en interés del titular, por el responsable y un tercero;
V.      Cuando la transferencia sea necesaria o legalmente exigida para la salvaguarda de un interés público, o para la procuración o administración de justicia;
VI.     Cuando la transferencia sea precisa para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial, y
VII.    Cuando la transferencia sea precisa para el mantenimiento o cumplimiento de una relación jurídica entre el responsable y el titular.
CAPÍTULO VI
De las Autoridades
Sección I
Del Instituto
Artículo 38.- El Instituto, para efectos de esta Ley, tendrá por objeto difundir el conocimiento del derecho a la protección de datos personales en la sociedad mexicana, promover su ejercicio y vigilar por la debida observancia de las disposiciones previstas en la presente Ley y que deriven de la misma; en particular aquellas relacionadas con el cumplimiento de obligaciones por parte de los sujetos regulados por este ordenamiento.
Artículo 39.- El Instituto tiene las siguientes atribuciones:
I.       Vigilar y verificar el cumplimiento de las disposiciones contenidas en esta Ley, en el ámbito de su competencia, con las excepciones previstas por la legislación;
II.      Interpretar en el ámbito administrativo la presente Ley;
III.     Proporcionar apoyo técnico a los responsables que lo soliciten, para el cumplimiento de las obligaciones establecidas en la presente Ley;
IV.     Emitir los criterios y recomendaciones, de conformidad con las disposiciones aplicables de esta Ley, para efectos de su funcionamiento y operación;
V.      Divulgar estándares y mejores prácticas internacionales en materia de seguridad de la información, en atención a la naturaleza de los datos; las finalidades del tratamiento, y las capacidades técnicas y económicas del responsable;
VI.     Conocer y resolver los procedimientos de protección de derechos y de verificación señalados en esta Ley e imponer las sanciones según corresponda;
VII.    Cooperar con otras autoridades de supervisión y organismos nacionales e internacionales, a efecto de coadyuvar en materia de protección de datos;
VIII.   Rendir al Congreso de la Unión un informe anual de sus actividades;
IX.     Acudir a foros internacionales en el ámbito de la presente Ley;
X.      Elaborar estudios de impacto sobre la privacidad previos a la puesta en práctica de una nueva modalidad de tratamiento de datos personales o a la realización de modificaciones sustanciales en tratamientos ya existentes;
XI.     Desarrollar, fomentar y difundir análisis, estudios e investigaciones en materia de protección de datos personales en Posesión de los Particulares y brindar capacitación a los sujetos obligados, y
XII.    Las demás que le confieran esta Ley y demás ordenamientos aplicables.
Sección II
De las Autoridades Reguladoras
Artículo 40.- La presente Ley constituirá el marco normativo que las dependencias deberán observar, en el ámbito de sus propias atribuciones, para la emisión de la regulación que corresponda, con la coadyuvancia del Instituto.
Artículo 41.- La Secretaría, para efectos de esta Ley, tendrá como función difundir el conocimiento de las obligaciones en torno a la protección de datos personales entre la iniciativa privada nacional e internacional con actividad comercial en territorio mexicano; promoverá las mejores prácticas comerciales en torno a la protección de los datos personales como insumo de la economía digital, y el desarrollo económico nacional en su conjunto.
Artículo 42.- En lo referente a las bases de datos de comercio, la regulación que emita la Secretaría, únicamente será aplicable a aquellas bases de datos automatizadas o que formen parte de un proceso de automatización.
Artículo 43.- La Secretaría tiene las siguientes atribuciones:
I.       Difundir el conocimiento respecto a la protección de datos personales en el ámbito comercial;
II.      Fomentar las buenas prácticas comerciales en materia de protección de datos personales;
III.     Emitir los lineamientos correspondientes para el contenido y alcances de los avisos de privacidad en coadyuvancia con el Instituto, a que se refiere la presente Ley;
IV.     Emitir, en el ámbito de su competencia, las disposiciones administrativas de carácter general a que se refiere el artículo 40, en coadyuvancia con el Instituto;
V.      Fijar los parámetros necesarios para el correcto desarrollo de los mecanismos y medidas de autorregulación a que se refiere el artículo 44 de la presente Ley, incluido la promoción de Normas Mexicanas o Normas Oficiales Mexicanas, en coadyuvancia con el Instituto;
VI.     Llevar a cabo los registros de consumidores en materia de datos personales y verificar su funcionamiento;
VII.    Celebrar convenios con cámaras de comercio, asociaciones y organismos empresariales en lo general, en materia de protección de datos personales;
VIII.   Diseñar e instrumentar políticas y coordinar la elaboración de estudios para la modernización y operación eficiente del comercio electrónico, así como para promover el desarrollo de la economía digital y las tecnologías de la información en materia de protección de datos personales;
IX.     Acudir a foros comerciales nacionales e internacionales en materia de protección de datos personales, o en aquellos eventos de naturaleza comercial, y
X.      Apoyar la realización de eventos, que contribuyan a la difusión de la protección de los datos personales.
Artículo 44.- Las personas físicas o morales podrán convenir entre ellas o con organizaciones civiles o gubernamentales, nacionales o extranjeras, esquemas de autorregulación vinculante en la materia, que complementen lo dispuesto por la presente Ley. Dichos esquemas deberán contener mecanismos para medir su eficacia en la protección de los datos, consecuencias y medidas correctivas eficaces en caso de incumplimiento.
Los esquemas de autorregulación podrán traducirse en códigos deontológicos o de buena práctica profesional, sellos de confianza u otros mecanismos y contendrán reglas o estándares específicos que permitan armonizar los tratamientos de datos efectuados por los adheridos y facilitar el ejercicio de los derechos de los titulares. Dichos esquemas serán notificados de manera simultánea a las autoridades sectoriales correspondientes y al Instituto.
CAPÍTULO VII
Del Procedimiento de Protección de Derechos
Artículo 45.- El procedimiento se iniciará a instancia del titular de los datos o de su representante legal, expresando con claridad el contenido de su reclamación y de los preceptos de esta Ley que se consideran vulnerados. La solicitud de protección de datos deberá presentarse ante el Instituto dentro de los quince días siguientes a la fecha en que se comunique la respuesta al titular por parte del responsable.
En el caso de que el titular de los datos no reciba respuesta por parte del responsable, la solicitud de protección de datos podrá ser presentada a partir de que haya vencido el plazo de respuesta previsto para el responsable. En este caso, bastará que el titular de los datos acompañe a su solicitud de protección de datos el documento que pruebe la fecha en que presentó la solicitud de acceso, rectificación, cancelación u oposición.
La solicitud de protección de datos también procederá en los mismos términos cuando el responsable no entregue al titular los datos personales solicitados; o lo haga en un formato incomprensible, se niegue a efectuar modificaciones o correcciones a los datos personales, el titular no esté conforme con la información entregada por considerar que es incompleta o no corresponda a la información requerida.
Recibida la solicitud de protección de datos ante el Instituto, se dará traslado de la misma al responsable, para que, en el plazo de quince días, emita respuesta, ofrezca las pruebas que estime pertinentes y manifieste por escrito lo que a su derecho convenga.
El Instituto admitirá las pruebas que estime pertinentes y procederá a su desahogo. Asimismo, podrá solicitar del responsable las demás pruebas que estime necesarias. Concluido el desahogo de las pruebas, el Instituto notificará al responsable el derecho que le asiste para que, de considerarlo necesario, presente sus alegatos dentro de los cinco días siguientes a su notificación.
Para el debido desahogo del procedimiento, el Instituto resolverá sobre la solicitud de protección de datos formulada, una vez analizadas las pruebas y demás elementos de convicción que estime pertinentes, como pueden serlo aquéllos que deriven de la o las audiencias que se celebren con las partes.
El Reglamento de la Ley establecerá la forma, términos y plazos conforme a los que se desarrollará el procedimiento de protección de derechos.
Artículo 46.- La solicitud de protección de datos podrá interponerse por escrito libre o a través de los formatos, del sistema electrónico que al efecto proporcione el Instituto y deberá contener la siguiente información:
I.       El nombre del titular o, en su caso, el de su representante legal, así como del tercero interesado, si lo hay;
II.      El nombre del responsable ante el cual se presentó la solicitud de acceso, rectificación, cancelación u oposición de datos personales;
III.     El domicilio para oír y recibir notificaciones;
IV.     La fecha en que se le dio a conocer la respuesta del responsable, salvo que el procedimiento inicie con base en lo previsto en el artículo 50;
V.      Los actos que motivan su solicitud de protección de datos, y
VI.     Los demás elementos que se considere procedente hacer del conocimiento del Instituto.
La forma y términos en que deba acreditarse la identidad del titular o bien, la representación legal se establecerán en el Reglamento.
Asimismo, a la solicitud de protección de datos deberá acompañarse la solicitud y la respuesta que se recurre o, en su caso, los datos que permitan su identificación. En el caso de falta de respuesta sólo será necesario presentar la solicitud.
En el caso de que la solicitud de protección de datos se interponga a través de medios que no sean electrónicos, deberá acompañarse de las copias de traslado suficientes.
Artículo 47.- El plazo máximo para dictar la resolución en el procedimiento de protección de derechos será de cincuenta días, contados a partir de la fecha de presentación de la solicitud de protección de datos. Cuando haya causa justificada, el Pleno del Instituto podrá ampliar por una vez y hasta por un período igual este plazo.
Artículo 48.- En caso que la resolución de protección de derechos resulte favorable al titular de los datos, se requerirá al responsable para que, en el plazo de diez días siguientes a la notificación o cuando así se justifique, uno mayor que fije la propia resolución, haga efectivo el ejercicio de los derechos objeto de protección, debiendo dar cuenta por escrito de dicho cumplimiento al Instituto dentro de los siguientes diez días.
Artículo 49.- En caso de que la solicitud de protección de datos no satisfaga alguno de los requisitos a que se refiere el artículo 46 de esta Ley, y el Instituto no cuente con elementos para subsanarlo, se prevendrá al titular de los datos dentro de los veinte días hábiles siguientes a la presentación de la solicitud de protección de datos, por una sola ocasión, para que subsane las omisiones dentro de un plazo de cinco días. Transcurrido el plazo sin desahogar la prevención se tendrá por no presentada la solicitud de protección de datos. La prevención tendrá el efecto de interrumpir el plazo que tiene el Instituto para resolver la solicitud de protección de datos.
Artículo 50.- El Instituto suplirá las deficiencias de la queja en los casos que así se requiera, siempre y cuando no altere el contenido original de la solicitud de acceso, rectificación, cancelación u oposición de datos personales, ni se modifiquen los hechos o peticiones expuestos en la misma o en la solicitud de protección de datos.
Artículo 51.- Las resoluciones del Instituto podrán:
I.       Sobreseer o desechar la solicitud de protección de datos por improcedente, o
II.      Confirmar, revocar o modificar la respuesta del responsable.
Artículo 52.- La solicitud de protección de datos será desechada por improcedente cuando:
I.       El Instituto no sea competente;
II.      El Instituto haya conocido anteriormente de la solicitud de protección de datos contra el mismo acto y resuelto en definitiva respecto del mismo recurrente;
III.     Se esté tramitando ante los tribunales competentes algún recurso o medio de defensa interpuesto por el titular que pueda tener por efecto modificar o revocar el acto respectivo;
IV.     Se trate de una solicitud de protección de datos ofensiva o irracional, o
V.      Sea extemporánea.
Artículo 53.- La solicitud de protección de datos será sobreseída cuando:
I.       El titular fallezca;
II.      El titular se desista de manera expresa;
III.     Admitida la solicitud de protección de datos, sobrevenga una causal de improcedencia, y
IV.     Por cualquier motivo quede sin materia la misma.
Artículo 54.- El Instituto podrá en cualquier momento del procedimiento buscar una conciliación entre el titular de los datos y el responsable.
De llegarse a un acuerdo de conciliación entre ambos, éste se hará constar por escrito y tendrá efectos vinculantes. La solicitud de protección de datos quedará sin materia y el Instituto verificará el cumplimiento del acuerdo respectivo.
Para efectos de la conciliación a que se alude en el presente ordenamiento, se estará al procedimiento que se establezca en el Reglamento de esta Ley.
Artículo 55.- Interpuesta la solicitud de protección de datos ante la falta de respuesta a una solicitud en ejercicio de los derechos de acceso, rectificación, cancelación u oposición por parte del responsable, el Instituto dará vista al citado responsable para que, en un plazo no mayor a diez días, acredite haber respondido en tiempo y forma la solicitud, o bien dé respuesta a la misma. En caso de que la respuesta atienda a lo solicitado, la solicitud de protección de datos se considerará improcedente y el Instituto deberá sobreseerlo.
En el segundo caso, el Instituto emitirá su resolución con base en el contenido de la solicitud original y la respuesta del responsable que alude el párrafo anterior.
Si la resolución del Instituto a que se refiere el párrafo anterior determina la procedencia de la solicitud, el responsable procederá a su cumplimiento, sin costo alguno para el titular, debiendo cubrir el responsable todos los costos generados por la reproducción correspondiente.
Artículo 56.- Contra las resoluciones del Instituto, los particulares podrán promover el juicio de nulidad ante el Tribunal Federal de Justicia Fiscal y Administrativa.
Artículo 57.- Todas las resoluciones del Instituto serán susceptibles de difundirse públicamente en versiones públicas, eliminando aquellas referencias al titular de los datos que lo identifiquen o lo hagan identificable.
Artículo 58.- Los titulares que consideren que han sufrido un daño o lesión en sus bienes o derechos como consecuencia del incumplimiento a lo dispuesto en la presente Ley por el responsable o el encargado, podrán ejercer los derechos que estimen pertinentes para efectos de la indemnización que proceda, en términos de las disposiciones legales correspondientes.
CAPÍTULO VIII
Del Procedimiento de Verificación
Artículo 59.- El Instituto verificará el cumplimiento de la presente Ley y de la normatividad que de ésta derive. La verificación podrá iniciarse de oficio o a petición de parte.
La verificación de oficio procederá cuando se dé el incumplimiento a resoluciones dictadas con motivo de procedimientos de protección de derechos a que se refiere el Capítulo anterior o se presuma fundada y motivadamente la existencia de violaciones a la presente Ley.
Artículo 60.- En el procedimiento de verificación el Instituto tendrá acceso a la información y documentación que considere necesarias, de acuerdo a la resolución que lo motive.
Los servidores públicos federales estarán obligados a guardar confidencialidad sobre la información que conozcan derivada de la verificación correspondiente.
El Reglamento desarrollará la forma, términos y plazos en que se sustanciará el procedimiento a que se refiere el presente artículo.
