instituto nacional de transparencia, acceso a la...
TRANSCRIPT
Instituto Nacional de Transparencia, Acceso a la Información y Protección
de Datos Personales
Estudio de viabilidad técnica del marco jurídico mexicano en materia de
protección de datos personales, para que México sea reconocido como un país con un nivel de protección adecuado conforme el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016,
relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por
el que se deroga la Directiva 95/46/CE para el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales
Entregable 2
“Análisis de las disposiciones previstas en la Ley General de Protección de
Datos Personales en Posesión de Sujetos Obligados y demás ordenamientos aplicables”
Elaborado por Davara Abogados
Noviembre de 2019
ELABORADO POR:
Davara Abogados:
Dra. Isabel Davara F. de Marcos Prof. José Luis Rodríguez Álvarez
Mtro. Gregorio Barco Vega Mtro. Alexis Cervantes Padilla Dra. Pamela Rodríguez Padilla
Contenido
I. Abreviaturas ................................................................................................................................. 1
II. Presentación ............................................................................................................................... 3
III. Breve contexto histórico ........................................................................................................... 6
IV. Objetivos .................................................................................................................................... 7
V. Alcance ....................................................................................................................................... 7
VI. Análisis de la LGPDPPSO y su normatividad de desarrollo de conformidad con los requerimientos del WP 254 ............................................................................................................... 8
1) Normatividad analizada y aplicable ................................................................................................... 8 2) Metodología empleada ........................................................................................................................ 8 3) Explicación del contenido de las tablas ............................................................................................ 9
A. Análisis de la LGPDPPSO conforme a las Referencias del WP 254 ................................................ 9 B. Análisis de normatividad conforme al WP 237 .................................................................................. 9
VII. Tablas analíticas ...................................................................................................................... 11 1) Capítulo 3 de las Referencias WP 254 ............................................................................................. 11
1. Principios relativos al contenido ...................................................................................................... 11 2. Ejemplos de principios de contenido adicionales que deben aplicarse a tipos específicos de tratamiento ............................................................................................................................................ 139 3. Mecanismos relativos al procedimiento y la ejecución .................................................................. 149
2) Capítulo 4 del WP 254 y el WP 237 ................................................................................................. 265
1
I. Abreviaturas
Abreviaturas Terminología Definición
C108
Convenio para la Protección de las Personas con respecto al Tratamiento Automatizado de Datos de Carácter Personal del 28 de enero
de 1981
C108+ Convenio modernizado para la protección de las personas con respecto al procesamiento
de datos personales CE Comisión Europea
CEPD Comité Europeo de Protección de Datos CNPP Código Nacional de Procedimientos Penales
CPEUM Constitución Política de los Estados Unidos
Mexicanos CPF Código Penal Federal
Derechos ARCO Derechos de Acceso, Rectificación,
Cancelación y Oposición
Directiva 95/46/CE
Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995,
relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos
datos
EPDP Estándares de Protección de Datos
Personales para los Estados Iberoamericanos
Estudio Técnico
Estudio de viabilidad técnica del marco jurídico mexicano en materia de protección de
datos personales, para que México sea reconocido como un país con un nivel de
protección adecuado conforme el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que
respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE para el
Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos
Personales
GT29 Grupo de Trabajo sobre Protección de Datos
del Artículo 29
2
INAI Instituto Nacional de Transparencia, Acceso a
la Información y Protección de Datos Personales
LCMSJ Lineamientos de Colaboración en Materia de
Seguridad y Justicia
LFTR Ley Federal de Telecomunicaciones y
Radiodifusión. LGN Ley de la Guardia Nacional
LGPDPPSO Ley General de Protección de Datos Personales en Posesión de Sujetos
Obligados
LGPDPSP Lineamientos Generales de Protección de Datos Personales para el Sector Público
LGSNSP Ley General del Sistema Nacional de Seguridad Pública
LSN Ley de Seguridad Nacional RGPD Reglamento General de Protección de Datos TJUE Tribunal de Justicia de la Unión Europea
UE Unión Europea
WP 237
Documento de Trabajo 1/2016 sobre la justificación de las interferencias a los
derechos fundamentales de privacidad y protección de datos a través de medidas de
vigilancia en la transferencia de datos personales (Garantías Europeas Esenciales) adoptado por el Grupo de Trabajo del Artículo
29 el 13 de abril de 2016
WP 254
Referencias sobre adecuación del Grupo de Trabajo sobre Protección de Datos del Artículo 29, revisadas por última vez y
aprobadas el 6 de febrero de 2018
3
II. Presentación El derecho humano a la protección de datos personales es un derecho de notable relevancia en nuestro ordenamiento jurídico. Al respecto, es importante hacer notar que el segundo párrafo del artículo 16 de la Constitución Política de los Estados Unidos Mexicanos (“CPEUM”) lo reconoce como un derecho humano al establecer que todas las personas tienen derecho a la protección de sus datos personales, al acceso, rectificación y cancelación de los mismos, así como a manifestar su oposición, en los términos establecidos por la Ley.1 La denominación anterior es resultado de la aplicación del artículo 1 de la CPEUM que reconoce a todos los individuos los derechos humanos previstos en esta última y en los tratados internacionales de los que el Estado Mexicano sea parte y establece la aplicación del principio pro persona para la interpretación de las normas relativas a los derechos humanos. En México es posible discernir la existencia de dos regímenes de protección legal distintos y detallados. El primero de ellos, referente al sector privado y que se deriva del contenido de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (“LFPDPPP”)2 y demás normatividad aplicable. El segundo de ellos concerniente al sector público y regulado por Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados (“LGPDPPSO”)3 y demás normatividad aplicable. En ambos casos, es posible encontrar disposiciones secundarias extensas dedicadas a regular y detallar distintos aspectos jurídicos previstos en ambos cuerpos normativos. Este documento se enfoca en el análisis de la LGPDPPSO y su normatividad de desarrollo. La normatividad señalada es extensa y ha colocado a México, junto con los esfuerzos realizados por la autoridad garante al nivel federal (Instituto Nacional de Transparencia y Acceso a la Información, y Protección de Datos Personales o “INAI”) como un ejemplar en lo que a la existencia y tutela del 1 “Toda persona tiene derecho a la protección de sus datos personales, al acceso, rectificación y cancelación de los mismos, así como a manifestar su oposición, en los términos que fije la ley, la cual establecerá los supuestos de excepción a los principios que rijan el tratamiento de datos, por razones de seguridad nacional, disposiciones de orden público, seguridad y salud públicas o para proteger los derechos de terceros”. 2En relación con lo anterior, se puede mencionara que artículo 1 de la LFPDPPP que establece el objeto de la misma: Artículo 1.- La presente Ley es de orden público y de observancia general en toda la República y tiene por objeto la protección de los datos personales en posesión de los particulares, con la finalidad de regular su tratamiento legítimo, controlado e informado, a efecto de garantizar la privacidad y el derecho a la autodeterminación informativa de las personas. 3 Artículo 1. La presente Ley es de orden público y de observancia general en toda la República, reglamentaria de los artículos 6o., Base A y 16, segundo párrafo, de la Constitución Política de los Estados Unidos Mexicanos, en materia de protección de datos personales en posesión de sujetos obligados. Todas las disposiciones de esta Ley General, según corresponda, y en el ámbito de su competencia, son de aplicación y observancia directa para los sujetos obligados pertenecientes al orden federal. El Instituto ejercerá las atribuciones y facultades que le otorga esta Ley, independientemente de las otorgadas en las demás disposiciones aplicables. Tiene por objeto establecer las bases, principios y procedimientos para garantizar el derecho que tiene toda persona a la protección de sus datos personales, en posesión de sujetos obligados. Son sujetos obligados por esta Ley, en el ámbito federal, estatal y municipal, cualquier autoridad, entidad, órgano y organismo de los Poderes Ejecutivo, Legislativo y Judicial, órganos autónomos, partidos políticos, fideicomisos y fondos públicos. Los sindicatos y cualquier otra persona física o moral que reciba y ejerza recursos públicos o realice actos de autoridad en el ámbito federal, estatal y municipal serán responsables de los datos personales, de conformidad con la normatividad aplicable para la protección de datos personales en posesión de los particulares. En todos los demás supuestos diferentes a los mencionados en el párrafo anterior, las personas físicas y morales se sujetarán a lo previsto en la Ley Federal de Protección de Datos Personales en Posesión de los Particulares.
4
derecho a la protección de datos personales se refiere ya que existe un extenso desarrollo normativo y la autoridad garante (INAI) se distingue por su autonomía y la alta gama de actividades que desarrolla para proteger este derecho. Dichos esfuerzos han sido reconocidos inclusive por el Consejo de Europa mediante, la invitación a México y la posterior suscripción del Convenio 108. Un paso importante para el seguimiento y reconocimiento a los esfuerzos normativos e institucionales realizados por México para la tutela del derecho a la protección de datos personales puede llevarse a un nivel superior es la evaluación del marco normativo existente para que la CE determine si dicha normatividad y su andamiaje institucional son capaces de garantizar una protección adecuada a los datos personales bajo los estándares establecidos por el RGPD. Dicha labor podría elevar el nivel de protección de los datos personales, permitir el libre flujo transfronterizo de datos personales entre la UE y México así como establecer compromisos y bases medibles para la permanente mejora de los estándares normativos para la protección de datos personales. Una actividad fundamental para determinar si México podría ser acreedor del reconocimiento como país con nivel adecuado de protección4 es el análisis exhaustivo y detallado del régimen jurídico existente de conformidad con los requerimientos normativos que la CE evalúa para llegar a tal determinación. Por esta razón es que, se considera elemental identificar la normatividad vigente en materia de protección de datos personales así como valorar, mediante el análisis comprehensivo de los elementos normativos del RGPD, el WP 254, el WP 237 y demás elementos relativos a la garantía del derecho de protección de datos personales si se garantiza un nivel adecuado de protección conforme a los parámetros de la normatividad europea. El presente documento es resultado de una alianza de liderazgo y gestión internacional conformada por Davara Abogados, boutique legal especializada en Derecho de las TIC en México y el Profesor investigador José Luis Rodríguez Álvarez, actualmente catedrático de la UCM, Director del Máster en Derecho de las Nuevas Tecnologías y Delegado de Protección de datos de la UCM, que además es el Director inmediato anterior (desde junio de 2011 hasta julio de 2015) de la Agencia Española de Protección de Datos ( “AEPD”).
4 A la fecha, los siguientes países han sido reconocidos como territorios seguros para la recepción de datos personales: -Suiza. Decisión 2000/518/CE de la Comisión, de 26 de julio de 2000 -Canadá. Decisión 2002/2/CE de la Comisión, de 20 de diciembre de 2001, respecto de las entidades sujetas al ámbito de aplicación de la ley canadiense de protección de datos -Argentina. Decisión 2003/490/CE de la Comisión, de 3 de junio de 2003 -Guernsey. Decisión 2003/821/CE de la Comisión, de 21 de noviembre de 2003 -Isla de Man. Decisión 2004/411/CE de la Comisión, de 28 de abril de 2004 -Jersey. Decisión 2008/393/CE de la Comisión, de 8 de mayo 2008 -Islas Feroe. Decisión 2010/146/UE de la Comisión, de 5 de marzo de 2010 -Andorra. Decisión 2010/625/UE de la Comisión, de 19 de octubre de 2010 -Israel. Decisión 2011/61/UE de la Comisión, de 31 de enero de 2011 -Uruguay. Decisión 2012/484/UE, de la Comisión de 21 de agosto de 2012. -Nueva Zelanda. Decisión 2013/65/UE de la Comisión, de 19 de diciembre de 2012 -Estados Unidos. Aplicable a las entidades certificadas en el marco del Escudo de Privacidad UE-EE.UU. Decisión (UE) 2016/1250 de la Comisión, de 12 de julio de 2016. -Japón. Decisión de 23 de enero de 2019.
5
La anterior alianza de liderazgo y de conocimiento, como se señaló en la Propuesta Técnica entregada a ese H. Instituto permite conjugar la experiencia conceptual, práctica y presencial en la UE con el conocimiento profundo de la normatividad y aplicación práctica en México, indiscutiblemente necesarios para poder lograr el éxito del proyecto. De esta forma, es que, Davara Abogados a solicitud del INAI, realiza un “Estudio de viabilidad técnica del marco jurídico mexicano en materia de protección de datos personales, para que México sea reconocido como un país con un nivel de protección adecuado” compuesto de distintos elementos a saber: 1) Análisis de las disposiciones previstas en la LFPDPPP de su normatividad derivada y demás ordenamientos aplicables; 2) Análisis de las disposiciones previstas en la LGPDPPSO de su normatividad derivada y demás ordenamientos aplicables; 3) Señalamiento puntual de las asimetrías existentes en la normatividad aplicable conforme a los elementos valorados por la CE y 4) Estudio de viabilidad técnica del marco jurídico mexicano con inclusión recomendaciones para adecuar la normatividad en la materia y que México sea reconocido como un país con un nivel adecuado de protección de datos personales. Al respecto, es importante mencionar que el presente documento está dedicado al análisis de la LGPDPPSO y su normatividad de desarrollo para determinar si esta se ajusta a los requerimientos previstos en el WP 254 y el Reglamento General de Protección de Datos (RGPD). En relación con lo anterior, es importante señalar que, el WP 254 es tomado como referencia primordial para el análisis de aspectos normativos, dado que este documento creado por el GT 29 se dirige específicamente a la CE como una orientación en virtud del RGPD para la evaluación del nivel de protección de los datos en terceros países y organizaciones internacionales estableciendo los principios básicos sobre protección de datos que deben estar presentes en el marco jurídico de un tercer país u organización internacional a fin de garantizar una equivalencia esencial con el marco de la UE. Asimismo, el propio WP 254 indica que este puede fungir como una orientación a terceros países y organizaciones internacionales interesadas en obtener adecuación como es el caso de México, de ahí que analicemos el marco jurídico de protección de datos personales en el sector privado a la luz del WP 254 y el WP 2375 referido en el Capítulo 4 del citado WP 254. Finalmente, es importante señalar que respecto de la pertinencia del WP 237, el GT29 en el Capítulo 4 del WP 254 ha indicado que al evaluar la adecuación del nivel de protección, en virtud del artículo 45, apartado 2, letra a), la CE debe tener en cuenta “la legislación pertinente, tanto general como sectorial, incluida la relativa a la seguridad pública, la defensa, la seguridad nacional y la legislación penal, y el acceso de las autoridades públicas a los datos personales, así como la aplicación de
5 Documento de Trabajo 1/2016 sobre sobre la justificación de las interferencias a los derechos fundamentales de privacidad y protección de datos a través de medidas de vigilancia en la transferencia de datos personales (Garantías Europeas Esenciales) adoptado por el Grupo de Trabajo del Artículo 29 el 13 de abril de 2016
6
dicha legislación”. Por lo anterior, es que, se considera prudente y necesario realizar el análisis normativo conforme a los elementos del WP 237 y el multicitado WP 254. El presente documento, que constituye el segundo entregable del Estudio, comprende el análisis sistemático y comprehensivo de las disposiciones de la LGPDPPSO, los LGPDPSP y demás normatividad aplicable en materia de protección de datos personales en posesión de los entes gubernamentales para determinar si un tercer país –en este caso México– garantiza o no, un nivel adecuado de protección de datos personales. Para ello, se toman en consideración los estándares previstos en el RGPD siguiendo en todo momento el parámetro de evaluación establecido por el GT29 en el WP 254, titulado “Referencias sobre adecuación”, que fue aprobado el 28 de diciembre de 2017 y revisado por última vez y aprobado el 6 de febrero de 2018 así como los demás criterios empleados a estos efectos por la CE.
III. Breve contexto histórico El extenso y detallado marco normativo en materia de protección de datos personales existente en México ha sido fruto de diversos acontecimientos normativos a partir de los cuales se reformó y actualizó el marco jurídico existente para dar cabida a disposiciones concretas tendientes a regular la protección de datos personales. Como antecedentes del derecho a la protección de datos personales en México podemos identificar las previsiones de la Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental del 11 de junio de 2002, cuyo Capítulo IV fue dedicado a la materia de protección de datos personales. No obstante, dado que dicha norma únicamente tenía como sujetos obligados a los entes de derecho público, y como el enfoque de esta era sólo acceso a la información y transparencia, se planteaba la protección de datos personales únicamente como un límite a la misma, y la regulación no era comprehensiva. Aunque hubo desarrollos regulatorios posteriores que trataron de compensar las deficiencias normativas existentes (Lineamientos de Protección de Datos), lo cierto es que la protección de datos personales en México se concretó jurídicamente hasta la publicación de la LGPDPPSO en el año 2017. El 7 de febrero de 2014 se publicó la reforma constitucional en materia de transparencia que estableció la creación de un nuevo régimen legal de transparencia, acceso a la información pública, y protección de datos personales para el sector público constituyendo al entonces IFAI en una entidad constitucionalmente autónoma. Como resultado de esta reforma, verían la luz importantes disposiciones legales en materia de transparencia y acceso a la información pública como la LGTAIP publicada el 4 de mayo 2015 y la LFTAIP el 9 de mayo de 2016, así como diversas disposiciones complementarias posteriormente emitidas por el INAI, incluyendo su Estatuto Orgánico en enero de 2017. En relación con la protección de los datos personales en posesión de entidades públicas tanto en el orden federal como en el orden local, la citada reforma fue transcendental, publicándose el 26 de
7
enero de 2017 la LGPDPPSO a la que seguirían diversas disposiciones secundarias para cumplir con los objetivos de la citada Ley.
IV. Objetivos Este documento tiene como objetivos, los siguientes:
Identificar los elementos normativos valorados y el procedimiento a realizar por la CE para reconocer a un país con un nivel de protección adecuado según lo previsto en el RGPD, el WP 254 y el WP 237.
Realizar un análisis comprehensivo de las disposiciones previstas en la LGPDPPSO y de su normatividad de desarrollo en relación con los requerimientos normativos sujetos a la evaluación de la CE para reconocer a un tercer país con un nivel de protección adecuado según lo previsto en el RGPD, el WP 254 y el WP 237.
V. Alcance El presente documento conforma el Entregable 2 del Estudio Técnico y tiene como propósito realizar un análisis sistemático de las disposiciones de la LGPDPPSO, sus Lineamientos y demás normatividad aplicable en el orden federal para el sector público, lo anterior a fin de determinar si un tercer país (México), garantiza o no, un nivel adecuado de protección de datos personales de conformidad con lo previsto en el RGPD, siguiendo las Referencias del WP 254 y el WP 237, documentos de orientación emitidos por el máximo órgano de consulta de la UE durante la emisión del RGPD (GT29 ahora sustituido por el CEPD) y atendiendo a los demás elementos normativos sujetos a la apreciación de la CE según lo dispuesto por el artículo 45 del RGPD. Lo anterior, en virtud de la probada experiencia del líder del proyecto el profesor José Luis Rodríguez Álvarez que como miembro del GT29 participó en la elaboración de más de treinta dictámenes e informes sobre la interpretación de la normativa europea de protección de datos, incluyendo documentos relativos a decisiones de adecuación respecto de terceros países. Es importante destacar que este Entregable contiene un análisis sistemático de la normatividad en materia de protección de datos personales aplicable en el sector público, toda vez que la atinente al sector privado fue analizada de manera exhaustiva en el Entregable 1 . Adicionalmente, debe señalarse que este Entregable únicamente aporta un análisis legal del marco jurídico existente en México, sin emitir aseveraciones concretas sobre la pertinencia o calidad de dicho marco normativo para que México pudiera ser reconocido como un país con garantías adecuadas para la protección de datos personales conforme a la normatividad europea, dado que estas cuestiones serán el objeto de tratamiento en los entregables 3 y 4.