CAPÍTULO IX
Del Procedimiento de Imposición de Sanciones
Artículo 61.- Si con motivo del desahogo del procedimiento de protección de derechos o del procedimiento de verificación que realice el Instituto, éste tuviera conocimiento de un presunto incumplimiento de alguno de los principios o disposiciones de esta Ley, iniciará el procedimiento a que se refiere este Capítulo, a efecto de determinar la sanción que corresponda.
Artículo 62.- El procedimiento de imposición de sanciones dará comienzo con la notificación que efectúe el Instituto al presunto infractor, sobre los hechos que motivaron el inicio del procedimiento y le otorgará un término de quince días para que rinda pruebas y manifieste por escrito lo que a su derecho convenga. En caso de no rendirlas, el Instituto resolverá conforme a los elementos de convicción de que disponga.
El Instituto admitirá las pruebas que estime pertinentes y procederá a su desahogo. Asimismo, podrá solicitar del presunto infractor las demás pruebas que estime necesarias. Concluido el desahogo de las pruebas, el Instituto notificará al presunto infractor el derecho que le asiste para que, de considerarlo necesario, presente sus alegatos dentro de los cinco días siguientes a su notificación.
El Instituto, una vez analizadas las pruebas y demás elementos de convicción que estime pertinentes, resolverá en definitiva dentro de los cincuenta días siguientes a la fecha en que inició el procedimiento sancionador. Dicha resolución deberá ser notificada a las partes.
Cuando haya causa justificada, el Pleno del Instituto podrá ampliar por una vez y hasta por un período igual este plazo.
El Reglamento desarrollará la forma, términos y plazos en que se sustanciará el procedimiento de imposición de sanciones, incluyendo presentación de pruebas y alegatos, la celebración de audiencias y el cierre de instrucción.
CAPÍTULO X
De las Infracciones y Sanciones
Artículo 63.- Constituyen infracciones a esta Ley, las siguientes conductas llevadas a cabo por el responsable:
I.       No cumplir con la solicitud del titular para el acceso, rectificación, cancelación u oposición al tratamiento de sus datos personales, sin razón fundada, en los términos previstos en esta Ley;
II.      Actuar con negligencia o dolo en la tramitación y respuesta de solicitudes de acceso, rectificación, cancelación u oposición de datos personales;
III.     Declarar dolosamente la inexistencia de datos personales, cuando exista total o parcialmente en las bases de datos del responsable;
IV.     Dar tratamiento a los datos personales en contravención a los principios establecidos en la presente Ley;
V.      Omitir en el aviso de privacidad, alguno o todos los elementos a que se refiere el artículo 16 de esta Ley;
VI.     Mantener datos personales inexactos cuando resulte imputable al responsable, o no efectuar las rectificaciones o cancelaciones de los mismos que legalmente procedan cuando resulten afectados los derechos de los titulares;
VII.    No cumplir con el apercibimiento a que se refiere la fracción I del artículo 64;
VIII.   Incumplir el deber de confidencialidad establecido en el artículo 21 de esta Ley;
IX.     Cambiar sustancialmente la finalidad originaria del tratamiento de los datos, sin observar lo dispuesto por el artículo 12;
X.      Transferir datos a terceros sin comunicar a éstos el aviso de privacidad que contiene las limitaciones a que el titular sujetó la divulgación de los mismos;
XI.     Vulnerar la seguridad de bases de datos, locales, programas o equipos, cuando resulte imputable al responsable;
XII.    Llevar a cabo la transferencia o cesión de los datos personales, fuera de los casos en que esté permitida por la Ley;
XIII.   Recabar o transferir datos personales sin el consentimiento expreso del titular, en los casos en que éste sea exigible;
XIV.   Obstruir los actos de verificación de la autoridad;
XV.    Recabar datos en forma engañosa y fraudulenta;
XVI.   Continuar con el uso ilegítimo de los datos personales cuando se ha solicitado el cese del mismo por el Instituto o los titulares;
XVII.  Tratar los datos personales de manera que se afecte o impida el ejercicio de los derechos de acceso, rectificación, cancelación y oposición establecidos en el artículo 16 de la Constitución Política de los Estados Unidos Mexicanos;
XVIII. Crear bases de datos en contravención a lo dispuesto por el artículo 9, segundo párrafo de esta Ley, y
XIX.   Cualquier incumplimiento del responsable a las obligaciones establecidas a su cargo en términos de lo previsto en la presente Ley.
Artículo 64.- Las infracciones a la presente Ley serán sancionadas por el Instituto con:
I.       El apercibimiento para que el responsable lleve a cabo los actos solicitados por el titular, en los términos previstos por esta Ley, tratándose de los supuestos previstos en la fracción I del artículo anterior;
II.      Multa de 100 a 160,000 días de salario mínimo vigente en el Distrito Federal, en los casos previstos en las fracciones II a VII del artículo anterior;
III.     Multa de 200 a 320,000 días de salario mínimo vigente en el Distrito Federal, en los casos previstos en las fracciones VIII a XVIII del artículo anterior, y
IV.     En caso de que de manera reiterada persistan las infracciones citadas en los incisos anteriores, se impondrá una multa adicional que irá de 100 a 320,000 días de salario mínimo vigente en el Distrito Federal. En tratándose de infracciones cometidas en el tratamiento de datos sensibles, las sanciones podrán incrementarse hasta por dos veces, los montos establecidos.
Artículo 65.- El Instituto fundará y motivará sus resoluciones, considerando:
I.       La naturaleza del dato;
II.      La notoria improcedencia de la negativa del responsable, para realizar los actos solicitados por el titular, en términos de esta Ley;
III.     El carácter intencional o no, de la acción u omisión constitutiva de la infracción;
IV.     La capacidad económica del responsable, y
V.      La reincidencia.
Artículo 66.- Las sanciones que se señalan en este Capítulo se impondrán sin perjuicio de la responsabilidad civil o penal que resulte.
CAPÍTULO XI
De los Delitos en Materia del Tratamiento Indebido de Datos Personales
Artículo 67.- Se impondrán de tres meses a tres años de prisión al que estando autorizado para tratar datos personales, con ánimo de lucro, provoque una vulneración de seguridad a las bases de datos bajo su custodia.
Artículo 68.- Se sancionará con prisión de seis meses a cinco años al que, con el fin de alcanzar un lucro indebido, trate datos personales mediante el engaño, aprovechándose del error en que se encuentre el titular o la persona autorizada para transmitirlos.
Artículo 69.- Tratándose de datos personales sensibles, las penas a que se refiere este Capítulo se duplicarán.
TRANSITORIOS
PRIMERO.- El presente Decreto entrará en vigor al día siguiente al de su publicación en el Diario Oficial de la Federación.
SEGUNDO.- El Ejecutivo Federal expedirá el Reglamento de esta Ley dentro del año siguiente a su entrada en vigor.
TERCERO.- Los responsables designarán a la persona o departamento de datos personales a que se refiere el artículo 30 de la Ley y expedirán sus avisos de privacidad a los titulares de datos personales  de conformidad a lo dispuesto por los artículos 16 y 17 a más tardar un año después de la entrada en vigor de la presente Ley.
CUARTO.- Los titulares podrán ejercer ante los responsables sus derechos de acceso, rectificación, cancelación y oposición contemplados en el Capítulo IV de la Ley; así como dar inicio, en su caso, al procedimiento de protección de derechos establecido en el Capítulo VII de la misma, dieciocho meses después de la entrada en vigor de la Ley.
QUINTO.- En cumplimiento a lo dispuesto por el artículo tercero transitorio del Decreto por el que se adiciona la fracción XXIX-O al artículo 73 de la Constitución Política de los Estados Unidos Mexicanos, publicado en el Diario Oficial de la Federación el 30 de abril de 2009, las disposiciones locales en materia de protección de datos personales en posesión de los particulares se abrogan, y se derogan las demás disposiciones que se opongan a la presente Ley.
SEXTO.- Las referencias que con anterioridad a la entrada en vigor del presente Decreto, se hacen en las leyes, tratados y acuerdos internacionales, reglamentos y demás ordenamientos al Instituto Federal de Acceso a la Información Pública, en lo futuro se entenderán hechas al Instituto Federal de Acceso a la Información y Protección de Datos Personales.
SÉPTIMO.- Las acciones que, en cumplimiento a lo dispuesto en la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, corresponda realizar al Ejecutivo Federal, se sujetarán a los presupuestos aprobados de las instituciones correspondientes y a las disposiciones de la Ley Federal de Presupuesto y Responsabilidad Hacendaria.
OCTAVO.- El Presupuesto de Egresos de la Federación para el Ejercicio Fiscal de 2011 considerará partidas suficientes para el adecuado funcionamiento del Instituto Federal de Acceso a la Información y Protección de Datos en las materias de esta Ley.
TRANSITORIO
ÚNICO.- El presente Decreto entrará en vigor al día siguiente al de su publicación en el Diario Oficial de la Federación.
México, D.F., a 27 de abril de 2010.- Dip. Francisco Javier Ramirez Acuña, Presidente.- Sen. Carlos Navarrete Ruiz, Presidente.- Dip. Georgina Trujillo Zentella, Secretaria.- Sen. Renán Cleominio Zoreda Novelo, Secretario.- Rúbricas."
En cumplimiento de lo dispuesto por la fracción I del Artículo 89 de la Constitución Política de los Estados Unidos Mexicanos, y para su debida publicación y observancia, expido el presente Decreto en la Residencia del Poder Ejecutivo Federal, en la Ciudad de México, Distrito Federal, a veintiocho de junio de dos mil diez.- Felipe de Jesús Calderón Hinojosa.- Rúbrica.- El Secretario de Gobernación, Lic. Fernando Francisco Gómez Mont Urueta.- Rúbrica.


TERCERA SECCION

PODER EJECUTIVO


SECRETARIA DE ECONOMIA

REGLAMENTO de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares.

Al margen un sello con el Escudo Nacional, que dice: Estados Unidos Mexicanos.- Presidencia de la República.

FELIPE DE JESÚS CALDERÓN HINOJOSA, Presidente de los Estados Unidos Mexicanos, en ejercicio de la facultad que me confiere el artículo 89, fracción I de la Constitución Política de los Estados Unidos Mexicanos, con fundamento en los artículos 34 de la Ley Orgánica de la Administración Pública Federal y 3, fracción X, 18, último párrafo, 45, último párrafo, 46, segundo párrafo, 54, último párrafo, 60, último párrafo y 62, último párrafo de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, he tenido a bien expedir el siguiente
REGLAMENTO DE LA LEY FEDERAL DE PROTECCIÓN DE DATOS  PERSONALES EN POSESIÓN DE LOS PARTICULARES
Capítulo I
Disposiciones Generales
Objeto
Artículo 1. El presente ordenamiento tiene por objeto reglamentar las disposiciones de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares.
Definiciones
Artículo 2. Además de las definiciones establecidas en el artículo 3 de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, para los efectos del presente Reglamento se entenderá por:
I. Dependencias: Las señaladas en el artículo 26 de la Ley Orgánica de la Administración Pública Federal;
II. Derechos ARCO: Son los derechos de acceso, rectificación, cancelación y oposición;
III. Entorno digital: Es el ámbito conformado por la conjunción de hardware, software, redes, aplicaciones, servicios o cualquier otra tecnología de la sociedad de la información que permiten el intercambio o procesamiento informatizado o digitalizado de datos;
IV. Listado de exclusión: Base de datos que tiene por objeto registrar de manera gratuita la negativa del titular al tratamiento de sus datos personales;
V. Medidas de seguridad administrativas: Conjunto de acciones y mecanismos para establecer la gestión, soporte y revisión de la seguridad de la información a nivel organizacional, la identificación y clasificación de la información, así como la concienciación, formación y capacitación del personal, en materia de protección de datos personales;
VI. Medidas de seguridad físicas: Conjunto de acciones y mecanismos, ya sea que empleen o no la tecnología, destinados para:
a) Prevenir el acceso no autorizado, el daño o interferencia a las instalaciones físicas, áreas críticas de la organización, equipo e información;
b) Proteger los equipos móviles, portátiles o de fácil remoción, situados dentro o fuera de las instalaciones;
c) Proveer a los equipos que contienen o almacenan datos personales de un mantenimiento que asegure su disponibilidad, funcionalidad e integridad, y
d) Garantizar la eliminación de datos de forma segura;
VII. Medidas de seguridad técnicas: Conjunto de actividades, controles o mecanismos con resultado medible, que se valen de la tecnología para asegurar que:
a) El acceso a las bases de datos lógicas o a la información en formato lógico sea por usuarios identificados y autorizados;
b) El acceso referido en el inciso anterior sea únicamente para que el usuario lleve a cabo las actividades que requiere con motivo de sus funciones;
c) Se incluyan acciones para la adquisición¸ operación, desarrollo y mantenimiento de sistemas seguros, y
d) Se lleve a cabo la gestión de comunicaciones y operaciones de los recursos informáticos que se utilicen en el tratamiento de datos personales;
VIII. Persona física identificable: Toda persona física cuya identidad pueda determinarse, directa o indirectamente, mediante cualquier información. No se considera persona física identificable cuando para lograr la identidad de ésta se requieran plazos o actividades desproporcionadas;
IX. Remisión: La comunicación de datos personales entre el responsable y el encargado, dentro o fuera del territorio mexicano;
X. Soporte electrónico: Medio de almacenamiento al que se pueda acceder sólo mediante el uso de algún aparato con circuitos electrónicos que procese su contenido para examinar, modificar o almacenar los datos personales, incluidos los microfilms;
XI. Soporte físico: Medio de almacenamiento inteligible a simple vista, es decir, que no requiere de ningún aparato que procese su contenido para examinar, modificar o almacenar los datos personales, y
XII. Supresión: Actividad consistente en eliminar, borrar o destruir el o los datos personales, una vez concluido el periodo de bloqueo, bajo las medidas de seguridad previamente establecidas por el responsable.
Ámbito objetivo de aplicación
Artículo 3. El presente Reglamento será de aplicación al tratamiento de datos personales que obren en soportes físicos o electrónicos, que hagan posible el acceso a los datos personales con arreglo a criterios determinados, con independencia de la forma o modalidad de su creación, tipo de soporte, procesamiento, almacenamiento y organización.
No se aplicarán las disposiciones del presente Reglamento cuando para acceder a los datos personales, se requieran plazos o actividades desproporcionadas.
En términos del artículo 3, fracción V de la Ley, los datos personales podrán estar expresados en forma numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo, concerniente a una persona física identificada o persona física identificable.