8
VI. Análisis de la LGPDPPSO y su normatividad de desarrollo de conformidad con los requerimientos del WP 254
1) Normatividad analizada y aplicable El análisis de la normatividad aplicable en materia de protección de datos personales, en el sector público, se basa primordialmente en la LGPDPPSO y los LGPDPSP del 26 de enero de 2018. No obstante, cuando ha resultado necesario se realizan remisiones a las disposiciones secundarias derivadas de la LGPDPPSO como son:
Los Lineamientos Generales para que el INAI ejerza la facultad de atracción, publicados el 16 de febrero de 2017.
Las Disposiciones administrativas de carácter general para la elaboración, presentación y valoración de evaluaciones de impacto en la protección de datos personales, publicadas el 23 de enero de 2018.
Los Criterios generales para la instrumentación de medidas compensatorias en el sector público del orden federal, estatal y municipal, publicados el 23 de enero de 2018.
Los Lineamientos que Establecen los Parámetros, Modalidades y Procedimientos para la Portabilidad de Datos Personales, publicados el 12 de febrero de 2018.
Procedimiento para el registro, turno, sustanciación y seguimiento a las resoluciones de los recursos de revisión emitidas por el Pleno del Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales, en los sistemas de gestión de medios de impugnación y de comunicación entre organismos garantes y sujetos obligados de la federación, publicado el 31 de julio de 2018.
Parámetros de mejores prácticas en materia de protección de datos personales para el sector público, publicados el 9 de octubre de 2019.
Asimismo, en el entorno internacional, dada su relevancia para el caso en concreto se toman en cuenta y forman parte del sustento analítico de este entregable el RGPD, el C108 y el C108+.
2) Metodología empleada Como se ha reseñado de forma previa, para la elaboración de este entregable referente al análisis de la normatividad del sector público en materia de protección de datos personales, en congruencia con las acciones realizadas en entregable 1, en este documento se han elaborado una serie de tablas analíticas que contienen el análisis de la normatividad aplicable a partir de los elementos susceptibles de una valoración por la CE para determinara si México puede ser reconocido como un país con un nivel adecuado de protección, en particular el WP 254, el WP 237, el RGPD, el C108 y el C108. La metodología anterior permite dar continuidad a la labor de profundo análisis legal que se llevó a cabo para la elaboración del entregable 1, así como realizar una primera identificación de discrepancias normativas entre las disposiciones legales en materia de protección de datos personales para el sector público en México con respecto a los parámetros previstos en el WP 254, el WP 237, el RGPD, el C108 y el C108
9
3) Explicación del contenido de las tablas
A. Análisis de la LGPDPPSO conforme a las Referencias del WP 254
Para realizar el análisis de la LGPDPPSO, los LGPDPSP y demás normatividad aplicable se elabora una comparativa sobre cómo las disposiciones citadas cumplen con el RGPD, el C108, el C108+ y los requerimientos establecidos en el WP 254; en la que, se han generado tablas de análisis que se dividen en 2 grupos principales:
1) Principios generales en materia de protección de datos. Se incluyen tablas sobre principios
relativos al contenido (conceptos, fundamentos del tratamiento lícito y leal para fines legítimos, principio de limitación de la finalidad, principio de calidad de los datos y proporcionalidad, principio de retención de datos, principio de seguridad y confidencialidad, principio de transparencia, derecho de acceso, rectificación, supresión y oposición, restricciones a transferencias ulteriores) y ejemplos de principios de contenido adicionales que deben aplicarse a tipos específicos de tratamiento (categorías especiales de datos, mercadotecnia directa y decisiones automatizadas y elaboración de perfiles).
2) Mecanismos relativos al procedimiento y la ejecución. Se incluye una serie de tablas analíticas donde se presenta la forma en que se han regulado aspectos como autoridades de control competentes independientes, la forma en la que el sistema de protección de datos garantiza un buen nivel de cumplimiento, responsabilidad proactiva y la forma en la que el sistema de protección de datos ofrece apoyo y ayuda a los interesados individuales en el ejercicio de sus derechos y mecanismos de reclamación adecuados.
B. Análisis de normatividad conforme al WP 237 En la parte última del entregable se presenta la tabla analítica sobre “Garantías esenciales para el acceso por parte de los cuerpos policiales y de seguridad nacional a fin de limitar las injerencias en los derechos fundamentales” que estudia los siguientes aspectos establecidos en el WP 237: tratamiento basado en normas claras, precisas y accesibles (base jurídica), demostración de la necesidad y la proporcionalidad respecto a los objetivos legítimos perseguidos, tratamiento sujeto a una supervisión independiente y vías de acción efectivas disponibles para las personas.
10
11
VII. Tablas analíticas
1) Capítulo 3 de las Referencias WP 254
1. Principios relativos al contenido
A. Conceptos La siguiente tabla presenta el análisis de la LGPDPPSO a partir de los conceptos previstos en el WP 254 donde se señala que el sistema de un tercer país u organización internacional debe incluir diversos conceptos como parte de los principios y mecanismos básicos de protección de datos relativos al contenido y al procedimiento/ejecución. Al respecto, el WP 254 señala lo siguiente:
Deben existir una serie de conceptos o principios básicos sobre protección de datos. Estos no deben imitar la terminología del RGPD, pero deben reflejar los conceptos consagrados en la legislación europea en materia de protección de datos y ser coherentes con ellos. A modo de ejemplo, el RGPD incluye los siguientes conceptos importantes: «datos personales», «tratamiento de datos personales», «responsable del tratamiento», «encargado del tratamiento», «destinatario» y «datos sensibles».
De esta manera, se presentan los distintos conceptos incluidos en la LGPDPPSO realizando una comparación con los conceptos incluidos en el RGPD, el C108 y el C108+.
12
Capítulo 3 del WP 254: Principios generales en materia de protección de datos para garantizar que el nivel de protección en un tercer país, territorio o uno o varios sectores específicos de ese tercer país, u organización internacional es sustancialmente equivalente al garantizado por la legislación de la UE
A. Principios relativos al contenido
Conceptos
LGPDPPSO Otras disposiciones RGPD C108 C108+
Comentarios
Conceptos
Datos personales
Cualquier información concerniente a una persona
física identificada o identificable. Se considera
que una persona es identificable cuando su
identidad pueda determinarse directa o
indirectamente a través de cualquier información;
(artículo 3.IX)
----
Toda información sobre una persona física identificada o
identificable («el interesado»); se considerará persona física identificable
toda persona cuya identidad pueda determinarse, directa
o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un
número de identificación, datos de localización, un
identificador en línea o uno o varios elementos propios
de la identidad física, fisiológica, genética, psíquica, económica,
cultural o social de dicha persona (artículo 4,
apartado 1).
b) «Datos de carácter
personal» significa cualquier
información relativa a una persona física identificada o identificable («persona
concernida»);
“datos personales” significa cualquier información
relativa a una persona física identificada o identificable (“persona concernida”);
La definición de la LGPDPPSO y su
Reglamento resulta coherente con el texto del
RGPD.
A diferencia del RGPD la LGPDPPSO utiliza la expresión “cualquier
información” en sustitución del tema “identificador”.
Tratamiento
Cualquier operación o conjunto de operaciones
efectuadas mediante procedimientos manuales o automatizados aplicados a
los datos personales, relacionadas con la
obtención, uso, registro, organización, conservación,
elaboración, utilización, comunicación, difusión,
almacenamiento, posesión, acceso, manejo,
aprovechamiento, divulgación, transferencia o
disposición de datos personales. (artículo
3.XXXIII).
El artículo 4 indica lo siguiente:
Artículo 4. La presente Ley será aplicable a cualquier
tratamiento de datos personales que obren en
soportes físicos o electrónicos, con
independencia de la forma o modalidad de su creación,
tipo de soporte, procesamiento,
almacenamiento y organización.
Cualquier operación o conjunto de operaciones realizadas sobre datos
personales o conjuntos de datos personales, ya sea
por procedimientos automatizados o no, como
la recogida, registro, organización,
estructuración, conservación, adaptación o
modificación, extracción, consulta, utilización, comunicación por
transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o
c) por «tratamiento automatizado» se entiende
las operaciones que a continuación se indican
efectuadas en su totalidad o en parte con ayuda de
procedimientos automatizados: Registro de
datos, aplicación a esos datos de operaciones lógicas aritméticas, su modificación, borrado, extracción o difusión;
“tratamiento de datos” significa cualquier operación o conjunto de operaciones
realizadas a datos personales, como la
recolección, almacenamiento,
preservación, alteración, recuperación, divulgación,
puesta a disposición, supresión o destrucción, o la
ejecución de operaciones lógicas y/o aritméticas con
estos datos;
Donde no se utilice el procesamiento
automatizado, “tratamiento de datos” significa una
El tenor literal de la definición podría dar pie a una interpretación que le
confiere un ámbito menor al que tiene en la regulación de la UE, en la medida en que se entienda que sólo abarca las operaciones “relacionadas” con las
actividades que expresamente se
mencionan. El carácter aparentemente tasado de esta relación podría dejar
fuera actividades típicas de tratamiento en el
ordenamiento europeo como pueden ser la
supresión o la destrucción.
13
destrucción (artículo 4, apartado 2).
operación o conjunto de operaciones sobre datos
personales, en el marco de un conjunto estructurado de
estos datos que son accesibles o recuperables de acuerdo con criterios
específicos;
Responsable
Los sujetos obligados a que se refiere el artículo 1 de la presente Ley que deciden
sobre el tratamiento de datos personales; (artículo 3.XXVIII).
----
«responsable del tratamiento» o
«responsable»: la persona física o jurídica, autoridad
pública, servicio u otro organismo que, solo o junto
con otros, determine los fines y medios del
tratamiento; si el Derecho de la Unión o de los Estados
miembros determina los fines y medios del
tratamiento, el responsable del tratamiento o los
criterios específicos para su nombramiento podrá
establecerlos el Derecho de la Unión o de los Estados
miembros (artículo 4, apartado 7).
d) autoridad «controladora
del fichero» significa la persona física o jurídica, la
autoridad pública, el servicio o cualquier otro organismo que sea competente con arreglo a la ley nacional para decidir cuál será la
finalidad del fichero automatizado, cuáles
categorías de datos de carácter personal deberán
registrarse y cuáles operaciones se les
aplicarán.