Ámbito territorial de aplicación
Artículo 4. El presente Reglamento será de aplicación obligatoria a todo tratamiento cuando:
I. Sea efectuado en un establecimiento del responsable ubicado en territorio mexicano;
II. Sea efectuado por un encargado con independencia de su ubicación, a nombre de un responsable establecido en territorio mexicano;
III. El responsable no esté establecido en territorio mexicano pero le resulte aplicable la legislación mexicana, derivado de la celebración de un contrato o en términos del derecho internacional, y
IV. El responsable no esté establecido en territorio mexicano y utilice medios situados en dicho territorio, salvo que tales medios se utilicen únicamente con fines de tránsito que no impliquen un tratamiento. Para efectos de esta fracción, el responsable deberá proveer los medios que resulten necesarios para el efectivo cumplimiento de las obligaciones que impone la Ley, su Reglamento y demás disposiciones aplicables, derivado del tratamiento de datos personales. Para ello, podrá designar un representante o implementar el mecanismo que considere pertinente, siempre que a través del mismo se garantice que el responsable estará en posibilidades de cumplir de manera efectiva, en territorio mexicano, con las obligaciones que la normativa aplicable imponen a aquellas personas físicas o morales que tratan datos personales en México.
Cuando el responsable no se encuentre ubicado en territorio mexicano, pero el encargado lo esté, a este último le serán aplicables las disposiciones relativas a las medidas de seguridad contenidas en el Capítulo III del presente Reglamento.
En el caso de personas físicas, el establecimiento se entenderá como el local en donde se encuentre el principal asiento de sus negocios o el que utilicen para el desempeño de sus actividades o su casa habitación.
Tratándose de personas morales, el establecimiento se entenderá como el local en donde se encuentre la administración principal del negocio; si se trata de personas morales residentes en el extranjero, el local en donde se encuentre la administración principal del negocio en territorio mexicano, o en su defecto el que designen, o cualquier instalación estable que permita el ejercicio efectivo o real de una actividad.
Información de personas físicas con actividad comercial y datos de representación y contacto
Artículo 5. Las disposiciones del presente Reglamento no serán aplicables a la información siguiente:
I. La relativa a personas morales;
II. Aquélla que refiera a personas físicas en su calidad de comerciantes y profesionistas, y
III. La de personas físicas que presten sus servicios para alguna persona moral o persona física con actividades empresariales y/o prestación de servicios, consistente únicamente en su nombre y apellidos, las funciones o puestos desempeñados, así como algunos de los siguientes datos laborales: domicilio físico, dirección electrónica, teléfono y número de fax; siempre que esta información sea tratada para fines de representación del empleador o contratista.
Tratamiento derivado de una relación jurídica
Artículo 6. Cuando el tratamiento tenga como propósito cumplir con una obligación derivada de una relación jurídica, no se considerará para uso exclusivamente personal.
Fuentes de acceso público
Artículo 7. Para los efectos del artículo 3, fracción X de la Ley, se consideran fuentes de acceso público:
I. Los medios remotos o locales de comunicación electrónica, óptica y de otra tecnología, siempre que el sitio donde se encuentren los datos personales esté concebido para facilitar información al público y esté abierto a la consulta general;
II. Los directorios telefónicos en términos de la normativa específica;
III. Los diarios, gacetas o boletines oficiales, de acuerdo con su normativa, y
IV. Los medios de comunicación social.
Para que los supuestos enumerados en el presente artículo sean considerados fuentes de acceso público será necesario que su consulta pueda ser realizada por cualquier persona no impedida por una norma limitativa, o sin más exigencia que, en su caso, el pago de una contraprestación, derecho o tarifa.
No se considerará una fuente de acceso público cuando la información contenida en la misma sea o tenga una procedencia ilícita.
El tratamiento de datos personales obtenidos a través de fuentes de acceso público, respetará la expectativa razonable de privacidad, a que se refiere el tercer párrafo del artículo 7 de la Ley.
Grupos sin personalidad jurídica
Artículo 8. Las personas integrantes de un grupo que actúe sin personalidad jurídica y que trate datos personales para finalidades específicas o propias del grupo se considerarán también responsables o encargados, según sea el caso.
Capítulo II
De los Principios de Protección de Datos Personales
Sección I
Principios
Principios de Protección de Datos
Artículo 9. De acuerdo con lo previsto en el artículo 6 de la Ley, los responsables deben cumplir con los siguientes principios rectores de la protección de datos personales:
I. Licitud;
II. Consentimiento;
III. Información;
IV. Calidad;
V. Finalidad;
VI. Lealtad;
VII. Proporcionalidad, y
VIII. Responsabilidad.
Asimismo, el responsable deberá observar los deberes de seguridad y confidencialidad a que se refieren los artículos 19 y 21 de la Ley.
Principio de licitud
Artículo 10. El principio de licitud obliga al responsable a que el tratamiento sea con apego y cumplimiento a lo dispuesto por la legislación mexicana y el derecho internacional.
Principio de consentimiento
Artículo 11. El responsable deberá obtener el consentimiento para el tratamiento de los datos personales, a menos que no sea exigible con arreglo a lo previsto en el artículo 10 de la Ley. La solicitud del consentimiento deberá ir referida a una finalidad o finalidades determinadas, previstas en el aviso de privacidad.
Cuando los datos personales se obtengan personalmente o de manera directa de su titular, el consentimiento deberá ser previo al tratamiento.
Características del consentimiento
Artículo 12. La obtención del consentimiento tácito o expreso deberá ser:
I. Libre: sin que medie error, mala fe, violencia o dolo, que puedan afectar la manifestación de voluntad del titular;
II. Específica: referida a una o varias finalidades determinadas que justifiquen el tratamiento, y
III. Informada: que el titular tenga conocimiento del aviso de privacidad previo al tratamiento a que serán sometidos sus datos personales y las consecuencias de otorgar su consentimiento.
El consentimiento expreso también deberá ser inequívoco, es decir, que existan elementos que de manera indubitable demuestren su otorgamiento.
Consentimiento tácito
Artículo 13. Salvo que la Ley exija el consentimiento expreso del titular, será válido el consentimiento tácito como regla general, conforme a lo dispuesto en los artículos 11 y 12 del presente Reglamento.
Solicitud del consentimiento tácito
Artículo 14. Cuando el responsable pretenda recabar los datos personales directa o personalmente de su titular, deberá previamente poner a disposición de éste el aviso de privacidad, el cual debe contener un mecanismo para que, en su caso, el titular pueda manifestar su negativa al tratamiento de sus datos personales para las finalidades que sean distintas a aquéllas que son necesarias y den origen a la relación jurídica entre el responsable y el titular.
En los casos en que los datos personales se obtengan de manera indirecta del titular y tenga lugar un cambio de las finalidades que fueron consentidas en la transferencia, el responsable deberá poner a disposición del titular el aviso de privacidad previo al aprovechamiento de los datos personales. Cuando el aviso de privacidad no se haga del conocimiento del titular de manera directa o personal, el titular tendrá un plazo de cinco días para que, de ser el caso, manifieste su negativa para el tratamiento de sus datos personales para las finalidades que sean distintas a aquéllas que son necesarias y den origen a la relación jurídica entre el responsable y el titular. Si el titular no manifiesta su negativa para el tratamiento de sus datos de conformidad con lo anterior, se entenderá que ha otorgado su consentimiento para el tratamiento de los mismos, salvo prueba en contrario.
Cuando el responsable utilice mecanismos en medios remotos o locales de comunicación electrónica, óptica u otra tecnología, que le permitan recabar datos personales de manera automática y simultánea al tiempo que el titular hace contacto con los mismos, en ese momento se deberá informar al titular sobre el uso de esas tecnologías, que a través de las mismas se obtienen datos personales y la forma en que se podrán deshabilitar.
Consentimiento expreso
Artículo 15. El responsable deberá obtener el consentimiento expreso del titular cuando:
I. Lo exija una ley o reglamento;
II. Se trate de datos financieros o patrimoniales;
III. Se trate de datos sensibles;
IV. Lo solicite el responsable para acreditar el mismo, o
V. Lo acuerden así el titular y el responsable.
Solicitud del consentimiento expreso
Artículo 16. Cuando el consentimiento expreso sea exigido en términos de una disposición legal o reglamentaria, el responsable deberá facilitar al titular un medio sencillo y gratuito para que, en su caso, lo pueda manifestar.
Excepciones al principio del consentimiento
Artículo 17. En términos de lo dispuesto por los artículos 10, fracción IV y 37, fracción VII de la Ley, no se requerirá el consentimiento tácito o expreso para el tratamiento de los datos personales cuando éstos deriven de una relación jurídica entre el titular y el responsable.
No resulta aplicable lo establecido en el párrafo anterior cuando el tratamiento de datos personales sea para finalidades distintas a aquéllas que son necesarias y den origen a la relación jurídica entre el responsable y el titular. En ese caso, para la obtención del consentimiento tácito, el responsable deberá observar lo dispuesto en los artículos 8, tercer párrafo de la Ley y 11, 12 y 13 del presente Reglamento, y tratándose de datos sensibles, financieros y patrimoniales, deberá obtener el consentimiento expreso, o bien, expreso y por escrito, según lo exija la Ley.
Consentimiento verbal
Artículo 18. Se considera que el consentimiento expreso se otorgó verbalmente cuando el titular lo externa oralmente de manera presencial o mediante el uso de cualquier tecnología que permita la interlocución oral.
Consentimiento escrito
Artículo 19. Se considerará que el consentimiento expreso se otorgó por escrito cuando el titular lo externe mediante un documento con su firma autógrafa, huella dactilar o cualquier otro mecanismo autorizado por la normativa aplicable. Tratándose del entorno digital, podrán utilizarse firma electrónica o cualquier mecanismo o procedimiento que al efecto se establezca y permita identificar al titular y recabar su consentimiento.
Prueba para demostrar la obtención del consentimiento
Artículo 20. Para efectos de demostrar la obtención del consentimiento, la carga de la prueba recaerá, en todos los casos, en el responsable.
Revocación del consentimiento
Artículo 21. En cualquier momento, el titular podrá revocar su consentimiento para el tratamiento de sus datos personales, para lo cual el responsable deberá establecer mecanismos sencillos y gratuitos, que permitan al titular revocar su consentimiento al menos por el mismo medio por el que lo otorgó, siempre y cuando no lo impida una disposición legal.
Los mecanismos o procedimientos que el responsable establezca para atender las solicitudes de revocación del consentimiento no podrán exceder los plazos previstos en el artículo 32 de la Ley.
Cuando el titular solicite la confirmación del cese del tratamiento de sus datos personales, el responsable deberá responder expresamente a dicha solicitud.
En caso de que los datos personales hubiesen sido remitidos con anterioridad a la fecha de revocación del consentimiento y sigan siendo tratados por encargados, el responsable deberá hacer de su conocimiento dicha revocación, para que procedan a efectuar lo conducente.
Procedimiento ante la negativa al cese en el tratamiento
Artículo 22. En caso de negativa por parte del responsable al cese en el tratamiento ante la revocación del consentimiento, el titular podrá presentar ante el Instituto la denuncia correspondiente a que refiere el Capítulo IX del presente Reglamento.
Principio de información
Artículo 23. El responsable deberá dar a conocer al titular la información relativa a la existencia y características principales del tratamiento a que serán sometidos sus datos personales a través del aviso de privacidad, de conformidad con lo previsto en la Ley y el presente Reglamento.
Características del aviso de privacidad
Artículo 24. El aviso de privacidad deberá caracterizarse por ser sencillo, con información necesaria, expresado en lenguaje claro y comprensible, y con una estructura y diseño que facilite su entendimiento.
Medios de difusión
Artículo 25. Para la difusión de los avisos de privacidad, el responsable podrá valerse de formatos físicos, electrónicos, medios verbales o cualquier otra tecnología, siempre y cuando garantice y cumpla con el deber de informar al titular.
Elementos del aviso de privacidad
Artículo 26. El aviso de privacidad deberá contener los elementos a que se refieren los artículos 8, 15, 16, 33 y 36 de la Ley, así como los que se establezcan en los lineamientos a que se refiere el artículo 43, fracción III de la Ley.
Aviso de privacidad para la obtención directa de los datos personales
Artículo 27. En términos del artículo 17, fracción II de la Ley, cuando los datos personales sean obtenidos directamente del titular, el responsable deberá proporcionar de manera inmediata al menos la siguiente información:
I. La identidad y domicilio del responsable;
II. Las finalidades del tratamiento, y
III. Los mecanismos que el responsable ofrece para que el titular conozca el aviso de privacidad de conformidad con el artículo 26 del presente Reglamento.
La divulgación inmediata de la información antes señalada no exime al responsable de la obligación de proveer los mecanismos para que el titular conozca el contenido del aviso de privacidad, de conformidad con el artículo 26 del presente Reglamento.
Aviso de privacidad en formatos con espacio limitado
Artículo 28. El responsable podrá poner a disposición del titular el aviso de privacidad en términos del artículo anterior, cuando obtenga los datos personales por medios impresos, siempre que el espacio utilizado para la obtención de los datos personales sea mínimo y limitado, de forma tal que los datos personales obtenidos también sean mínimos.
Aviso de privacidad para obtención indirecta de datos personales
Artículo 29. Cuando los datos personales sean obtenidos de manera indirecta del titular, el responsable deberá observar lo siguiente para la puesta a disposición del aviso de privacidad:
I. Cuando los datos personales sean tratados para una finalidad prevista en una transferencia consentida o se hayan obtenido de una fuente de acceso público, el aviso de privacidad se deberá dar a conocer en el primer contacto que se tenga con el titular, o
II. Cuando el responsable pretenda utilizar los datos para una finalidad distinta a la consentida, es decir, vaya a tener lugar un cambio de finalidad, el aviso de privacidad deberá darse a conocer previo el aprovechamiento de los mismos.
Tratamiento para fines mercadotécnicos, publicitarios o de prospección comercial
Artículo 30. Entre las finalidades del tratamiento a las que refiere la fracción II del artículo 16 de la Ley, en su caso, se deberán incluir las relativas al tratamiento para fines mercadotécnicos, publicitarios o de prospección comercial.
Lo anterior sin perjuicio de lo establecido por las disposiciones vigentes que regulen el tratamiento para los fines señalados en el párrafo anterior, cuando éstas contemplen una protección mayor para el titular que la dispuesta en la Ley y el presente Reglamento.
Prueba del aviso de privacidad
Artículo 31. Para efectos de demostrar la puesta a disposición del aviso de privacidad en cumplimiento del principio de información, la carga de la prueba recaerá, en todos los casos, en el responsable.
Medidas compensatorias
Artículo 32. En términos del tercer párrafo del artículo 18 de la Ley, cuando resulte imposible dar a conocer el aviso de privacidad al titular o exija esfuerzos desproporcionados, en consideración al número de titulares o a la antigüedad de los datos, el responsable podrá instrumentar medidas compensatorias de comunicación masiva de acuerdo con los criterios generales expedidos por el Instituto, mismos que serán publicados en el Diario Oficial de la Federación, bajo los cuales podrán utilizarse los medios que se establecen en el artículo 35 del presente Reglamento.
Los casos que no actualicen los criterios generales emitidos por el Instituto requerirán la autorización expresa de éste, previo a la instrumentación de la medida compensatoria, de conformidad con el procedimiento establecido en los artículos 33 y 34 del presente Reglamento.
Solicitud para autorización de medidas compensatorias
Artículo 33. El procedimiento para que el Instituto autorice el uso de medidas compensatorias de comunicación masiva, al que refiere el segundo párrafo del artículo anterior, iniciará siempre a petición del responsable.
El responsable presentará su solicitud directamente ante el Instituto o a través de cualquier otro medio que éste haya habilitado para tal efecto. La solicitud deberá contener la siguiente información:
I. Nombre, denominación o razón social del responsable que la promueva y, en su caso, de su representante, así como copia de la identificación oficial que acredite su personalidad y original para su cotejo. En el caso del representante, se deberá presentar copia del documento que acredite la representación del responsable y original para su cotejo;
II. Domicilio para oír y recibir notificaciones, y nombre de la persona autorizada para recibirlas;
III. Tratamiento al que pretende aplicar la medida compensatoria y sus características principales, tales como finalidad; tipo de datos personales tratados; si se efectúan transferencias; particularidades de los titulares, entre ellas edad, ubicación geográfica, nivel educativo y socioeconómico, entre otros;
IV. Causas o justificación de la imposibilidad de dar a conocer el aviso de privacidad a los titulares o el esfuerzo desproporcionado que esto exige. El responsable deberá informar sobre el número de titulares afectados, antigüedad de los datos, si existe o no contacto directo con los titulares, y su capacidad económica;
V. Tipo de medida compensatoria que pretende aplicar y por qué periodo la publicaría;
VI. Texto propuesto para la medida compensatoria, y
VII. Documentos que el responsable considere necesarios presentar ante el Instituto.
Procedimiento para la autorización de medidas compensatorias
Artículo 34. El Instituto tendrá un plazo de diez días siguientes a la recepción de la solicitud de medida compensatoria, para emitir la resolución correspondiente.
Si el Instituto no resuelve en el plazo establecido, la solicitud de medida compensatoria se entenderá como autorizada.
Una vez presentada la solicitud por el responsable ante el Instituto, éste valorará los esfuerzos desproporcionados para dar a conocer el aviso de privacidad, tomando en cuenta lo siguiente:
I. El número de titulares;
II. La antigüedad de los datos;
III. La capacidad económica del responsable;
IV. El ámbito territorial y sectorial de operación del responsable, y
V. La medida compensatoria a utilizar.
En caso de que el Instituto en su valoración considere que la medida compensatoria propuesta no cumple con el principio de información, podrá proponer al responsable la adopción de alguna medida compensatoria alterna a la propuesta por el responsable en su solicitud.
La propuesta del Instituto se hará del conocimiento del responsable, a fin de que éste exponga lo que a su derecho convenga en un plazo no mayor a cinco días, contados a partir del día siguiente en que haya recibido la notificación.
Si el responsable no responde en el plazo que señala el párrafo anterior, el Instituto resolverá con los elementos que consten en el expediente.
Cuando el Instituto determine que el responsable no justificó la imposibilidad de dar a conocer el aviso de privacidad al titular o que ello exige esfuerzos desproporcionados, no será autorizado el uso de medidas compensatorias.
La autorización que en su caso otorgue el Instituto estará vigente mientras no se modifiquen las circunstancias bajo las cuales se autorizó la medida compensatoria.
Modalidades de medidas compensatorias
Artículo 35. Las medidas compensatorias de comunicación masiva deberán contener la información prevista en el artículo 27 del presente Reglamento y se darán a conocer a través de avisos de privacidad que se publicarán en cualquiera de los medios siguientes:
I. Diarios de circulación nacional;
II. Diarios locales o revistas especializadas, cuando se demuestre que los titulares de los datos personales residan en una determinada entidad federativa o pertenezcan a una determinada actividad;
III. Página de Internet del responsable;
IV. Hiperenlaces o hipervínculos situados en una página de Internet del Instituto, habilitados para dicho fin, cuando el responsable no cuente con una página de Internet propia;
V. Carteles informativos;
VI. Difusión en cápsulas informativas en radiodifusoras, o
VII. Otros medios alternos de comunicación masiva.
Principio de calidad
Artículo 36. Se cumple con el principio de calidad cuando los datos personales tratados sean exactos, completos, pertinentes, correctos y actualizados según se requiera para el cumplimiento de la finalidad para la cual son tratados.
Se presume que se cumple con la calidad en los datos personales cuando éstos son proporcionados directamente por el titular, y hasta que éste no manifieste y acredite lo contrario, o bien, el responsable cuente con evidencia objetiva que los contradiga.
Cuando los datos personales no fueron obtenidos directamente del titular, el responsable deberá adoptar medidas razonables para que éstos respondan al principio de calidad, de acuerdo con el tipo de datos personales y las condiciones del tratamiento.
El responsable deberá adoptar los mecanismos que considere necesarios para procurar que los datos personales que trate sean exactos, completos, pertinentes, correctos y actualizados, a fin de que no se altere la veracidad de la información, ni que ello tenga como consecuencia que el titular se vea afectado por dicha situación.
Plazos de conservación de los datos personales
Artículo 37. Los plazos de conservación de los datos personales no deberán exceder aquéllos que sean necesarios para el cumplimiento de las finalidades que justificaron el tratamiento, y deberán atender las disposiciones aplicables a la materia de que se trate, y tomar en cuenta los aspectos administrativos, contables, fiscales, jurídicos e históricos de la información. Una vez cumplida la o las finalidades del tratamiento, y cuando no exista disposición legal o reglamentaria que establezca lo contrario, el responsable deberá proceder a la cancelación de los datos en su posesión previo bloqueo de los mismos, para su posterior supresión.
Procedimientos para conservación, bloqueo y supresión de los datos personales
Artículo 38. El responsable establecerá y documentará procedimientos para la conservación y, en su caso, bloqueo y supresión de los datos personales, que incluyan los periodos de conservación de los mismos, de conformidad con el artículo anterior.
Prueba del cumplimiento de los plazos de conservación
Artículo 39. Al responsable le corresponde demostrar que los datos personales se conservan o, en su caso, bloquean, suprimen o cancelan cumpliendo los plazos previstos en el artículo 37 del presente Reglamento, o bien, en atención a una solicitud de derecho de cancelación.
Principio de finalidad
Artículo 40. Los datos personales sólo podrán ser tratados para el cumplimiento de la finalidad o finalidades establecidas en el aviso de privacidad, en términos del artículo 12 de la Ley.
Para efectos del párrafo anterior, la finalidad o las finalidades establecidas en el aviso de privacidad deberán ser determinadas, lo cual se logra cuando con claridad, sin lugar a confusión y de manera objetiva se especifica para qué objeto serán tratados los datos personales.
Diferenciación de finalidades
Artículo 41. El responsable identificará y distinguirá en el aviso de privacidad entre las finalidades que dieron origen y son necesarias para la relación jurídica entre el responsable y el titular, de aquéllas que no lo son.
Oposición del tratamiento para finalidades distintas
Artículo 42. El titular podrá negar o revocar su consentimiento, así como oponerse para el tratamiento de sus datos personales para las finalidades que sean distintas a aquéllas que son necesarias y den origen a la relación jurídica entre el responsable y el titular, sin que ello tenga como consecuencia la conclusión del tratamiento para estas últimas finalidades.
Tratamiento para finalidades distintas
Artículo 43. El responsable no podrá llevar a cabo tratamientos para finalidades distintas que no resulten compatibles o análogas con aquéllas para las que hubiese recabado de origen los datos personales y que hayan sido previstas en el aviso de privacidad, a menos que:
I. Lo permita de forma explícita una ley o reglamento, o
II. El responsable haya obtenido el consentimiento para el nuevo tratamiento.
Principio de lealtad
Artículo 44. El principio de lealtad establece la obligación de tratar los datos personales privilegiando la protección de los intereses del titular y la expectativa razonable de privacidad, en los términos establecidos en el artículo 7 de la Ley.
No se podrán utilizar medios engañosos o fraudulentos para recabar y tratar datos personales. Existe una actuación fraudulenta o engañosa cuando:
I. Exista dolo, mala fe o negligencia en la información proporcionada al titular sobre el tratamiento;
II. Se vulnere la expectativa razonable de privacidad del titular a la que refiere el artículo 7 de la Ley, o
III. Las finalidades no son las informadas en el aviso de privacidad.
Principio de proporcionalidad
Artículo 45. Sólo podrán ser objeto de tratamiento los datos personales que resulten necesarios, adecuados y relevantes en relación con las finalidades para las que se hayan obtenido.
Criterio de minimización
Artículo 46. El responsable deberá realizar esfuerzos razonables para que los datos personales tratados sean los mínimos necesarios de acuerdo con la finalidad del tratamiento que tenga lugar.
Principio de responsabilidad
Artículo 47. En términos de los artículos 6 y 14 de la Ley, el responsable tiene la obligación de velar y responder por el tratamiento de los datos personales que se encuentren bajo su custodia o posesión, o por aquéllos que haya comunicado a un encargado, ya sea que este último se encuentre o no en territorio mexicano.
Para cumplir con esta obligación, el responsable podrá valerse de estándares, mejores prácticas internacionales, políticas corporativas, esquemas de autorregulación o cualquier otro mecanismo que determine adecuado para tales fines.
Medidas para el principio de responsabilidad
Artículo 48. En términos del artículo 14 de la Ley, el responsable deberá adoptar medidas para garantizar el debido tratamiento, privilegiando los intereses del titular y la expectativa razonable de privacidad.
Entre las medidas que podrá adoptar el responsable se encuentran por lo menos las siguientes:
I. Elaborar políticas y programas de privacidad obligatorios y exigibles al interior de la organización del responsable;
II. Poner en práctica un programa de capacitación, actualización y concientización del personal sobre las obligaciones en materia de protección de datos personales;
III. Establecer un sistema de supervisión y vigilancia interna, verificaciones o auditorías externas para comprobar el cumplimiento de las políticas de privacidad;
IV. Destinar recursos para la instrumentación de los programas y políticas de privacidad;
V. Instrumentar un procedimiento para que se atienda el riesgo para la protección de datos personales por la implementación de nuevos productos, servicios, tecnologías y modelos de negocios, así como para mitigarlos;
VI. Revisar periódicamente las políticas y programas de seguridad para determinar las modificaciones que se requieran;
VII. Establecer procedimientos para recibir y responder dudas y quejas de los titulares de los datos personales;
VIII. Disponer de mecanismos para el cumplimiento de las políticas y programas de privacidad, así como de sanciones por su incumplimiento;
IX. Establecer medidas para el aseguramiento de los datos personales, es decir, un conjunto de acciones técnicas y administrativas que permitan garantizar al responsable el cumplimiento de los principios y obligaciones que establece la Ley y el presente Reglamento, o
X. Establecer medidas para la trazabilidad de los datos personales, es decir, acciones, medidas y procedimientos técnicos que permiten rastrear a los datos personales durante su tratamiento.
Figura del encargado
Artículo 49. El encargado es la persona física o moral, pública o privada, ajena a la organización del responsable, que sola o conjuntamente con otras, trata datos personales por cuenta del responsable, como consecuencia de la existencia de una relación jurídica que le vincula con el mismo y delimita el ámbito de su actuación para la prestación de un servicio.
Obligaciones del encargado
Artículo 50. El encargado tendrá las siguientes obligaciones respecto del tratamiento que realice por cuenta del responsable:
I. Tratar únicamente los datos personales conforme a las instrucciones del responsable;
II. Abstenerse de tratar los datos personales para finalidades distintas a las instruidas por el responsable;
III. Implementar las medidas de seguridad conforme a la Ley, el Reglamento y las demás disposiciones aplicables;
IV. Guardar confidencialidad respecto de los datos personales tratados;
V. Suprimir los datos personales objeto de tratamiento una vez cumplida la relación jurídica con el responsable o por instrucciones del responsable, siempre y cuando no exista una previsión legal que exija la conservación de los datos personales, y
VI. Abstenerse de transferir los datos personales salvo en el caso de que el responsable así lo determine, la comunicación derive de una subcontratación, o cuando así lo requiera la autoridad competente.
Los acuerdos entre el responsable y el encargado relacionados con el tratamiento deberán estar acordes con el aviso de privacidad correspondiente.
Relación entre el responsable y el encargado
Artículo 51. La relación entre el responsable y el encargado deberá estar establecida mediante cláusulas contractuales u otro instrumento jurídico que decida el responsable, que permita acreditar su existencia, alcance y contenido.
Tratamiento de datos personales en el denominado cómputo en la nube
Artículo 52. Para el tratamiento de datos personales en servicios, aplicaciones e infraestructura en el denominado cómputo en la nube, en los que el responsable se adhiera a los mismos mediante condiciones o cláusulas generales de contratación, sólo podrá utilizar aquellos servicios en los que el proveedor:
I. Cumpla, al menos, con lo siguiente:
a) Tener y aplicar políticas de protección de datos personales afines a los principios y deberes aplicables que establece la Ley y el presente Reglamento;
b) Transparentar las subcontrataciones que involucren la información sobre la que se presta el servicio;
c) Abstenerse de incluir condiciones en la prestación del servicio que le autoricen o permitan asumir la titularidad o propiedad de la información sobre la que presta el servicio, y
d) Guardar confidencialidad respecto de los datos personales sobre los que se preste el servicio, y
II. Cuente con mecanismos, al menos, para:
a) Dar a conocer cambios en sus políticas de privacidad o condiciones del servicio que presta;
b) Permitir al responsable limitar el tipo de tratamiento de los datos personales sobre los que se presta el servicio;
c) Establecer y mantener medidas de seguridad adecuadas para la protección de los datos personales sobre los que se preste el servicio;
d) Garantizar la supresión de los datos personales una vez que haya concluido el servicio prestado al responsable, y que este último haya podido recuperarlos, y
e) Impedir el acceso a los datos personales a personas que no cuenten con privilegios de acceso, o bien en caso de que sea a solicitud fundada y motivada de autoridad competente, informar de ese hecho al responsable.