“Responsable” significa la persona física o jurídica, la
autoridad pública, el servicio, la agencia o
cualquier otro organismo que, de manera autónoma o en conjunto con otras, sea
competente para tomar decisiones en materia de
tratamiento de datos;
El término previsto en la LGPDPPSO es equivalente
al de RGPD, aunque no hace referencia expresa a
un servicio u otro organismo que, solo o junto con otros,
determine los fines y medios del tratamiento.
Encargado
La persona física o jurídica, pública o privada, ajena a la
organización del responsable, que sola o conjuntamente con otras trate datos personales a nombre y por cuenta del
responsable (artículo 3.CV).
Obligación general del encargado
Artículo 108. En términos de lo previsto en los artículos 3, fracción XV y 58 de la Ley
General, el encargado es un prestador de servicios que
realiza actividades de tratamiento de datos
personales a nombre y por cuenta del responsable,
como consecuencia de la existencia de una relación
jurídica que le vincula con el mismo y delimita el ámbito
de su actuación para la prestación de un servicio.
El responsable será
«encargado del tratamiento» o «encargado»: la persona física o jurídica, autoridad
pública, servicio u otro organismo que trate datos personales por cuenta del
responsable del tratamiento (artículo 4, apartado 8).
----
“Procesador” significa la persona física o jurídica, la
autoridad pública, el servicio, la agencia o
cualquier otro organismo que procesa datos
personales en nombre del responsable.
La definición de la LGPDPPSO es consistente
con el RGPD.
14
corresponsable por las vulneraciones de seguridad ocurridas en el tratamiento de datos personales que efectúe el encargado a nombre y por cuenta de
éste. (Artículo 108, LGPDPSP)
Destinatario ---- ----
«destinatario»: la persona física o jurídica, autoridad
pública, servicio u otro organismo al que se comuniquen datos
personales, se trate o no de un tercero. No obstante, no
se considerarán destinatarios las autoridades públicas que puedan recibir
datos personales en el marco de una investigación
concreta de conformidad con el Derecho de la Unión o de los Estados miembros; el tratamiento de tales datos
por dichas autoridades públicas será conforme con las normas en materia de
protección de datos aplicables a los fines del tratamiento (artículo 4,
apartado 9).
----
“Receptor” significa la persona física o jurídica, la
autoridad pública, el servicio, la agencia o
cualquier otro organismo al cual le sean divulgados o
puestos a disposición datos personales;
Esta definición no está prevista en la LGPDPPSO ni en sus disposiciones de
desarrollo
Datos sensibles
Aquellos que se refieran a la esfera más íntima de su titular, o cuya utilización
indebida pueda dar origen a discriminación o conlleve un riesgo grave para éste. De manera enunciativa más no
limitativa, se consideran sensibles los datos
personales que puedan revelar aspectos como origen racial o étnico,
estado de salud presente o futuro, información genética,
creencias religiosas,
---- ---- ----
Artículo 6 – Categorías particulares de datos
b. El procesamiento
de: datos genéticos; datos personales
relacionados a delitos, procedimientos en materia penal y compurgación de la
pena, y medidas de seguridad relacionadas; datos biométricos que identifiquen de manera
inequívoca a una persona;
La LGPDPPSO incluye bajo esta categoría a aquellos
que puedan revelar aspectos como origen racial
o étnico, estado de salud presente y futuro,
información genética, creencias religiosas, filosóficas y morales,
afiliación sindical, opiniones políticas, preferencia sexual
pero no los define
La LGPDPPSO no incluye a los datos biométricos y
15
filosóficas y morales, opiniones políticas y
preferencia sexual (artículo 3.X).
datos personales que revelen el origen étnico o
racial, las opiniones políticas, la afiliación a sindicatos, creencias
religiosas o de otro tipo, salud o vida sexual,
solo debe ser autorizado cuando existan las garantías
adecuadas en la ley, de manera complementaria a
las de este Convenio.
datos relativos a condenas penales como datos sensibles (categorías
especiales)
Tercero ---- ----
«tercero»: persona física o jurídica, autoridad pública,
servicio u organismo distinto del interesado, del
responsable del tratamiento, del encargado del
tratamiento y de las personas autorizadas para tratar los datos personales bajo la autoridad directa del
responsable o del encargado (artículo 4,
apartado 10).
---- ----
Esta definición no está prevista en la LGPDPPSO ni en su normatividad de
desarrollo.
Interesado
Titular: La persona física a quien corresponden los
datos personales (artículo 3. XXI)
----
Toda información sobre una persona física identificada o
identificable («el interesado»); se considerará persona física identificable
toda persona cuya identidad pueda determinarse, directa
o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un
número de identificación, datos de localización, un
identificador en línea o uno o varios elementos propios
de la identidad física, fisiológica, genética, psíquica, económica,
cultural o social de dicha persona (artículo 4,
apartado 1).
---- ---- La definición de la
LGPDPPSO es consistente con el RGPD.
16
Consentimiento del interesado
Consentimiento: Manifestación de la voluntad
del titular de los datos mediante la cual se efectúa el tratamiento de los mismos
(Artículo 3.VIII)
Principio del consentimiento Articulo 12. Previo al
tratamiento de los datos personales, el responsable
deberá obtener el consentimiento del titular, de
manera libre, especifica e informada, en términos del
articulo 20 de la Ley General, salvo que se
actualice algunas de las causales de excepción
previstas en el articulo 22 del mismo ordenamiento.
La actualización de alguna de las fracciones previstas en el artículo 22 de la Ley
General, no exime al responsable del
cumplimiento de las demás obligaciones establecidas
en dicho ordenamiento y los presentes Lineamientos
generales. (Artículo 12, LGPDPSP)
«consentimiento del interesado»: toda
manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea
mediante una declaración o una clara acción afirmativa,
el tratamiento de datos personales que le
conciernen;
---- ----
La LGPDPPSO no indica que el consentimiento se refiera a la manifestación del titular mediante ya sea
mediante una declaración o una clara acción afirmativa.
Limitación del tratamiento ---- ----
«limitación del tratamiento»: el marcado de los datos de
carácter personal conservados con el fin de limitar su tratamiento en el futuro (artículo 4, apartado
3).
---- ---- Esta definición no está
prevista en la LGPDPPSO.
Elaboración de perfiles ---- ----
«elaboración de perfiles»: toda forma de tratamiento
automatizado de datos personales consistente en utilizar datos personales
para evaluar determinados aspectos personales de una persona física, en particular
para analizar o predecir aspectos relativos al
rendimiento profesional, situación económica, salud,
preferencias personales,
---- ----
Esta definición no está prevista en la LGPDPPSO ni en su normatividad de
desarrollo.
17
intereses, fiabilidad, comportamiento, ubicación
o movimientos de dicha persona física;
Seudonimización ---- ----
«seudonimización»: el tratamiento de datos
personales de manera tal que ya no puedan atribuirse a un interesado sin utilizar
información adicional, siempre que dicha
información adicional figure por separado y esté sujeta a
medidas técnicas y organizativas destinadas a
garantizar que los datos personales no se atribuyan
a una persona física identificada o identificable;
---- ----
Esta definición no está prevista en la LGPDPPSO ni en su normatividad de
desarrollo.
Fichero
Conjunto ordenado de datos personales referentes a una persona física identificada o identificable, condicionados
a criterios determinados, con independencia de la forma o modalidad de su creación, tipo de soporte,
procesamiento, almacenamiento y
organización (artículo 2.III)
---
«fichero»: todo conjunto estructurado de datos
personales, accesibles con arreglo a criterios
determinados, ya sea centralizado,
descentralizado o repartido de forma funcional o
geográfica;
b) «fichero automatizado» significa cualquier conjunto de informaciones que sea objeto de un tratamiento
automatizado;
----
Esta definición no está prevista en la LGPDPPSO ni en su normatividad de desarrollo, sino que hace uso del concepto de base
de datos que es equivalente, aunque la
LGPDPPSO no indica que se trate de un conjunto de
datos con arreglo a criterios determinados.
Violación de la seguridad
Artículo 38. Además de las que señalen las leyes
respectivas y la normatividad aplicable, se
considerarán como vulneraciones de
seguridad, en cualquier fase del tratamiento de
datos, al menos, las siguientes:
b. La pérdida o destrucción no autorizada;
II. El robo, extravío o copia no autorizada;
b. El uso, acceso o
----
«violación de la seguridad de los datos personales»:
toda violación de la seguridad que ocasione la
destrucción, pérdida o alteración accidental o ilícita
de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos;
---- ----
La LGPDPPSO usa el concepto de vulneración,
pero no indica que se trate de datos personales
transmitidos, conservados o tratados de otra forma.
18
tratamiento no autorizado, o
IV. El daño, la alteración o modificación
no autorizada.
Datos genéticos ---- ----
«datos genéticos»: datos personales relativos a las características genéticas
heredadas o adquiridas de una persona física que
proporcionen una información única sobre la fisiología o la salud de esa
persona, obtenidos en particular del análisis de una
muestra biológica de tal persona;
---- ----
Esta definición no está prevista en la LGPDPPSO ni en su normatividad de
desarrollo.
Datos biométricos ---- ----
«datos biométricos»: datos personales obtenidos a partir de un tratamiento
técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la
identificación única de dicha persona, como imágenes
faciales o datos dactiloscópicos;
---- ----
Esta definición no está prevista en la LGPDPPSO ni en su normatividad de
desarrollo.
Datos relativos a la salud ---- ----
«datos relativos a la salud»: datos personales relativos a la salud física o mental de
una persona física, incluida la prestación de servicios de
atención sanitaria, que revelen información sobre
su estado de salud;
---- ----
Esta definición no está prevista en la LGPDPPSO ni en su normatividad de
desarrollo.
Establecimiento principal ---- ----
«establecimiento principal»: a) en lo que se refiere a un
responsable del tratamiento con
establecimientos en más de un Estado miembro,
el lugar de su administración central en la Unión, salvo que las
---- ----
Esta definición no está prevista en la LGPDPPSO ni en su normatividad de
desarrollo.
19
decisiones sobre los fines y los medios del
tratamiento se tomen en otro establecimiento del responsable en la Unión
y este último establecimiento tenga el poder de hacer aplicar
tales decisiones, en cuyo caso el establecimiento que haya adoptado tales
decisiones se considerará
establecimiento principal; b) en lo que se refiere a un
encargado del tratamiento con
establecimientos en más de un Estado miembro,
el lugar de su administración central en la Unión o, si careciera
de esta, el establecimiento del
encargado en la Unión en el que se realicen las principales actividades
de tratamiento en el contexto de las
actividades de un establecimiento del
encargado en la medida en que el encargado esté
sujeto a obligaciones específicas con arreglo al
presente Reglamento;
Representante ---- ----
«representante»: persona física o jurídica establecida en la Unión que, habiendo sido designada por escrito por el responsable o el encargado
del tratamiento con arreglo al artículo 27, represente al
responsable o al encargado en lo que respecta a sus
respectivas obligaciones en virtud del presente
---- ----
Esta definición no está prevista en la LGPDPPSO ni en su normatividad de
desarrollo.
20
Reglamento;
Empresa ---- ----
«empresa»: persona física o jurídica dedicada a una actividad económica,
independientemente de su forma jurídica, incluidas las sociedades o asociaciones
que desempeñen regularmente una actividad
económica;
---- ----
Esta definición no está prevista en la LGPDPPSO ni en su normatividad de
desarrollo.
Grupo empresarial ---- ----
«grupo empresarial»: grupo constituido por una empresa que ejerce el control y sus
empresas controladas;
---- ----
Esta definición no está prevista en la LGPDPPSO ni en su normatividad de
desarrollo.
Normas corporativas vinculantes
---- ----
«normas corporativas vinculantes»: las políticas de
protección de datos personales asumidas por un
responsable o encargado del tratamiento establecido en el territorio de un Estado miembro para transferencias
o un conjunto de transferencias de datos
personales a un responsable o encargado en uno o más países terceros,
dentro de un grupo empresarial o una unión de empresas dedicadas a una
actividad económica conjunta;
---- ----
Esta definición no está prevista en la LGPDPPSO ni en su normatividad de
desarrollo.
Autoridad de control pública ---- ----
«autoridad de control»: la autoridad pública
independiente establecida por un Estado miembro con arreglo a lo dispuesto en el
artículo 51;
---- ----
Esta definición no está prevista en la LGPDPPSO ni en su normatividad de
desarrollo.
Autoridad de control interesada ---- ----
«autoridad de control interesada»: la autoridad de
control a la que afecta el tratamiento de datos
personales debido a que:
---- ----
Esta definición no está prevista en la LGPDPPSO ni en su normatividad de
desarrollo.
21
a) el responsable o el encargado del
tratamiento está establecido en el
territorio del Estado miembro de esa
autoridad de control; b) los interesados que
residen en el Estado miembro de esa
autoridad de control se ven sustancialmente
afectados o es probable que se vean
sustancialmente afectados por el tratamiento, o
c) se ha presentado una reclamación ante esa autoridad de control;
Tratamiento transfronterizo»: ---- ----
«tratamiento transfronterizo»:
a) el tratamiento de datos personales realizado en
el contexto de las actividades de
establecimientos en más de un Estado miembro de un responsable o un
encargado del tratamiento en la Unión,
si el responsable o el encargado está
establecido en más de un Estado miembro, o
b) el tratamiento de datos personales realizado en
el contexto de las actividades de un único establecimiento de un
responsable o un encargado del
tratamiento en la Unión, pero que afecta
sustancialmente o es probable que afecte sustancialmente a
---- ----
Esta definición no está prevista en la LGPDPPSO ni en su normatividad de
desarrollo.
22
interesados en más de un Estado miembro;
Objeción pertinente y motivada ---- ----
«objeción pertinente y motivada»: la objeción a una propuesta de decisión sobre
la existencia o no de infracción del presente Reglamento, o sobre la
conformidad con el presente Reglamento de acciones
previstas en relación con el responsable o el encargado
del tratamiento, que demuestre claramente la
importancia de los riesgos que entraña el proyecto de
decisión para los derechos y libertades fundamentales de
los interesados y, en su caso, para la libre
circulación de datos personales dentro de la
Unión;
---- ----
Esta definición no está prevista en la LGPDPPSO ni en su normatividad de
desarrollo.
Servicio de la sociedad de la información ---- ----
«servicio de la sociedad de la información»: todo servicio conforme a la
definición del artículo 1, apartado 1, letra b), de la Directiva (UE) 2015/1535 del Parlamento Europeo y
del Consejo (19);
---- ----
Esta definición no está prevista en la LGPDPPSO ni en su normatividad de
desarrollo.
Organización internacional ---- ----
«organización internacional»: una
organización internacional y sus entes subordinados de
Derecho internacional público o cualquier otro
organismo creado mediante un acuerdo entre dos o más
países o en virtud de tal acuerdo.
---- ----
Esta definición no está prevista en la LGPDPPSO ni en su normatividad de
desarrollo.
23
B. Fundamentos del tratamiento lícito y leal para fines legítimos La siguiente tabla presenta el análisis de la LGPDPPSO y su normatividad de desarrollo a partir de los fundamentos jurídicos existentes para considerar la existencia de un tratamiento lícito y leal para fines legítimos. Al respecto, el WP 254 señala lo siguiente:
El tratamiento de los datos debe ser lícito, leal y legítimo. Las bases legítimas, según las cuales el tratamiento de los datos personales puede ser lícito, leal y legítimo, deben establecerse de manera clara. El marco europeo reconoce varios de estos fundamentos legítimos, incluidas disposiciones en el Derecho nacional, el consentimiento del interesado, la ejecución de un contrato o los intereses legítimos del responsable del tratamiento o de una tercera parte que no prevalezcan sobre los intereses del interesado.
De esta manera, se presentan los distintos fundamentos jurídicos para considerar la existencia de un tratamiento lícito y leal para fines legítimos incluidos en la LGPDPPSO y sus Lineamientos realizando una comparación con el contenido del RGPD, el C108 y el C108+.
24
Capítulo 3 del WP 254: Principios generales en materia de protección de datos para garantizar que el nivel de protección en un tercer país, territorio o uno o varios sectores específicos de ese tercer país, u organización internacional es sustancialmente equivalente al garantizado por la legislación de la UE
A. Principios relativos al contenido 2) Fundamentos del tratamiento lícito para fines legítimos
LGPDPPSO LGPDPSP RGPD C108 C108+ Comentarios Artículo 16. El responsable deberá observar los principios de licitud, finalidad, lealtad, consentimiento, calidad, proporcionalidad, información y responsabilidad en el tratamiento de datos personales. Artículo 17. El tratamiento de datos personales por parte del responsable deberá sujetarse a las facultades o atribuciones que la normatividad aplicable le confiera. Artículo 20. Cuando no se actualicen algunas de las causales de excepción previstas en el artículo 22 de la presente Ley, el responsable deberá contar con el consentimiento previo del titular para el tratamiento de los datos personales, el cual deberá otorgarse de forma: I. Libre: Sin que medie error, mala fe, violencia o dolo que puedan afectar la manifestación de voluntad del titular; II. Específica: Referida a finalidades concretas, lícitas, explícitas y legítimas que
Principios generales de protección de datos personales Articulo 7. En todo tratamiento de datos personales el responsable debería observar los siguientes principios rectores de la protección de datos personales: l. Licitud; II. Finalidad; III. Lealtad; IV. Consentimiento; V. Calidad; VI. Proporcionalidad; VII. Información, y VIII. Responsabilidad. Principio de licitud Articulo 8. En términos del articulo 17 de la Ley General, el responsable deberá tratar los datos personales que posea sujetándose a las atribuciones o facultades que la normatividad aplicable le confiera, así como con estricto apego y cumplimiento de lo dispuesto en dicho ordenamiento, los presentes Lineamientos generales, la legislación mexicana que le resulte aplicable y, en su caso, el derecho internacional, respetando los derechos y libertades de los titulares. Principio del consentimiento Articulo 12. Previo al tratamiento de los datos personales, el
Artículo 5 Principios relativos al tratamiento 1. Los datos personales serán: a)tratados de manera lícita, leal y
transparente en relación con el interesado («licitud, lealtad y transparencia»);
b)recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines; de acuerdo con el artículo 89, apartado 1, el tratamiento ulterior de los datos personales con fines de archivo en interés público, fines de investigación científica e histórica o fines estadísticos no se considerará incompatible con los fines iniciales («limitación de la finalidad»);
c) adecuados, pertinentes ylimitados a lo necesario enrelación con los fines para losque son tratados («minimizaciónde datos»);
d)exactos y, si fuera necesario, actualizados; se adoptarán todas las medidas razonables para que se supriman o rectifiquen sin dilación los datos personales que sean inexactos con respecto a los fines para los que se tratan («exactitud»);
e)mantenidos de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento de los datos personales; los datos personales podrán conservarse durante períodos más largos siempre que
Artículo 5. Calidad de los datos Los datos de carácter personal que sean objeto de un tratamiento automatizado: a. Se obtendrán y tratarán leal y legítimamente; b. se registrarán para finalidades determinadas y legítimas, y no se utilizarán de una forma incompatible con dichas finalidades; c. serán adecuados, pertinentes y no excesivos en relación con las finalidades para las cuales se hayan registrado; d. serán exactos y si fuera necesario puestos al día; e. se conservarán bajo una forma que permita la identificación de las personas concernidas durante un período de tiempo que no exceda del necesario para las finalidades para las cuales se hayan registrado.