En cualquier caso, el responsable no podrá adherirse a servicios que no garanticen la debida protección de los datos personales.
Para fines del presente Reglamento, por cómputo en la nube se entenderá al modelo de provisión externa de servicios de cómputo bajo demanda, que implica el suministro de infraestructura, plataforma o software, que se distribuyen de modo flexible, mediante procedimientos de virtualización, en recursos compartidos dinámicamente.
Las dependencias reguladoras, en el ámbito de sus competencias, en coadyuvancia con el Instituto, emitirán criterios para el debido tratamiento de datos personales en el denominado cómputo en la nube.
Remisiones de datos personales
Artículo 53. Las remisiones nacionales e internacionales de datos personales entre un responsable y un encargado no requerirán ser informadas al titular ni contar con su consentimiento.
El encargado, será considerado responsable con las obligaciones propias de éste, cuando:
I. Destine o utilice los datos personales con una finalidad distinta a la autorizada por el responsable, o
II. Efectúe una transferencia, incumpliendo las instrucciones del responsable.
El encargado no incurrirá en responsabilidad cuando, previa indicación expresa del responsable, remita los datos personales a otro encargado designado por este último, al que hubiera encomendado la prestación de un servicio, o transfiera los datos personales a otro responsable conforme a lo previsto en el presente Reglamento.
Subcontratación de servicios
Artículo 54. Toda subcontratación de servicios por parte del encargado que implique el tratamiento de datos personales deberá ser autorizada por el responsable, y se realizará en nombre y por cuenta de este último.
Una vez obtenida la autorización, el encargado deberá formalizar la relación con el subcontratado a través de cláusulas contractuales u otro instrumento jurídico que permita acreditar su existencia, alcance y contenido.
La persona física o moral subcontratada asumirá las mismas obligaciones que se establezcan para el encargado en la Ley, el presente Reglamento y demás disposiciones aplicables.
La obligación de acreditar que la subcontratación se realizó con autorización del responsable corresponderá al encargado.
Autorización de la subcontratación
Artículo 55. Cuando las cláusulas contractuales o los instrumentos jurídicos mediante los cuales se haya formalizado la relación entre el responsable y el encargado, prevean que este último pueda llevar a cabo a su vez las subcontrataciones de servicios, la autorización a la que refiere el artículo anterior se entenderá como otorgada a través de lo estipulado en éstos.
En caso de que la subcontratación no haya sido prevista en las cláusulas contractuales o en los instrumentos jurídicos a los que refiere el párrafo anterior, el encargado deberá obtener la autorización correspondiente del responsable previo a la subcontratación.
En ambos casos, se deberá observar lo previsto en el artículo anterior.
Sección II
De los Datos Personales Sensibles
Supuestos para la creación de bases de datos personales sensibles
Artículo 56. En términos de lo previsto en el artículo 9, segundo párrafo de la Ley, sólo podrán crearse bases de datos que contengan datos personales sensibles cuando:
I. Obedezca a un mandato legal;
II. Se justifique en términos del artículo 4 de la Ley, o
III. El responsable lo requiera para finalidades legítimas, concretas y acordes con las actividades o fines explícitos que persiga.
Capítulo III
De las Medidas de Seguridad en el Tratamiento de Datos Personales
Alcance
Artículo 57. El responsable y, en su caso, el encargado deberán establecer y mantener las medidas de seguridad administrativas, físicas y, en su caso, técnicas para la protección de los datos personales, con arreglo a lo dispuesto en la Ley y el presente Capítulo, con independencia del sistema de tratamiento. Se entenderá por medidas de seguridad para los efectos del presente Capítulo, el control o grupo de controles de seguridad para proteger los datos personales.
Lo anterior sin perjuicio de lo establecido por las disposiciones vigentes en materia de seguridad emitidas por las autoridades competentes al sector que corresponda, cuando éstas contemplen una protección mayor para el titular que la dispuesta en la Ley y el presente Reglamento.
Atenuación de sanciones
Artículo 58. En términos de lo dispuesto en el artículo 65, fracción III de la Ley, en los casos en que ocurra una vulneración a la seguridad de los datos personales, el Instituto podrá tomar en consideración el cumplimiento de sus recomendaciones para determinar la atenuación de la sanción que corresponda.
Funciones de seguridad
Artículo 59. Para establecer y mantener de manera efectiva las medidas de seguridad, el responsable podrá desarrollar las funciones de seguridad por sí mismo, o bien, contratar a una persona física o moral para tal fin.
Factores para determinar las medidas de seguridad
Artículo 60. El responsable determinará las medidas de seguridad aplicables a los datos personales que trate, considerando los siguientes factores:
I. El riesgo inherente por tipo de dato personal;
II. La sensibilidad de los datos personales tratados;
III. El desarrollo tecnológico, y
IV. Las posibles consecuencias de una vulneración para los titulares.
De manera adicional, el responsable procurará tomar en cuenta los siguientes elementos:
I. El número de titulares;
II. Las vulnerabilidades previas ocurridas en los sistemas de tratamiento;
III. El riesgo por el valor potencial cuantitativo o cualitativo que pudieran tener los datos personales tratados para una tercera persona no autorizada para su posesión, y
IV. Demás factores que puedan incidir en el nivel de riesgo o que resulten de otras leyes o regulación aplicable al responsable.
Acciones para la seguridad de los datos personales
Artículo 61. A fin de establecer y mantener la seguridad de los datos personales, el responsable deberá considerar las siguientes acciones:
I. Elaborar un inventario de datos personales y de los sistemas de tratamiento;
II. Determinar las funciones y obligaciones de las personas que traten datos personales;
III. Contar con un análisis de riesgos de datos personales que consiste en identificar peligros y estimar los riesgos a los datos personales;
IV. Establecer las medidas de seguridad aplicables a los datos personales e identificar aquéllas implementadas de manera efectiva;
V. Realizar el análisis de brecha que consiste en la diferencia de las medidas de seguridad existentes y aquéllas faltantes que resultan necesarias para la protección de los datos personales;
VI. Elaborar un plan de trabajo para la implementación de las medidas de seguridad faltantes, derivadas del análisis de brecha;
VII. Llevar a cabo revisiones o auditorías;
VIII. Capacitar al personal que efectúe el tratamiento, y
IX. Realizar un registro de los medios de almacenamiento de los datos personales.
El responsable deberá contar con una relación de las medidas de seguridad derivadas de las fracciones anteriores.
Actualizaciones de las medidas de seguridad
Artículo 62. Los responsables deberán actualizar la relación de las medidas de seguridad, cuando ocurran los siguientes eventos:
I. Se modifiquen las medidas o procesos de seguridad para su mejora continua, derivado de las revisiones a la política de seguridad del responsable;
II. Se produzcan modificaciones sustanciales en el tratamiento que deriven en un cambio del nivel de riesgo;
III. Se vulneren los sistemas de tratamiento, de conformidad con lo dispuesto en el artículo 20 de la Ley y 63 del presente Reglamento, o
IV. Exista una afectación a los datos personales distinta a las anteriores.
En el caso de datos personales sensibles, los responsables procurarán revisar y, en su caso, actualizar las relaciones correspondientes una vez al año.
Vulneraciones de seguridad
Artículo 63. Las vulneraciones de seguridad de datos personales ocurridas en cualquier fase del tratamiento son:
I. La pérdida o destrucción no autorizada;
II. El robo, extravío o copia no autorizada;
III. El uso, acceso o tratamiento no autorizado, o
IV. El daño, la alteración o modificación no autorizada.
Notificación de vulneraciones de seguridad
Artículo 64. El responsable deberá informar al titular las vulneraciones que afecten de forma significativa sus derechos patrimoniales o morales, en cuanto confirme que ocurrió la vulneración y haya tomado las acciones encaminadas a detonar un proceso de revisión exhaustiva de la magnitud de la afectación, y sin dilación alguna, a fin de que los titulares afectados puedan tomar las medidas correspondientes.
Información mínima al titular en caso de vulneraciones de seguridad
Artículo 65. El responsable deberá informar al titular al menos lo siguiente:
I. La naturaleza del incidente;
II. Los datos personales comprometidos;
III. Las recomendaciones al titular acerca de las medidas que éste pueda adoptar para proteger sus intereses;
IV. Las acciones correctivas realizadas de forma inmediata, y
V. Los medios donde puede obtener más información al respecto.
Medidas correctivas en caso de vulneraciones de seguridad
Artículo 66. En caso de que ocurra una vulneración a los datos personales, el responsable deberá analizar las causas por las cuales se presentó e implementar las acciones correctivas, preventivas y de mejora para adecuar las medidas de seguridad correspondientes, a efecto de evitar que la vulneración se repita.
Capítulo IV
De las Transferencias de Datos Personales
Sección I
Disposiciones Generales
Alcance
Artículo 67. La transferencia implica la comunicación de datos personales dentro o fuera del territorio nacional, realizada a persona distinta del titular, del responsable o del encargado.
Condiciones para la transferencia
Artículo 68. Toda transferencia de datos personales, sea ésta nacional o internacional, se encuentra sujeta al consentimiento de su titular, salvo las excepciones previstas en el artículo 37 de la Ley; deberá ser informada a este último mediante el aviso de privacidad y limitarse a la finalidad que la justifique.
Prueba del cumplimiento de las obligaciones en materia de transferencias
Artículo 69. Para efectos de demostrar que la transferencia, sea ésta nacional o internacional, se realizó conforme a lo que establece la Ley y el presente Reglamento la carga de la prueba recaerá, en todos los casos, en el responsable que transfiere y en el receptor de los datos personales.
Transferencias dentro del mismo grupo del responsable
Artículo 70. En el caso de transferencias de datos personales entre sociedades controladoras, subsidiarias o afiliadas bajo el control común del mismo grupo del responsable, o a una sociedad matriz o a cualquier sociedad del mismo grupo del responsable, el mecanismo para garantizar que el receptor de los datos personales cumplirá con las disposiciones previstas en la Ley, el presente Reglamento y demás normativa aplicable, podrá ser la existencia de normas internas de protección de datos personales cuya observancia sea vinculante, siempre y cuando éstas cumplan con lo establecido en la Ley, el presente Reglamento y demás normativa aplicable.
Sección II
Transferencias nacionales
Condiciones específicas para las transferencias nacionales
Artículo 71. Para realizar una transferencia de datos personales dentro del territorio nacional será necesario que el responsable cumpla con lo previsto en los artículos 36 de la Ley y 68 del presente Reglamento.
Receptor de los datos personales
Artículo 72. El receptor de los datos personales será un sujeto regulado por la Ley y el presente Reglamento en su carácter de responsable, y deberá tratar los datos personales conforme a lo convenido en el aviso de privacidad que le comunique el responsable transferente.
Formalización de las transferencias nacionales
Artículo 73. La transferencia deberá formalizarse mediante algún mecanismo que permita demostrar que el responsable transferente comunicó al responsable receptor las condiciones en las que el titular consintió el tratamiento de sus datos personales.
Sección III
Transferencias Internacionales
Condiciones específicas para las transferencias internacionales
Artículo 74. Sin perjuicio de lo dispuesto en el artículo 37 de la Ley, las transferencias internacionales de datos personales serán posibles cuando el receptor de los datos personales asuma las mismas obligaciones que corresponden al responsable que transfirió los datos personales.
Formalización de las transferencias internacionales
Artículo 75. A tal efecto, el responsable que transfiera los datos personales podrá valerse de cláusulas contractuales u otros instrumentos jurídicos en los que se prevean al menos las mismas obligaciones  a las que se encuentra sujeto el responsable que transfiere los datos personales, así como las condiciones en las que el titular consintió el tratamiento de sus datos personales.
Opinión del Instituto respecto de las transferencias
Artículo 76. Los responsables, en caso de considerarlo necesario, podrán solicitar la opinión del Instituto respecto a si las transferencias internacionales que realicen cumplen con lo dispuesto por la Ley y el presente Reglamento.
Capítulo V
De la Coordinación entre Autoridades
Emisión de regulación secundaria
Artículo 77. Cuando la dependencia competente, atendiendo a las necesidades que advierta sobre el sector que regule, determine la necesidad de normar el tratamiento de datos personales en posesión de los particulares podrá, en el ámbito de sus competencias, emitir o modificar regulación específica, en coadyuvancia con el Instituto.
Asimismo, cuando el Instituto derivado del ejercicio de sus atribuciones advierta la necesidad de emitir o modificar regulación específica para normar el tratamiento de datos personales en un sector o actividad determinada, podrá proponer a la dependencia competente la elaboración de un anteproyecto.
Mecanismos de coordinación
Artículo 78. Para la elaboración, emisión y publicación de la regulación a que se refiere el artículo 40 de la Ley, la dependencia y el Instituto establecerán los mecanismos de coordinación correspondientes.
En todos los casos, la dependencia y el Instituto, en el ámbito de sus atribuciones, determinarán las disposiciones que normen el tratamiento de datos personales en el sector o actividad que corresponda.
Capítulo VI
De la Autorregulación Vinculante
Objeto de la autorregulación
Artículo 79. De conformidad con lo establecido en el artículo 44 de la Ley, las personas físicas o morales podrán convenir entre ellas o con organizaciones civiles o gubernamentales, nacionales o extranjeras, esquemas de autorregulación vinculante en materia de protección de datos personales, que complementen lo dispuesto por la Ley, el presente Reglamento y las disposiciones que se emitan por las dependencias en desarrollo del mismo y en el ámbito de sus atribuciones. Asimismo, a través de dichos esquemas el responsable podrá demostrar ante el Instituto el cumplimiento de las obligaciones previstas en dicha normativa.
Lo anterior con el objeto de armonizar los tratamientos que lleven a cabo quienes se adhieren a los mismos y facilitar el ejercicio de los derechos de los titulares.