Artículo 5 – Legitimidad de los datos, procesamiento y calidad de los datos 1. El tratamiento de datos debe ser proporcional en relación con el propósito legítimo que se persigue y reflejar, en todas las etapas del procesamiento, un balance justo entre todos los intereses involucrados, ya sean públicos o privados, así como los derechos y libertades en juego. 2. Cada Parte debe establecer que el tratamiento de datos podrá realizarse en la base del consentimiento libre, específico, informado e inequívoco de la persona concernida o, de lo contrario, por alguna otra causa legítima establecida en la ley. 3. Los datos personales sometidos a tratamiento deben ser procesados de manera legal. 4. Los datos personales sometidos a tratamiento deben ser: a. Procesados de manera clara y de una manera transparente; b. Recolectados para propósitos explícitos, específicos y legítimos, además de no ser procesados en un modo incompatible con aquellos propósitos; el tratamiento adicional con motivos archivísticos, científicos, de investigación histórica o con fines estadísticos es, siempre que sea sujeto a las limitaciones apropiadas, compatible con estos propósitos; c. adecuado, relevante y no
La LGPDPPSO y su normatividad de desarrollo no consideran el interés legítimo como una base para la legitimación del tratamiento de datos personales. La LGPDPPSO y su normatividad de desarrollo no consideran el interés público como una base para la legitimación del tratamiento de datos personales. En la LGPDPPSO y su normatividad de desarrollo el consentimiento es la principal base para legitimar el tratamiento de datos personales:
25
Capítulo 3 del WP 254: Principios generales en materia de protección de datos para garantizar que el nivel de protección en un tercer país, territorio o uno o varios sectores específicos de ese tercer país, u organización internacional es sustancialmente equivalente al garantizado por la legislación de la UE
A. Principios relativos al contenido 2) Fundamentos del tratamiento lícito para fines legítimos
justifiquen el tratamiento, e III. Informada: Que el titular tenga conocimiento del aviso de privacidad previo al tratamiento a que serán sometidos sus datos personales. En la obtención del consentimiento de menores de edad o de personas que se encuentren en estado de interdicción o incapacidad declarada conforme a la ley, se estará a lo dispuesto en las reglas de representación previstas en la legislación civil que resulte aplicable. … Artículo 22. El responsable no estará obligado a recabar el consentimiento del titular para el tratamiento de sus datos personales en los siguientes casos: I. Cuando una ley así lo disponga, debiendo dichos supuestos ser acordes con las bases, principios y disposiciones establecidos en esta Ley, en ningún caso, podrán contravenirla; II. Cuando las transferencias que se realicen entre responsables, sean sobre datos personales que se utilicen para el ejercicio de facultades propias, compatibles o análogas con la finalidad que motivó el tratamiento de los datos personales; III. Cuando exista una orden judicial, resolución o mandato fundado y motivado de autoridad
responsable deberá obtener el consentimiento del titular, de manera libre, específica e informada, en términos del articulo 20 de la Ley General, salvo que se actualice algunas de las causales de excepción previstas en el articulo 22 del mismo ordenamiento. La actualización de alguna de las fracciones previstas en el artículo 22 de la Ley General, no exime al responsable del cumplimiento de las demás obligaciones establecidas en dicho ordenamiento y los presentes Lineamientos generales.
se traten exclusivamente con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, de conformidad con el artículo 89, apartado 1, sin perjuicio de la aplicación de las medidas técnicas y organizativas apropiadas que impone el presente Reglamento a fin de proteger los derechos y libertades del interesado («limitación del plazo de conservación»);
f)tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas («integridad y confidencialidad»).
2. El responsable del tratamiento será responsable del cumplimiento de lo dispuesto en el apartado 1 y capaz de demostrarlo («responsabilidad proactiva»). Artículo 6 Licitud del tratamiento 1. El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones: a) el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos; b) el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la
excesivo con relación a los propósitos para los que son procesados; d. exactos y, cuando es el caso, actualizados; e. se conservarán bajo una forma que permita la identificación de las personas concernidas durante un período de tiempo que no exceda del necesario para las finalidades para las cuales se hayan registrado.
26
Capítulo 3 del WP 254: Principios generales en materia de protección de datos para garantizar que el nivel de protección en un tercer país, territorio o uno o varios sectores específicos de ese tercer país, u organización internacional es sustancialmente equivalente al garantizado por la legislación de la UE
A. Principios relativos al contenido 2) Fundamentos del tratamiento lícito para fines legítimos
competente; IV. Para el reconocimiento o defensa de derechos del titular ante autoridad competente; V. Cuando los datos personales se requieran para ejercer un derecho o cumplir obligaciones derivadas de una relación jurídica entre el titular y el responsable; VI. Cuando exista una situación de emergencia que potencialmente pueda dañar a un individuo en su persona o en sus bienes; VII. Cuando los datos personales sean necesarios para efectuar un tratamiento para la prevención, diagnóstico, la prestación de asistencia sanitaria; VIII. Cuando los datos personales figuren en fuentes de acceso público; IX. Cuando los datos personales se sometan a un procedimiento previo de disociación, o X. Cuando el titular de los datos personales sea una persona reportada como desaparecida en los términos de la ley en la materia.
aplicación a petición de este de medidas precontractuales; c) el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento; d) el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física; e) el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento; f) el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño. Lo dispuesto en la letra f) del párrafo primero no será de aplicación al tratamiento realizado por las autoridades públicas en el ejercicio de sus funciones.
Artículo 19. El responsable no deberá obtener y tratar datos personales, a través de medios engañosos o fraudulentos, privilegiando la protección de los intereses del titular y la expectativa razonable de privacidad.
Principio de lealtad Articulo 11. En términos de lo dispuesto en el artículo 19 de la Ley General y los presentes Lineamientos generales, se entenderá: I. Por medios engañosos o fraudulentos aquellos que el responsable utilice para tratar los
Artículo 5 Principios relativos al tratamiento 1. Los datos personales serán: a)tratados de manera lícita, leal y
transparente en relación con el interesado («licitud, lealtad y transparencia»);
y capaz de demostrarlo («responsabilidad proactiva»).
Artículo 5. Calidad de los datos Los datos de carácter personal que sean objeto de un tratamiento automatizado: a. Se obtendrán y tratarán leal y legítimamente; b. se registrarán para finalidades determinadas y legítimas, y no se utilizarán de una forma
Artículo 5 – Legitimidad de los datos, procesamiento y calidad de los datos 1. El tratamiento de datos debe ser proporcional en relación con el propósito legítimo que se persigue y reflejar, en todas las etapas del procesamiento, un balance justo entre todos los
En la LGPDPPSO el principio de lealtad y licitud son independientes. En general este principio es compatible con las disposiciones del RGPD.
27
Capítulo 3 del WP 254: Principios generales en materia de protección de datos para garantizar que el nivel de protección en un tercer país, territorio o uno o varios sectores específicos de ese tercer país, u organización internacional es sustancialmente equivalente al garantizado por la legislación de la UE
A. Principios relativos al contenido 2) Fundamentos del tratamiento lícito para fines legítimos
datos personales con dolo, mala fe o negligencia; II. Que el responsable privilegia los intereses del titular cuando el tratamiento de datos personales que efectúa no da lugar a una discriminación o trato injusto o arbitrario contra este, y III. Por expectativa razonable de privacidad, la confianza que el titular ha depositado en el responsable respecto a que sus datos personales serán tratados conforme a lo señalado en el aviso de privacidad y en cumplimiento a las disposiciones previstas en la Ley General y los presentes Lineamientos generales.
… incompatible con dichas finalidades; c. serán adecuados, pertinentes y no excesivos en relación con las finalidades para las cuales se hayan registrado; d. serán exactos y si fuera necesario puestos al día; e. se conservarán bajo una forma que permita la identificación de las personas concernidas durante un período de tiempo que no exceda del necesario para las finalidades para las cuales se hayan registrado.
intereses involucrados, ya sean públicos o privados, así como los derechos y libertades en juego. 2. Cada Parte debe establecer que el tratamiento de datos podrá realizarse en la base del consentimiento libre, específico, informado e inequívoco de la persona concernida o, de lo contrario, por alguna otra causa legítima establecida en la ley. 3. Los datos personales sometidos a tratamiento deben ser procesados de manera legal. …
28
29
C. Principio de limitación de la finalidad La siguiente tabla presenta el análisis de la LGPDPPSO y los LGPDPSP a partir del cumplimento al principio de limitación de la finalidad. Al respecto, el WP 254 señala que “los datos deben ser tratados para un fin específico y utilizados posteriormente solo en la medida en que esto no sea incompatible con el fin del tratamiento.” De esta manera, se presentan los distintos fundamentos jurídicos en los que se regula el principio de limitación de la finalidad en la LGPDPPSO y sus Lineamientos realizando una comparación con el contenido del RGPD, el C108 y el C108+.
30
Capítulo 3 del WP 254: Principios generales en materia de protección de datos para garantizar que el nivel de protección en un tercer país, territorio o uno o varios sectores específicos de ese tercer país, u organización internacional es sustancialmente equivalente al garantizado por la legislación de la UE
A. Principios relativos al contenido 3) Principio de limitación de la finalidad
LGPDPPSO LGPDPSP RGPD C108 C108+ Comentarios Artículo 18. Todo tratamiento de datos personales que efectúe el responsable deberá estar justificado por finalidades concretas, lícitas, explícitas y legítimas, relacionadas con las atribuciones que la normatividad aplicable les confiera. El responsable podrá tratar datos personales para finalidades distintas a aquéllas establecidas en el aviso de privacidad, siempre y cuando cuente con atribuciones conferidas en la ley y medie el consentimiento del titular, salvo que sea una persona reportada como desaparecida, en los términos previstos en la presente Ley y demás disposiciones que resulten aplicables en la materia. Artículo 25. El responsable sólo deberá tratar los datos personales que resulten adecuados, relevantes y estrictamente necesarios para la finalidad que justifica su tratamiento.