Objetivos específicos de la autorregulación
Artículo 80. Los esquemas de autorregulación podrán traducirse en códigos deontológicos o de buenas prácticas profesionales, sellos de confianza, políticas de privacidad, reglas de privacidad corporativas u otros mecanismos, que incluirán reglas o estándares específicos y tendrán los siguientes objetivos primordiales:
I. Coadyuvar al cumplimiento del principio de responsabilidad al que refiere la Ley y el presente Reglamento;
II. Establecer procesos y prácticas cualitativos en el ámbito de la protección de datos personales que complementen lo dispuesto en la Ley;
III. Fomentar que los responsables establezcan políticas, procesos y buenas prácticas para el cumplimiento de los principios de protección de datos personales, garantizando la privacidad y confidencialidad de la información personal que esté en su posesión;
IV. Promover que los responsables de manera voluntaria cuenten con constancias o certificaciones sobre el cumplimiento de lo establecido en la Ley, y mostrar a los titulares su compromiso con la protección de datos personales;
V. Identificar a los responsables que cuenten con políticas de privacidad alineadas al cumplimiento de los principios y derechos previstos en la Ley, así como de competencia laboral para el debido cumplimiento de sus obligaciones en la materia;
VI. Facilitar la coordinación entre los distintos esquemas de autorregulación reconocidos internacionalmente;
VII. Facilitar las transferencias con responsables que cuenten con esquemas de autorregulación como puerto seguro;
VIII. Promover el compromiso de los responsables con la rendición de cuentas y adopción de políticas internas consistentes con criterios externos, así como para auspiciar mecanismos para implementar políticas de privacidad, incluyendo herramientas, transparencia, supervisión interna continua, evaluaciones de riesgo, verificaciones externas y sistemas de remediación, y
IX. Encauzar mecanismos de solución alternativa de controversias entre responsables, titulares y terceras personas, como son los de conciliación y mediación.
Estos esquemas serán vinculantes para quienes se adhieran a los mismos; no obstante, la adhesión será de carácter voluntario.
Incentivos para la autorregulación
Artículo 81. Cuando un responsable adopte y cumpla un esquema de autorregulación, dicha circunstancia será tomada en consideración para determinar la atenuación de la sanción que corresponda, en caso de verificarse algún incumplimiento a lo dispuesto por la Ley y el presente Reglamento, por parte del Instituto. Asimismo, el Instituto podrá determinar otros incentivos para la adopción de esquemas de autorregulación, así como mecanismos que faciliten procesos administrativos ante el mismo.
Contenido mínimo de los esquemas de autorregulación
Artículo 82. Los esquemas de autorregulación deberán considerar los parámetros que emita la Secretaría, en coadyuvancia con el Instituto, para el correcto desarrollo de este tipo de mecanismos y medidas de autorregulación, considerando al menos lo siguiente:
I. El tipo de esquema convenido, que podrá constituirse en códigos deontológicos, código de buena práctica profesional, sellos de confianza, u otros que posibilite a los titulares identificar a los responsables comprometidos con la protección de sus datos personales;
II. Ámbito de aplicación de los esquemas de autorregulación;
III. Los procedimientos o mecanismos que se emplearán para hacer eficaz la protección de datos personales por parte de los adheridos, así como para medir la eficacia;
IV. Sistemas de supervisión y vigilancia internos y externos;
V. Programas de capacitación para quienes traten los datos personales;
VI. Los mecanismos para facilitar los derechos de los titulares de los datos personales;
VII. La identificación de las personas físicas o morales adheridas, que posibilite reconocer a los responsables que satisfacen los requisitos exigidos por determinado esquema de autorregulación y que se encuentran comprometidos con la protección de los datos personales que poseen, y
VIII. Las medidas correctivas eficaces en caso de incumplimiento.
Certificación en protección de datos personales
Artículo 83. Los esquemas de autorregulación vinculante podrán incluir la certificación de los responsables en materia de protección de datos personales.
En caso de que el responsable decida someterse a un procedimiento de certificación, ésta deberá ser otorgada por una persona física o moral certificadora ajena al responsable, de conformidad con los criterios que para tal fin establezcan los parámetros a los que refiere el artículo 43, fracción V de la Ley.
Personas físicas o morales acreditadas
Artículo 84. Las personas físicas o morales acreditadas como certificadores tendrán la función principal de certificar que las políticas, programas y procedimientos de privacidad instrumentados por los responsables que de manera voluntaria se sometan a su actuación, aseguren el debido tratamiento y que las medidas de seguridad adoptadas son las adecuadas para su protección. Para ello, los certificadores podrán valerse de mecanismos como verificaciones y auditorías.
El procedimiento de acreditación de los certificadores a los que refiere el párrafo anterior, se llevará a cabo de acuerdo con los parámetros que prevé el artículo 43, fracción V de Ley. Estos certificadores deberán garantizar la independencia e imparcialidad para el otorgamiento de certificados, así como el cumplimiento de los requisitos y criterios que se establezcan en los parámetros en mención.
Parámetros de autorregulación
Artículo 85. Los parámetros de autorregulación a los que se refiere el artículo 43, fracción V de la Ley contendrán los mecanismos para acreditar y revocar a las personas físicas o morales certificadoras, así como sus funciones; los criterios generales para otorgar los certificados en materia de protección de datos personales, y el procedimiento de notificación de los esquemas de autorregulación vinculante.
Registro de esquemas de autorregulación
Artículo 86. Los esquemas de autorregulación notificados en términos del último párrafo del artículo 44 de la Ley formarán parte de un registro, que será administrado por el Instituto y en el que se incluirán aquéllos que cumplan con los requisitos que establezcan los parámetros previstos en el artículo 43, fracción V de la Ley.
Capítulo VII
De los Derechos de los Titulares de Datos Personales y su Ejercicio
Sección I
Disposiciones Generales
Ejercicio de los derechos
Artículo 87. El ejercicio de cualquiera de los derechos ARCO no excluye la posibilidad de ejercer alguno de los otros, ni puede constituir requisito previo para el ejercicio de cualquiera de estos derechos.
Restricciones al ejercicio de los derechos
Artículo 88. El ejercicio de los derechos ARCO podrá restringirse por razones de seguridad nacional, disposiciones de orden público, seguridad y salud públicas o para proteger los derechos de terceras personas, en los casos y con los alcances previstos en las leyes aplicables en la materia, o bien mediante resolución de la autoridad competente debidamente fundada y motivada.
Personas facultadas para el ejercicio de los derechos
Artículo 89. Los derechos ARCO se ejercerán:
I. Por el titular, previa acreditación de su identidad, a través de la presentación de copia de su documento de identificación y habiendo exhibido el original para su cotejo. También podrán ser admisibles los instrumentos electrónicos por medio de los cuales sea posible identificar fehacientemente al titular, u otros mecanismos de autenticación permitidos por otras disposiciones legales o reglamentarias, o aquéllos previamente establecidos por el responsable. La utilización de firma electrónica avanzada o del instrumento electrónico que lo sustituya eximirá de la presentación de la copia del documento de identificación, y
II. Por el representante del titular, previa acreditación de:
a) La identidad del titular;
b) La identidad del representante, y
c) La existencia de la representación, mediante instrumento público o carta poder firmada ante dos testigos, o declaración en comparecencia personal del titular.
Para el ejercicio de los derechos ARCO de datos personales de menores de edad o de personas que se encuentren en estado de interdicción o incapacidad establecida por ley, se estará a las reglas de representación dispuestas en el Código Civil Federal.
Medios para el ejercicio de los derechos
Artículo 90. El titular, para el ejercicio de los derechos ARCO, podrá presentar, por sí mismo o a través de su representante, la solicitud ante el responsable conforme a los medios establecidos en el aviso de privacidad. Para tal fin, el responsable pondrá a disposición del titular, medios remotos o locales de comunicación electrónica u otros que considere pertinentes.
Asimismo, el responsable podrá establecer formularios, sistemas y otros métodos simplificados para facilitar a los titulares el ejercicio de los derechos ARCO, lo cual deberá informarse en el aviso de privacidad.
Servicios de atención al público
Artículo 91. Cuando el responsable disponga de servicios de cualquier índole para la atención a su público o el ejercicio de reclamaciones relacionadas con el servicio prestado o los productos ofertados, podrá atender las solicitudes para el ejercicio de los derechos ARCO a través de dichos servicios, siempre y cuando los plazos no contravengan los establecidos en el artículo 32 de la Ley. En tal caso, la identidad del titular se considerará acreditada por los medios establecidos por el responsable para la identificación de los titulares en la prestación de sus servicios o contratación de sus productos, siempre que a través de dichos medios se garantice la identidad del titular.
Procedimientos específicos para el ejercicio de los derechos ARCO
Artículo 92. Cuando las disposiciones aplicables a determinadas bases de datos o tratamientos establezcan un procedimiento específico para solicitar el ejercicio de los derechos ARCO, se estará a lo dispuesto en aquéllas que ofrezcan mayores garantías al titular, y no contravengan las disposiciones previstas en la Ley.
Costos
Artículo 93. El ejercicio de los derechos ARCO será sencillo y gratuito, debiendo cubrir el titular únicamente los gastos de envío, reproducción y, en su caso, certificación de documentos, salvo la excepción prevista en el segundo párrafo del artículo 35 de la Ley.
Los costos de reproducción no podrán ser mayores a los costos de recuperación del material correspondiente.
El responsable no podrá establecer como única vía para la presentación de las solicitudes del ejercicio de los derechos ARCO algún servicio o medio con costo.
Domicilio del titular
Artículo 94. En la solicitud de acceso, para los efectos del artículo 29, fracción I de la Ley, se deberá indicar el domicilio o cualquier otro medio para que sea notificada la respuesta. En caso de no cumplir con este requisito, el responsable tendrá por no presentada la solicitud, dejando constancia de ello.
Registro de solicitudes
Artículo 95. El responsable deberá dar trámite a toda solicitud para el ejercicio de los derechos ARCO. El plazo para que se atienda la solicitud empezará a computarse a partir del día en que la misma haya sido recibida por el responsable, en cuyo caso éste anotará en el acuse de recibo que entregue al titular la correspondiente fecha de recepción.
El plazo señalado se interrumpirá en caso de que el responsable requiera información al titular, en términos de lo dispuesto por el artículo siguiente.
Requerimiento de información adicional
Artículo 96. En el caso de que la información proporcionada en la solicitud sea insuficiente o errónea para atenderla, o bien, no se acompañen los documentos a que hacen referencia los artículos 29, fracción II y 31 de la Ley, el responsable podrá requerir al titular, por una vez y dentro de los cinco días siguientes a la recepción de la solicitud, que aporte los elementos o documentos necesarios para dar trámite a la misma. El titular contará con diez días para atender el requerimiento, contados a partir del día siguiente en que lo haya recibido. De no dar respuesta en dicho plazo, se tendrá por no presentada la solicitud correspondiente.
En caso de que el titular atienda el requerimiento de información, el plazo para que el responsable dé respuesta a la solicitud empezará a correr al día siguiente de que el titular haya atendido el requerimiento.
En caso de que el responsable no requiera al titular documentación adicional para la acreditación de su identidad o de la personalidad de su representante, se entenderá por acreditada la misma con la documentación aportada por el titular desde la presentación de su solicitud.
Ampliación de los plazos
Artículo 97. En términos del artículo 32, segundo párrafo de la Ley, en caso de que el responsable determine ampliar el plazo de respuesta a una solicitud para el ejercicio de los derechos ARCO o aquél para hacer efectiva la respuesta, éste deberá notificar al solicitante las causas que justificaron dicha ampliación, en cualquiera de los siguientes plazos:
I. En caso de ampliar los veinte días para comunicar la determinación adoptada sobre la procedencia de la solicitud, la justificación de la ampliación deberá notificarse dentro del mismo plazo contado a partir del día en que se recibió la solicitud, o
II. En caso de ampliar los quince días para hacer efectivo el ejercicio del derecho que corresponda, la justificación de la ampliación deberá notificarse dentro del mismo plazo contado a partir del día en que se notificó la procedencia de la solicitud.
Respuesta por parte del responsable
Artículo 98. En todos los casos, el responsable deberá dar respuesta a las solicitudes de derechos ARCO que reciba, con independencia de que figuren o no datos personales del titular en sus bases de datos, de conformidad con los plazos establecidos en el artículo 32 de la Ley.
La respuesta al titular deberá referirse exclusivamente a los datos personales que específicamente se hayan indicado en la solicitud correspondiente, y deberá presentarse en un formato legible y comprensible y de fácil acceso. En caso de uso de códigos, siglas o claves se deberán proporcionar los significados correspondientes.
Acceso a los datos personales en sitio
Artículo 99. Cuando el acceso a los datos personales sea en sitio, el responsable deberá determinar el periodo durante el cual el titular podrá presentarse a consultarlos, mismo que no podrá ser menor a quince días. Transcurrido ese plazo, sin que el titular haya acudido a tener acceso a sus datos personales, será necesaria la presentación de una nueva solicitud.
Negativa por parte del responsable
Artículo 100. El responsable que niegue el ejercicio de cualquiera de los derechos ARCO deberá justificar su respuesta, así como informar al titular el derecho que le asiste para solicitar el inicio del procedimiento de protección de derechos ante el Instituto.
Sección II
Del Derecho de Acceso y su Ejercicio
Derecho de acceso
Artículo 101. El titular, en términos de lo dispuesto por el artículo 23 de la Ley, tiene derecho a obtener del responsable sus datos personales, así como información relativa a las condiciones y generalidades del tratamiento.
Medios para el cumplimiento del derecho de Acceso
Artículo 102. La obligación de acceso se dará por cumplida cuando el responsable ponga a disposición del titular los datos personales en sitio, respetando el periodo señalado en el artículo 99 del presente Reglamento, o bien, mediante la expedición de copias simples, medios magnéticos, ópticos, sonoros, visuales u holográficos, o utilizando otras tecnologías de la información que se hayan previsto en el aviso de privacidad. En todos los casos, el acceso deberá ser en formatos legibles o comprensibles para el titular.
Cuando el responsable así lo considere conveniente, podrá acordar con el titular medios de reproducción de la información distintos a los informados en el aviso de privacidad.
Sección III
Del Derecho de Rectificación y su Ejercicio
Derecho de rectificación
Artículo 103. De conformidad con lo dispuesto por el artículo 24 de la Ley, el titular podrá solicitar en todo momento al responsable que rectifique sus datos personales que resulten ser inexactos o incompletos.
Requisitos para el ejercicio del derecho de rectificación
Artículo 104. La solicitud de rectificación deberá indicar a qué datos personales se refiere, así como la corrección que haya de realizarse y deberá ir acompañada de la documentación que ampare la procedencia de lo solicitado. El responsable podrá ofrecer mecanismos que faciliten el ejercicio de este derecho en beneficio del titular.
Sección IV
Del Derecho de Cancelación y su Ejercicio
Derecho de cancelación
Artículo 105. En términos del artículo 25 de la Ley, la cancelación implica el cese en el tratamiento por parte del responsable, a partir de un bloqueo de los mismos y su posterior supresión.
Ejercicio del derecho de cancelación
Artículo 106. El titular podrá solicitar en todo momento al responsable la cancelación de los datos personales cuando considere que los mismos no están siendo tratados conforme a los principios y deberes que establece la Ley y el presente Reglamento.