Principio de finalidad Articulo 9. Para efectos de lo previsto en el articulo 18, primer párrafo de la Ley General y los presentes Lineamientos generales, se entenderá� que las finalidades son: l. Concretas: cuando el tratamiento de los datos personales atiende a la consecución de fines específicos o determinados, sin que admitan errores, distintas interpretaciones o provoquen incertidumbre, dudas o confusión en el titular; II. Explicitas: cuando las finalidades se expresan y dan a conocer de manera clara en el aviso de privacidad; III. Licitas: cuando las finalidades que justifican el tratamiento de los datos personales son acordes con las atribuciones o facultades del responsable, conforme a lo previsto en la legislación mexicana y el derecho internacional que le resulte aplicable, IV. Legítimas: cuando las finalidades que motivan el tratamiento de los datos personales se encuentran habilitadas por el consentimiento del titular, salvo que se actualice alguna de las causales de excepción previstas en el articulo 22 de la Ley General. Tratamiento para finalidades distintas Artículo 10. En el tratamiento de datos personales para finalidades distintas a aquellas que motivaron
Artículo 5 Principios relativos al tratamiento 1. Los datos personales serán: … b) recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines; de acuerdo con el artículo 89, apartado 1, el tratamiento ulterior de los datos personales con fines de archivo en interés público, fines de investigación científica e histórica o fines estadísticos no se considerará incompatible con los fines iniciales («limitación de la finalidad»);
Artículo 5. Calidad de los datos Los datos de carácter personal que sean objeto de un tratamiento automatizado: a. Se obtendrán y tratarán leal y legítimamente; b. se registrarán para finalidades determinadas y legítimas, y no se utilizarán de una forma incompatible con dichas finalidades; c. serán adecuados, pertinentes y no excesivos en relación con las finalidades para las cuales se hayan registrado; d. serán exactos y si fuera necesario puestos al día; e. se conservarán bajo una forma que permita la identificación de las personas concernidas durante un período de tiempo que no exceda del necesario para las finalidades para las cuales se hayan registrado.
Artículo 5 – Legitimidad de los datos, procesamiento y calidad de los datos 1. El tratamiento de datos debe ser proporcional en relación con el propósito legítimo que se persigue y reflejar, en todas las etapas del procesamiento, un balance justo entre todos los intereses involucrados, ya sean públicos o privados, así como los derechos y libertades en juego. 2, Cada Parte debe establecer que el tratamiento de datos podrá realizarse en la base del consentimiento libre, específico, informado e inequívoco de la persona concernida o, de lo contrario, por alguna otra causa legítima establecida en la ley. 3. Los datos personales sometidos a tratamiento deben ser procesados de manera legal. 4. Los datos personales sometidos a tratamiento deben ser: a. Procesados de manera clara y de una manera transparente; b. Recolectados para propósitos explícitos, específicos y legítimos, además de no ser procesados en un modo incompatible con aquellos propósitos; el tratamiento adicional con motivos archivísticos, científicos, de investigación histórica o con fines estadísticos es, siempre que sea sujeto a las limitaciones apropiadas, compatible con estos propósitos; c. adecuado, relevante y no excesivo en relación con los
La previsión del principio de finalidad resulta congruente con el RGPD ya que la Ley prohíbe el tratamiento para finalidades distintas (art. 18 de la LGPDPPSO). Sin embargo, la LGPDPPSO no señala que el tratamiento ulterior de los datos personales con fines de archivo en interés público, fines de investigación científica e histórica o fines estadísticos no se considerará incompatible con los fines iniciales
31
su tratamiento original a que se refiere el articulo 18, segundo párrafo de la Ley General, el responsable deberá� considerar: l. La expectativa razonable de privacidad de la titular basada en la relación que tiene con este; II. La naturaleza de los datos personales; III. Las consecuencias del tratamiento posterior de los datos personales para el titular, y IV. Las medidas adoptadas para que el tratamiento posterior de los datos personales cumpla con las disposiciones previstas en la Ley General y los presentes Lineamientos generales.
propósitos para los que son procesados; d. exactos y, cuando es el caso, actualizados; e. se conservarán bajo una forma que permita la identificación de las personas concernidas durante un período de tiempo que no exceda del necesario para las finalidades para las cuales se hayan registrado.
32
33
D. Principio de calidad de los datos y proporcionalidad La siguiente tabla presenta el análisis de la LGPDPPSO y los LGPDPSP a partir del cumplimento de los principios de calidad y proporcionalidad. Al respecto, el WP 254 señala que “los datos deberán ser precisos y, en caso necesario, se mantendrán actualizados. Los datos deberán ser adecuados, pertinentes y no excesivos con respecto a los fines para los que se traten”. De esta manera, se presentan los distintos fundamentos jurídicos en los que se regulan los principios de calidad y proporcionalidad en la LGPDPPSO y sus Lineamientos realizando una comparación con el contenido del RGPD, el C108 y el C108+.
34
Capítulo 3 del WP 254: Principios generales en materia de protección de datos para garantizar que el nivel de protección en un tercer país, territorio o uno o varios sectores específicos de ese tercer país, u organización internacional es sustancialmente equivalente al garantizado por la legislación de la UE
A. Principios relativos al contenido Principios de calidad y proporcionalidad
LGPDPPSO LGPDPSP RGPD C108 C108+ Comentarios Artículo 23. El responsable deberá adoptar las medidas necesarias para mantener exactos, completos, correctos y actualizados los datos personales en su posesión, a fin de que no se altere la veracidad de éstos. Se presume que se cumple con la calidad en los datos personales cuando éstos son proporcionados directamente por el titular y hasta que éste no manifieste y acredite lo contrario. Cuando los datos personales hayan dejado de ser necesarios para el cumplimiento de las finalidades previstas en el aviso de privacidad y que motivaron su tratamiento conforme a las disposiciones que resulten aplicables, deberán ser suprimidos, previo bloqueo en su caso, y una vez que concluya el plazo de conservación de los mismos. Los plazos de conservación de los datos personales no deberán exceder aquéllos que sean necesarios para el cumplimiento de las finalidades que justificaron su tratamiento, y deberán atender a las disposiciones aplicables en la materia de que se trate y considerar los aspectos administrativos, contables, fiscales, jurídicos e históricos de los datos personales. Artículo 24. El responsable
Principio de calidad Articulo 21. Para efectos del artículo 23 de la Ley General y los presentes Lineamientos generales, se entenderá� que los datos personales son: I. Exactos y correctos: cuando los datos personales en posesión del responsable no presentan errores que pudieran afectar su veracidad; II. Completos: cuando su integridad permite el cumplimiento de las finalidades que motivaron su tratamiento y de las atribuciones del responsable, y III. Actualizados: cuando los datos personales responden fielmente a la situación actual del titular. Presunción de calidad de los datos personales cuando se obtienen indirectamente del titular Articulo 22. Cuando los datos personales fueron obtenidos indirectamente del titular, el responsable deberá� adoptar medidas de cualquier naturaleza dirigidas a garantizar que estos responden al principio de calidad, de acuerdo con la categoría de datos personales y las condiciones y medios del tratamiento. Supresión de los datos personales Articulo 23. En la supresión de los
Artículo 5 Principios relativos al tratamiento 1. Los datos personales serán: … c) adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados («minimización de datos») d) exactos y, si fuera necesario, actualizados; se adoptarán todas las medidas razonables para que se supriman o rectifiquen sin dilación los datos personales que sean inexactos con respecto a los fines para los que se tratan («exactitud»);
Artículo 5. Calidad de los datos Los datos de carácter personal que sean objeto de un tratamiento automatizado: a. Se obtendrán y tratarán leal y legítimamente; b. se registrarán para finalidades determinadas y legítimas, y no se utilizarán de una forma incompatible con dichas finalidades; c. serán adecuados, pertinentes y no excesivos en relación con las finalidades para las cuales se hayan registrado; d. serán exactos y si fuera necesario puestos al día; e. se conservarán bajo una forma que permita la identificación de las personas concernidas durante un período de tiempo que no exceda del necesario para las finalidades para las cuales se hayan registrado.
Artículo 5 – Legitimidad de los datos, procesamiento y calidad de los datos 1. El tratamiento de datos debe ser proporcional en relación con el propósito legítimo que se persigue y reflejar, en todas las etapas del procesamiento, un balance justo entre todos los intereses involucrados, ya sean públicos o privados, así como los derechos y libertades en juego. 2. Cada Parte debe establecer que el tratamiento de datos podrá realizarse en la base del consentimiento libre, específico, informado e inequívoco de la persona concernida o, de lo contrario, por alguna otra causa legítima establecida en la ley. 3. Los datos personales sometidos a tratamiento deben ser procesados de manera legal. 4. Los datos personales sometidos a tratamiento deben ser: a. Procesados de manera clara y de una manera transparente; b. Recolectados para propósitos explícitos, específicos y legítimos, además de no ser procesados en un modo incompatible con aquellos propósitos; el tratamiento adicional con motivos archivísticos, científicos, de investigación histórica o con fines estadísticos es, siempre que sea sujeto a las limitaciones apropiadas, compatible con estos propósitos; c. adecuado, relevante y no
La previsión del principio de calidad en la LGPDPPSO y los LGPDPSP y su Reglamento resulta congruente con el RGPD
35
deberá establecer y documentar los procedimientos para la conservación y, en su caso, bloqueo y supresión de los datos personales que lleve a cabo, en los cuales se incluyan los periodos de conservación de los mismos, de conformidad con lo dispuesto en el artículo anterior de la presente Ley. En los procedimientos a que se refiere el párrafo anterior, el responsable deberá incluir mecanismos que le permitan cumplir con los plazos fijados para la supresión de los datos personales, así como para realizar una revisión periódica sobre la necesidad de conservar los datos personales.
datos personales a que se refiere el articulo 23, párrafo tercero de la Ley General, el responsable deberá� establecer políticas, métodos y técnicas orientadas a la supresión definitiva de estos, de tal manera que la probabilidad de recuperarlos o reutilizarlos sea mínima. En el establecimiento de las políticas, métodos y técnicas a que se refiere el párrafo anterior, el responsable deberá� considerar, al menos, los siguientes atributos y el o los medios de almacenamiento, físicos y/o electrónicos en los que se encuentren los datos personales: I. Irreversibilidad: que el proceso utilizado no permita recuperar los datos personales; II. Seguridad y confidenciada: que en la eliminación definitiva de los datos personales se consideren los deberes de confidencialidad y seguridad a que se refieren la Ley General y los presentes Lineamientos generales, y III. Favorable al medio ambiente: que el método utilizado produzca el mínimo de emisiones y desperdicios que afecten el medio ambiente.
excesivo en relación a los propósitos para los que son procesados; d. exactos y, cuando es el caso, actualizados; e. se conservarán bajo una forma que permita la identificación de las personas concernidas durante un período de tiempo que no exceda del necesario para las finalidades para las cuales se hayan registrado.