La cancelación procederá respecto de la totalidad de los datos personales del titular contenidos en una base de datos, o sólo parte de ellos, según lo haya solicitado.
Bloqueo
Artículo 107. De resultar procedente la cancelación, y sin perjuicio de lo establecido en el artículo 32 de la Ley, el responsable deberá:
I. Establecer un periodo de bloqueo con el único propósito de determinar posibles responsabilidades en relación con su tratamiento hasta el plazo de prescripción legal o contractual de éstas, y notificarlo al titular o a su representante en la respuesta a la solicitud de cancelación, que se emita dentro del plazo de veinte días que establece el artículo 32 de la Ley;
II. Atender las medidas de seguridad adecuadas para el bloqueo;
III. Llevar a cabo el bloqueo en el plazo de quince días que establece el artículo 32 de la Ley, y
IV. Transcurrido el periodo de bloqueo, llevar a cabo la supresión correspondiente, bajo las medidas de seguridad previamente establecidas por el responsable.
Propósitos del bloqueo
Artículo 108. En términos del artículo 3, fracción III de la Ley, el bloqueo tiene como propósito impedir el tratamiento, a excepción del almacenamiento, o posible acceso por persona alguna, salvo que alguna disposición legal prevea lo contrario.
El periodo de bloqueo será hasta el plazo de prescripción legal o contractual correspondiente.
Sección V
Del Derecho de Oposición y su Ejercicio
Derecho de oposición
Artículo 109. En términos del artículo 27 de la Ley, el titular podrá, en todo momento, oponerse al tratamiento de sus datos personales o exigir que se cese en el mismo cuando:
I. Exista causa legítima y su situación específica así lo requiera, lo cual debe justificar que aun siendo lícito el tratamiento, el mismo debe cesar para evitar que su persistencia cause un perjuicio al titular, o
II. Requiera manifestar su oposición para el tratamiento de sus datos personales a fin de que no se lleve a cabo el tratamiento para fines específicos.
No procederá el ejercicio del derecho de oposición en aquellos casos en los que el tratamiento sea necesario para el cumplimiento de una obligación legal impuesta al responsable.
Listados de exclusión
Artículo 110. Para el ejercicio del derecho de oposición, los responsables podrán gestionar listados de exclusión propios en los que incluyan los datos de las personas que han manifestado su negativa para que trate sus datos personales, ya sea para sus productos o de terceras personas.
Asimismo, los responsables podrán gestionar listados comunes de exclusión por sectores o generales.
En ambos casos, la inscripción del titular a dichos listados deberá ser gratuita y otorgar al titular una constancia de su inscripción al mismo, a través de los mecanismos que el responsable determine.
Registro Público de Consumidores y Registro Público de Usuarios
Artículo 111. El Registro Público de Consumidores previsto en la Ley Federal de Protección al Consumidor y el Registro Público de Usuarios previsto en la Ley de Protección y Defensa al Usuario de Servicios Financieros, continuarán vigentes y se regirán de conformidad con lo que establezcan las leyes en cita y las disposiciones aplicables que de ellas deriven.
Sección VI
De las decisiones sin intervención humana valorativa
Tratamiento de datos personales en decisiones sin intervención humana valorativa
Artículo 112. Cuando se traten datos personales como parte de un proceso de toma de decisiones sin que intervenga la valoración de una persona física, el responsable deberá informar al titular que esta situación ocurre.
Asimismo, el titular podrá ejercer su derecho de acceso, a fin de conocer los datos personales que se utilizaron como parte de la toma de decisión correspondiente y, de ser el caso, el derecho de rectificación, cuando considere que alguno de los datos personales utilizados sea inexacto o incompleto, para que, de acuerdo con los mecanismos que el responsable tenga implementados para tal fin, esté en posibilidad de solicitar la reconsideración de la decisión tomada.
Capítulo VIII
Del Procedimiento de Protección de Derechos
Inicio
Artículo 113. La solicitud para iniciar el procedimiento de protección de derechos deberá presentarse por el titular o su representante; ya sea mediante escrito libre, en los formatos que para tal efecto determine el Instituto o a través del sistema que éste establezca, en el plazo previsto en el artículo 45 de la Ley.
Tanto el formato como el sistema deberán ser puestos a disposición por el Instituto en su sitio de Internet y en cada una de las oficinas habilitadas que éste determine.
Al promover una solicitud de protección de derechos, el titular o su representante deberán acreditar su identidad o personalidad respectivamente, en los términos establecidos en el artículo 89 del presente Reglamento. En el caso del titular, éste también podrá acreditar su identidad a través de medios electrónicos u otros, en términos de lo que prevean las disposiciones legales o reglamentarias aplicables.
El Instituto podrá tener por reconocida la identidad del titular o la personalidad del representante cuando la misma ya hubiere sido acreditada ante el responsable al ejercer su derecho ARCO.
Medios para presentar la solicitud de protección de derechos
Artículo 114. La solicitud de protección de derechos podrá presentarse en el domicilio del Instituto, en sus oficinas habilitadas, por correo certificado con acuse de recibo o en el sistema al que refiere el artículo anterior, en este último caso, siempre que el particular cuente con la certificación del medio de identificación electrónica a que se refiere el artículo 69-C de la Ley Federal de Procedimiento Administrativo u otras disposiciones legales aplicables. En todo caso, se entregará al promovente un acuse de recibo en el cual conste de manera fehaciente la fecha de la presentación de la solicitud.
Cuando el promovente presente su solicitud por medios electrónicos a través del sistema que establezca el Instituto, se entenderá que acepta que las notificaciones le sean efectuadas por dicho sistema o a través de otros medios electrónicos generados por éste, salvo que señale un medio distinto para efectos de las notificaciones.
Cuando la solicitud sea presentada por el titular o su representante en la oficina habilitada por el Instituto, ésta hará constar la acreditación de la identidad o, en su caso, de la personalidad del representante, y podrá enviar o registrar por medios electrónicos, tanto la solicitud, como los documentos exhibidos. En este caso, la solicitud se tendrá por recibida, para efectos del plazo a que se refiere el artículo 47 de la Ley, cuando el Instituto, a través de ese mismo medio, genere el acuse de recibo correspondiente.
Lo anterior, sin perjuicio de que la oficina habilitada remita al Instituto por correo certificado, la constancia de identidad del titular o el documento de acreditación de la personalidad del representante, así como la solicitud y los documentos anexos, para su integración al expediente respectivo.
En el caso de que el titular envíe la solicitud y sus anexos por correo certificado, el plazo a que se refiere el artículo 47 de la Ley empezará a contar a partir de la fecha que conste en el sello de recepción del Instituto.
Causales de procedencia
Artículo 115. El procedimiento de protección de derechos procederá cuando exista una inconformidad por parte del titular, derivada de acciones u omisiones del responsable con motivo del ejercicio de los derechos ARCO cuando:
I. El titular no haya recibido respuesta por parte del responsable;
II. El responsable no otorgue acceso a los datos personales solicitados o lo haga en un formato incomprensible;
III. El responsable se niegue a efectuar las rectificaciones a los datos personales;
IV. El titular no esté conforme con la información entregada por considerar que es incompleta o no corresponde a la solicitada, o bien, con el costo o modalidad de la reproducción;
V. El responsable se niegue a cancelar los datos personales;
VI. El responsable persista en el tratamiento a pesar de haber procedido la solicitud de oposición, o bien, se niegue a atender la solicitud de oposición, y
VII. Por otras causas que a juicio del Instituto sean procedentes conforme a la Ley o al presente Reglamento.
Requisitos de la solicitud de protección de derechos
Artículo 116. El promovente, en términos del artículo 46 de la Ley, deberá adjuntar a su solicitud de protección de derechos la información y documentos siguientes:
I. Copia de la solicitud del ejercicio de derechos que corresponda, así como copia de los documentos anexos para cada una de las partes, de ser el caso;
II. El documento que acredite que actúa por su propio derecho o en representación del titular;
III. El documento en que conste la respuesta del responsable, de ser el caso;
IV. En el supuesto en que impugne la falta de respuesta del responsable, deberá acompañar una copia en la que obre el acuse o constancia de recepción de la solicitud del ejercicio de derechos por parte del responsable;
V. Las pruebas documentales que ofrece para demostrar sus afirmaciones;
VI. El documento en el que señale las demás pruebas que ofrezca, en términos del artículo 119 del presente Reglamento, y
VII. Cualquier otro documento que considere procedente someter a juicio del Instituto.
Si el titular no pudiera acreditar que acudió con el responsable, ya sea porque éste se hubiere negado a recibir la solicitud de ejercicio de derechos ARCO o a emitir el acuse de recibido, lo hará del conocimiento del Instituto mediante escrito, y éste le dará vista al responsable para que manifieste lo que a su derecho convenga, a fin de garantizar al titular el ejercicio de sus derechos ARCO.
Acuerdo de admisión
Artículo 117. En su caso, el Instituto deberá acordar la admisión de la solicitud de protección de derechos en un plazo no mayor a diez días a partir de su recepción.
Acordada la admisión, el Instituto notificará la misma al promovente y correrá traslado al responsable, en un plazo no mayor a diez días, anexando copia de todos los documentos que el titular hubiere aportado, a efecto de que manifieste lo que a su derecho convenga en un plazo de quince días a partir de la notificación, debiendo ofrecer las pruebas que considere pertinentes.
Admisión o desechamiento de las pruebas
Artículo 118. El Instituto dictará un acuerdo de admisión o desechamiento de las pruebas, y de ser necesario éstas serán desahogadas en una audiencia, de la cual se notificará el lugar o medio, la fecha y hora a las partes.
Ofrecimiento de pruebas
Artículo 119. Los medios de prueba que podrán ofrecerse son los siguientes:
I. La documental pública;
II. La documental privada;
III. La inspección, siempre y cuando se realice a través de la autoridad competente;
IV. La presuncional, en su doble aspecto, legal y humana;
V. La pericial;
VI. La testimonial, y
VII. Las fotografías, páginas electrónicas, escritos y demás elementos aportados por la ciencia y tecnología.
En caso de que se ofrezca prueba pericial o testimonial, se precisarán los hechos sobre los que deban versar y se señalarán los nombres y domicilios del perito o de los testigos, exhibiéndose el cuestionario o el interrogatorio respectivo en preparación de las mismas. Sin estos señalamientos se tendrán por no ofrecidas dichas pruebas.
Conciliación
Artículo 120. Admitida la solicitud y sin perjuicio de lo dispuesto por el artículo 54 de la Ley, el Instituto promoverá la conciliación entre las partes, de conformidad con el siguiente procedimiento:
I. En el acuerdo de admisión de la solicitud de protección de derechos, el Instituto requerirá a las partes que manifiesten, por cualquier medio, su voluntad de conciliar, en un plazo no mayor a diez días, contados a partir de la notificación de dicho acuerdo, mismo que contendrá un resumen de la solicitud de protección de datos personales y de la respuesta del responsable si la hubiere, señalando los elementos comunes y los puntos de controversia.
La conciliación podrá celebrarse presencialmente, por medios remotos o locales de comunicación electrónica o por cualquier otro medio que determine el Instituto. En cualquier caso, la conciliación habrá de hacerse constar por el medio que permita acreditar su existencia.
Queda exceptuado de la etapa de conciliación, cuando el titular sea menor de edad y se haya vulnerado alguno de los derechos contemplados en la Ley para la Protección de los Derechos de Niñas, Niños y Adolescentes, vinculados con la Ley y el presente Reglamento, salvo que cuente con representación legal debidamente acreditada;
II. Aceptada la posibilidad de conciliar por las partes, el Instituto señalará el lugar o medio, día y hora para la celebración de una audiencia de conciliación, la cual deberá realizarse dentro de los veinte días siguientes en que el Instituto haya recibido la manifestación de la voluntad de conciliar de las partes, en la que se procurará avenir los intereses entre el titular y el responsable.
El conciliador podrá, en todo momento en la etapa de conciliación, requerir a las partes que presenten en un plazo máximo de cinco días, los elementos de convicción que estime necesarios para la conciliación.
El conciliador podrá suspender cuando lo estime pertinente o a instancia de ambas partes la audiencia de conciliación hasta en dos ocasiones. En caso de que se suspenda la audiencia, el conciliador señalará día y hora para su reanudación.
De toda audiencia de conciliación se levantará el acta respectiva, en la que conste el resultado de la misma. En caso de que el responsable o el titular o sus respectivos representantes no firmen el acta, ello no afectará su validez, debiéndose hacer constar dicha negativa;
III. Si alguna de las partes no acude a la audiencia de conciliación y justifica su ausencia en un plazo de tres días, será convocado a una segunda audiencia de conciliación; en caso de que no acuda a esta última, se continuará con el procedimiento de protección de derechos. Cuando alguna de las partes no acuda a la audiencia de conciliación sin justificación alguna, se continuará con el procedimiento;
IV. De no existir acuerdo en la audiencia de conciliación, se continuará con el procedimiento de protección de derechos;
V. En caso de que en la audiencia se logre la conciliación, el acuerdo deberá constar por escrito y tendrá efectos vinculantes y señalará, en su caso, el plazo de su cumplimiento, y
VI. El cumplimiento del acuerdo dará por concluido el procedimiento de protección de derechos, en caso contrario, el Instituto reanudará el procedimiento.
El plazo al que se refiere el artículo 47 de la Ley será suspendido durante el periodo de cumplimiento del acuerdo de conciliación.
El procedimiento establecido en el presente artículo no obsta para que, en términos del artículo 54 de la Ley, el Instituto pueda buscar la conciliación en cualquier momento del procedimiento de protección de derechos.
Audiencia
Artículo 121. Para los efectos del penúltimo párrafo del artículo 45 de la Ley, el Instituto determinará, en su caso, el lugar o medio, fecha y hora para la celebración de la audiencia, la cual podrá posponerse sólo por causa justificada. En dicha audiencia se desahogarán las pruebas que por su naturaleza así lo requieran y se levantará el acta correspondiente.
Presentación de alegatos
Artículo 122. Dictado el acuerdo que tenga por desahogadas todas las pruebas, se pondrán las actuaciones a disposición de las partes, para que éstos, en caso de quererlo, formulen alegatos en un plazo de cinco días, contados a partir de la notificación del acuerdo a que se refiere este artículo. Al término de dicho plazo, se cerrará la instrucción y el Instituto emitirá su resolución en el plazo establecido en el artículo 47 de la Ley.
Tercero interesado
Artículo 123. En caso de que no se haya señalado tercero interesado, éste podrá apersonarse en el procedimiento mediante escrito en el que acredite interés jurídico para intervenir en el asunto, hasta antes del cierre de instrucción. Deberá adjuntar a su escrito el documento en el que se acredite su personalidad cuando no actúe en nombre propio y las pruebas documentales que ofrezca.
Falta de respuesta
Artículo 124. En caso de que el procedimiento se inicie por falta de respuesta del responsable a una solicitud de ejercicio de los derechos ARCO, el Instituto correrá traslado al responsable para que, en su caso, acredite haber dado respuesta a la misma, o bien, a falta de ésta, emita la respuesta correspondiente y la notifique al titular con copia al Instituto, en un plazo de diez días contados a partir de la notificación.
En caso de que el responsable acredite haber dado respuesta a la solicitud de ejercicio de derechos en tiempo y forma, y haberla notificado al titular o su representante, el procedimiento de protección de derechos será sobreseído por quedar sin materia, de conformidad con lo previsto en el artículo 53, fracción IV de la Ley.
Cuando el responsable acredite haber dado respuesta a la solicitud de ejercicio de derechos en tiempo y forma, y la solicitud de protección de derechos no haya sido presentada por el titular en el plazo que establece la Ley y el presente Reglamento, el procedimiento de protección de derechos se sobreseerá por extemporáneo, de conformidad con lo previsto en el artículo 53, fracción III de la Ley, en relación con el artículo 52, fracción V del mismo ordenamiento.
En caso de que la respuesta sea emitida por el responsable durante el procedimiento de protección de derechos o hubiere sido emitida fuera del plazo establecido por el artículo 32 de la Ley, el responsable notificará dicha respuesta al Instituto y al titular, para que este último, en un plazo de quince días contados a partir de la notificación, manifieste lo que a su derecho convenga, a efecto de continuar el curso del procedimiento. Si el titular manifiesta su conformidad con la respuesta, el procedimiento será sobreseído por quedar sin materia.
Cuando el responsable no atienda el requerimiento al que refiere el primer párrafo del presente artículo, el Instituto resolverá conforme a los elementos que consten en el expediente.
Resoluciones
Artículo 125. Las resoluciones del Instituto deberán cumplirse en el plazo y términos que las mismas señalen, y podrán instruir el inicio de otros procedimientos previstos en la Ley.
Medios de impugnación
Artículo 126. Contra la resolución al procedimiento de protección de derechos procede el juicio de nulidad ante el Tribunal Federal de Justicia Fiscal y Administrativa.
Reconducción del procedimiento
Artículo 127. En caso de que la solicitud de protección de derechos no actualice alguna de las causales de procedencia previstas en el artículo 115 del presente Reglamento, sino que refiera al procedimiento de verificación contenido en el Capítulo IX de este Reglamento, ésta se turnará a la unidad administrativa competente, en un plazo no mayor a diez días, contados a partir del día en que se recibió la solicitud.
Capítulo IX
Del Procedimiento de Verificación
Inicio
Artículo 128. El Instituto, con el objeto de comprobar el cumplimiento de las disposiciones previstas en la Ley o en la regulación que de ella derive, podrá iniciar el procedimiento de verificación, requiriendo al responsable la documentación necesaria o realizando las visitas en el establecimiento en donde se encuentren las bases de datos respectivas.
Causales de procedencia
Artículo 129. El procedimiento de verificación se iniciará de oficio o a petición de parte, por instrucción del Pleno del Instituto.
Cualquier persona podrá denunciar ante el Instituto las presuntas violaciones a las disposiciones previstas en la Ley y demás ordenamientos aplicables, siempre que no se ubiquen en los supuestos de procedencia del procedimiento de protección de derechos. En este caso, el Pleno determinará, de manera fundada y motivada, la procedencia de iniciar la verificación correspondiente.
Fe pública
Artículo 130. En el ejercicio de las funciones de verificación, el personal del Instituto estará dotado de fe pública para constatar la veracidad de los hechos en relación con los trámites a su cargo.
Requisitos de la denuncia
Artículo 131. La denuncia deberá indicar lo siguiente:
I. Nombre del denunciante y el domicilio o el medio para recibir notificaciones, en su caso;
II. Relación de los hechos en los que basa su denuncia y los elementos con los que cuente para probar su dicho, y
III. Nombre y domicilio del denunciado o, en su caso, datos para su ubicación.
La denuncia podrá presentarse en los mismos medios establecidos para el procedimiento de protección de derechos.
Cuando la denuncia se presente por medios electrónicos a través del sistema que establezca el Instituto, se entenderá que se acepta que las notificaciones sean efectuadas por dicho sistema o a través de otros medios electrónicos generados por éste, salvo que se señale un medio distinto para efectos de las mismas.
Cuando las actuaciones se lleven a cabo como consecuencia de una denuncia, el Instituto acusará recibo de la misma, pudiendo solicitar la documentación que estime oportuna para el desarrollo del procedimiento.
Desarrollo de la verificación
Artículo 132. El procedimiento de verificación tendrá una duración máxima de ciento ochenta días, este plazo comenzará a contar a partir de la fecha en que el Pleno hubiera dictado el acuerdo de inicio y concluirá con la determinación del mismo, el cual no excederá de ciento ochenta días. El Pleno del Instituto podrá ampliar por una vez y hasta por un periodo igual este plazo.
El Instituto podrá realizar diversas visitas de verificaciones para allegarse de los elementos de convicción necesarios, las cuales se desarrollarán en un plazo máximo de diez días cada una. Este plazo deberá ser notificado al responsable o encargado y, en su caso, al denunciante.
Visitas de verificación
Artículo 133. El personal del Instituto que lleve a cabo las visitas de verificación deberá estar provisto de orden escrita fundada y motivada con firma autógrafa de la autoridad competente del Instituto, en la que deberá precisarse el lugar en donde se encuentra el establecimiento del responsable, o bien en donde se encuentren las bases de datos objeto de la verificación, el objeto de la visita, el alcance que deba tener la misma y las disposiciones legales que lo fundamenten.
Identificación del personal verificador
Artículo 134. Al iniciar la visita, el personal verificador deberá exhibir credencial vigente con fotografía, expedida por el Instituto que lo acredite para desempeñar dicha función, así como la orden escrita fundada y motivada a la que se refiere el artículo anterior, de la que deberá dejar copia con quien se entendió la visita.
Acta de verificación
Artículo 135. Las visitas de verificación concluirán con el levantamiento del acta correspondiente, en la que quedará constancia de las actuaciones practicadas durante la visita o visitas de verificación. Dicha acta se levantará en presencia de dos testigos propuestos por la persona con quien se hubiera entendido la diligencia o por quien la practique si aquélla se hubiera negado a proponerlos.
El acta que se emita por duplicado será firmada por el personal verificador actuante y por el responsable, encargado o con quien se haya entendido la actuación, quien podrá manifestar lo que a su derecho convenga.
En caso de que el verificado se niegue a firmar el acta, se hará constar expresamente esta circunstancia en la misma. Dicha negativa no afectará la validez de las actuaciones o de la propia acta. La firma del verificado no supondrá su conformidad, sino tan sólo la recepción de la misma.
Se entregará al verificado uno de los originales del acta de verificación, incorporándose el otro a las actuaciones.
Contenido de las actas de verificación
Artículo 136. En las actas de verificación se hará constar:
I. Nombre, denominación o razón social del verificado;
II. Hora, día, mes y año en que se inicie y concluya la verificación;
III. Los datos que identifiquen plenamente el domicilio, tales como calle, número, población o colonia, municipio o delegación, código postal y entidad federativa en que se encuentre ubicado el lugar en que se practique la verificación, así como número telefónico u otra forma de comunicación disponible con el verificado;
IV. Número y fecha del oficio de comisión que la motivó;
V. Nombre y cargo de la persona con quien se entendió la verificación;
VI. Nombre y domicilio de las personas que fungieron como testigos;
VII. Datos relativos a la actuación;
VIII. Declaración del verificado, si quisiera hacerla, y
IX. Nombre y firma de quienes intervinieron en la verificación, incluyendo los de quienes la hubieran llevado a cabo. Si se negara a firmar el verificado, su representante legal o la persona con quien se entendió la verificación, ello no afectará la validez del acta, debiendo el personal verificador asentar la razón relativa.
Los verificados a quienes se haya levantado acta de verificación, podrán formular observaciones en el acto de la verificación y manifestar lo que a su derecho convenga en relación a los hechos contenidos en ella, o bien, por escrito dentro del término de los cinco días siguientes a la fecha en que se hubiere levantado.
Resolución
Artículo 137. El procedimiento de verificación concluirá con la resolución que emita el Pleno del Instituto, en la cual, en su caso, se establecerán las medidas que deberá adoptar el responsable en el plazo que la misma establezca.
La resolución del Pleno podrá instruir el inicio del procedimiento de imposición de sanciones o establecer un plazo para su inicio, el cual se llevará a cabo conforme a lo dispuesto por la Ley y el presente Reglamento.
La determinación del Pleno será notificada al verificado y al denunciante.
Medios de impugnación
Artículo 138. En contra de la resolución al procedimiento de verificación, se podrá interponer el juicio de nulidad ante el Tribunal Federal de Justicia Fiscal y Administrativa.
Reconducción del procedimiento
Artículo 139. En caso de que la denuncia presentada no refiera al procedimiento previsto en el presente capítulo, sino que actualice alguna de las causales de procedencia del procedimiento de protección de derechos, contenidas en el artículo 115 del presente Reglamento, ésta se turnará a la unidad administrativa competente, en un plazo no mayor a diez días, contados a partir del día en que se recibió la solicitud.
Capítulo X
Del Procedimiento de Imposición de Sanciones
Inicio
Artículo 140. Para efectos del artículo 61 de la Ley, el Instituto iniciará el procedimiento de imposición de sanciones cuando de los procedimientos de protección de derechos o de verificación, se determinen presuntas infracciones a la Ley susceptibles de ser sancionadas conforme al artículo 64 de la misma. Desahogado el procedimiento respectivo, se emitirá la resolución correspondiente.
El procedimiento iniciará con la notificación que se haga al presunto infractor, en el domicilio que el Instituto tenga registrado, derivado de los procedimientos de protección de derechos o de verificación.
La notificación irá acompañada de un informe que describa los hechos constitutivos de la presunta infracción, emplazando al presunto infractor para que en un término de quince días, contados a partir de que surta efectos la notificación, manifieste lo que a su derecho convenga y rinda las pruebas que estime convenientes.
Ofrecimiento y desahogo de pruebas
Artículo 141. El presunto infractor en su contestación se manifestará concretamente respecto de cada uno de los hechos que se le imputen de manera expresa, afirmándolos, negándolos, señalando que los ignora por no ser propios o exponiendo cómo ocurrieron, según sea el caso; y presentará los argumentos por medio de los cuales desvirtúe la infracción que se presume y las pruebas correspondientes.
En caso de que se ofrezca prueba pericial o testimonial, se precisarán los hechos sobre los que deban versar y se señalarán los nombres y domicilios del perito o de los testigos, exhibiéndose el cuestionario o el interrogatorio respectivo en preparación de las mismas. Sin estos señalamientos se tendrán por no ofrecidas dichas pruebas.
Admisión o desechamiento de las pruebas
Artículo 142. Al ofrecimiento de pruebas del presunto infractor, deberá recaer un acuerdo de admisión o desechamiento de las mismas, y se procederá a su desahogo.
De ser necesario, se determinará lugar, fecha y hora para el desahogo de pruebas, que por su naturaleza así lo requieran. Se levantará un acta de la celebración de la audiencia y del desahogo de las pruebas.
Cierre de instrucción y resolución
Artículo 143. Desahogadas, en su caso, las pruebas, se notificará al presunto infractor que cuenta con cinco días para presentar alegatos, contados a partir del día siguiente de que surta efectos la notificación. Al término de dicho plazo se cerrará la instrucción y la resolución del Instituto deberá emitirse en un plazo no mayor de cincuenta días, siguientes a los que inició el procedimiento.
Cuando haya causa justificada, el Pleno del Instituto podrá ampliar por una vez y hasta por un período igual el plazo de cincuenta días al que refiere el párrafo anterior.
Medios de impugnación
Artículo 144. En contra de la resolución al procedimiento de imposición de sanciones procede el juicio de nulidad ante el Tribunal Federal de Justicia Fiscal y Administrativa.
TRANSITORIOS
PRIMERO. El presente Reglamento entrará en vigor al día siguiente al de su publicación en el Diario Oficial de la Federación.
SEGUNDO. Cualquier tratamiento regulado por la Ley y el presente Reglamento que se realice con posterioridad a la fecha de entrada en vigor de la Ley, deberá ajustarse a las disposiciones previstas en dichos ordenamientos, con independencia de que los datos personales hayan sido obtenidos o la base de datos correspondiente haya sido conformada o creada con anterioridad a la entrada en vigor de la Ley. No será necesario recabar el consentimiento de los titulares de los datos personales obtenidos con anterioridad a la entrada en vigor de la Ley, siempre y cuando se cumpla con lo dispuesto por el siguiente párrafo.
Los responsables que hayan recabado datos personales antes de la entrada en vigor de la Ley y que continúen dando tratamiento a los mismos, deberán poner a disposición de los titulares el aviso de privacidad o, en su caso, aplicar cualquiera de las medidas compensatorias, según se requiera, de conformidad con lo dispuesto por los artículos 18 de la Ley y 32, 33, 34 y 35 del presente Reglamento.
El titular tiene a salvo el ejercicio de sus derechos ARCO con relación a los tratamientos que se informen en el aviso de privacidad, o la medida compensatoria que corresponda.
TERCERO. Los criterios generales para el uso de las medidas compensatorias a las que se refiere el artículo 32 del presente Reglamento, serán publicadas por el Instituto a más tardar a los tres meses a partir de la entrada en vigor de este Reglamento.
CUARTO. El responsable deberá observar lo dispuesto en el Capítulo III del presente Reglamento a más tardar a los dieciocho meses siguientes de la entrada en vigor del mismo.
QUINTO. La Secretaría, en coadyuvancia con el Instituto, emitirá los parámetros a que se refieren los artículos 82, 83, 84, 85 y 86 de este Reglamento, dentro de los seis meses siguientes a su entrada en vigor.
Dado en la Residencia del Poder Ejecutivo Federal, en la Ciudad de México, Distrito Federal, a diecinueve de diciembre de dos mil once.- Felipe de Jesús Calderón Hinojosa.- Rúbrica.- El Secretario de Economía, Bruno Francisco Ferrari García de Alba.- Rúbrica.