Artículo 25. El responsable sólo deberá tratar los datos personales que resulten adecuados, relevantes y estrictamente necesarios para la finalidad que justifica su tratamiento.
Principio de proporcionalidad Articulo 24. En términos del artículo 25 de la Ley General y los presentes Lineamientos generales, se entenderá� que los datos personales son adecuados, relevantes y estrictamente necesarios cuando son apropiados, indispensables y no excesivos para el cumplimiento de las finalidades que motivaron su obtención, de acuerdo con las
El RGPD en el apartado c) de su artículo 5 señala lo siguiente: Artículo 5 Principios relativos al tratamiento 1. Los datos personales serán: … c) adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados («minimización de datos»)
Artículo 5. Calidad de los datos Los datos de carácter personal que sean objeto de un tratamiento automatizado: a. Se obtendrán y tratarán leal y legítimamente; b. se registrarán para finalidades determinadas y legítimas, y no se utilizarán de una forma incompatible con dichas finalidades; c. serán adecuados, pertinentes y
Artículo 5 – Legitimidad de los datos, procesamiento y calidad de los datos 1. El tratamiento de datos debe ser proporcional en relación con el propósito legítimo que se persigue y reflejar, en todas las etapas del procesamiento, un balance justo entre todos los intereses involucrados, ya sean públicos o privados, así como los derechos y libertades en juego.
La previsión del principio de proporcionalidad resulta congruente con el RGPD.
36
atribuciones conferidas al responsable por la normatividad que le resulte aplicable. Criterio de minimización Articulo 25. El responsable deberá realizar esfuerzos razonables para limitar los datos personales tratados al mínimo necesario, con relación a las finalidades que motivan su tratamiento.
no excesivos en relación con las finalidades para las cuales se hayan registrado; d. serán exactos y si fuera necesario puestos al día; e. se conservarán bajo una forma que permita la identificación de las personas concernidas durante un período de tiempo que no exceda del necesario para las finalidades para las cuales se hayan registrado.
2. Cada Parte debe establecer que el tratamiento de datos podrá realizarse en la base del consentimiento libre, específico, informado e inequívoco de la persona concernida o, de lo contrario, por alguna otra causa legítima establecida en la ley. 3. Los datos personales sometidos a tratamiento deben ser procesados de manera legal. 4. Los datos personales sometidos a tratamiento deben ser: a. Procesados de manera clara y de una manera transparente; b. Recolectados para propósitos explícitos, específicos y legítimos, además de no ser procesados en un modo incompatible con aquellos propósitos; el tratamiento adicional con motivos archivísticos, científicos, de investigación histórica o con fines estadísticos es, siempre que sea sujeto a las limitaciones apropiadas, compatible con estos propósitos; c. adecuado, relevante y no excesivo con relación a los propósitos para los que son procesados; d. exactos y, cuando es el caso, actualizados; e. se conservarán bajo una forma que permita la identificación de las personas concernidas durante un período de tiempo que no exceda del necesario para las finalidades para las cuales se hayan registrado.
37
E. Principio de retención de datos La siguiente tabla presenta el análisis de la LGPDPPSO y los LGPDPSP a partir del cumplimento del principio de retención de datos. Al respecto, el WP 254 señala que “por regla general, los datos deben almacenarse durante un período no superior al necesario para los fines para los que se tratan”. De esta manera, se presentan los distintos fundamentos jurídicos en los que se regula el principio de retención de datos en la LGPDPPSO y sus Lineamientos realizando una comparación con el contenido del RGPD, el C108 y el C108+.
38
Capítulo 3 del WP 254: Principios generales en materia de protección de datos para garantizar que el nivel de protección en un tercer país, territorio o uno o varios sectores específicos de ese tercer país, u organización internacional es sustancialmente equivalente al garantizado por la legislación de la UE
A. Principios relativos al contenido 5) Principio de retención de datos
LGPDPPSO LGPDPSP RGPD C108 C108+ Comentarios Artículo 23. El responsable deberá adoptar las medidas necesarias para mantener exactos, completos, correctos y actualizados los datos personales en su posesión, a fin de que no se altere la veracidad de éstos. Se presume que se cumple con la calidad en los datos personales cuando éstos son proporcionados directamente por el titular y hasta que éste no manifieste y acredite lo contrario. Cuando los datos personales hayan dejado de ser necesarios para el cumplimiento de las finalidades previstas en el aviso de privacidad y que motivaron su tratamiento conforme a las disposiciones que resulten aplicables, deberán ser suprimidos, previo bloqueo en su caso, y una vez que concluya el plazo de conservación de los mismos. Los plazos de conservación de los datos personales no deberán exceder aquéllos que sean necesarios para el cumplimiento de las finalidades que justificaron su tratamiento, y deberán atender a las disposiciones aplicables en la materia de que se trate y considerar los aspectos administrativos, contables, fiscales, jurídicos e históricos de los datos personales. Artículo 24. El responsable deberá establecer y documentar los procedimientos para la conservación y, en su caso,
Supresión de los datos personales Articulo 23. En la supresión de los datos personales a que se refiere el articulo 23, párrafo tercero de la Ley General, el responsable deberá establecer políticas, métodos y técnicas orientadas a la supresión definitiva de estos, de tal manera que la probabilidad de recuperarlos o reutilizarlos sea mínima. En el establecimiento de las políticas, métodos y técnicas a que se refiere el párrafo anterior, el responsable deberá considerar, al menos, los siguientes atributos y el o los medios de almacenamiento, físicos y/o electrónicos en los que se encuentren los datos personales: I. Irreversibilidad: que el proceso utilizado no permita recuperar los datos personales; II. Seguridad y confidenciada: que en la eliminación definitiva de los datos personales se consideren los deberes de confidencialidad y seguridad a que se refieren la Ley General y los presentes Lineamientos generales, y III. Favorable al medio ambiente: que el método utilizado produzca el mínimo de emisiones y desperdicios que afecten el medio ambiente.
Artículo 5 Principios relativos al tratamiento 1. Los datos personales serán: … e) mantenidos de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento de los datos personales; los datos personales podrán conservarse durante períodos más largos siempre que se traten exclusivamente con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, de conformidad con el artículo 89, apartado 1, sin perjuicio de la aplicación de las medidas técnicas y organizativas apropiadas que impone el presente Reglamento a fin de proteger los derechos y libertades del interesado («limitación del plazo de conservación»);
Artículo 5. Calidad de los datos Los datos de carácter personal que sean objeto de un tratamiento automatizado: a. Se obtendrán y tratarán leal y legítimamente; b. se registrarán para finalidades determinadas y legítimas, y no se utilizarán de una forma incompatible con dichas finalidades; c. serán adecuados, pertinentes y no excesivos en relación con las finalidades para las cuales se hayan registrado; d. serán exactos y si fuera necesario puestos al día; e. se conservarán bajo una forma que permita la identificación de las personas concernidas durante un período de tiempo que no exceda del necesario para las finalidades para las cuales se hayan registrado.
Artículo 5 – Legitimidad de los datos, procesamiento y calidad de los datos 1. El tratamiento de datos debe ser proporcional en relación con el propósito legítimo que se persigue y reflejar, en todas las etapas del procesamiento, un balance justo entre todos los intereses involucrados, ya sean públicos o privados, así como los derechos y libertades en juego. 2. Cada Parte debe establecer que el tratamiento de datos podrá realizarse en la base del consentimiento libre, específico, informado e inequívoco de la persona concernida o, de lo contrario, por alguna otra causa legítima establecida en la ley. 3. Los datos personales sometidos a tratamiento deben ser procesados de manera legal. 4. Los datos personales sometidos a tratamiento deben ser: a. Procesados de manera clara y de una manera transparente; b. Recolectados para propósitos explícitos, específicos y legítimos, además de no ser procesados en un modo incompatible con aquellos propósitos; el tratamiento adicional con motivos archivísticos, científicos, de investigación histórica o con fines estadísticos es, siempre que sea sujeto a las limitaciones apropiadas, compatible con estos propósitos; c. adecuado, relevante y no excesivo con relación a los
El principio de retención de datos forma parte del principio de calidad en la LGPDPPSO y los LGPDPSP. La LGPDPPSO no considera la conservación de datos con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos. Sin embargo, el artículo 6 contempla las siguientes limitaciones al ejercicio del derecho de protección de datos: Artículo 6. El Estado garantizará la privacidad de los individuos y deberá velar porque terceras personas no incurran en conductas que puedan afectarla arbitrariamente. El derecho a la protección de los datos personales solamente se limitará por razones de seguridad nacional, en términos de la ley en la materia, disposiciones de orden público, seguridad y salud públicas o para proteger los derechos de terceros. .
39
bloqueo y supresión de los datos personales que lleve a cabo, en los cuales se incluyan los periodos de conservación de los mismos, de conformidad con lo dispuesto en el artículo anterior de la presente Ley. En los procedimientos a que se refiere el párrafo anterior, el responsable deberá incluir mecanismos que le permitan cumplir con los plazos fijados para la supresión de los datos personales, así como para realizar una revisión periódica sobre la necesidad de conservar los datos personales.
propósitos para los que son procesados; d. exactos y, cuando es el caso, actualizados; e. se conservarán bajo una forma que permita la identificación de las personas concernidas durante un período de tiempo que no exceda del necesario para las finalidades para las cuales se hayan registrado.
40
41
F. Principio de seguridad y confidencialidad La siguiente tabla presenta el análisis de la LGPDPPSO y sus Lineamientos a partir del cumplimento de los principios de seguridad y confidencialidad. Al respecto, el WP 254 señala:
Cualquier entidad que trate datos personales debe garantizar que estos son tratados de tal manera que se garantice su seguridad, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidentales, mediante la aplicación de medidas técnicas u organizativas adecuadas, y que el nivel de seguridad debe tener en cuenta el estado de la técnica y los costes relacionados.
De esta manera, se presentan los distintos fundamentos jurídicos en los que se regulan los principios de seguridad y confidencialidad en la LGPDPPSO y sus Lineamientos realizando una comparación con el contenido del RGPD, el C108 y el C108+.
42
Capítulo 3 del WP 254: Principios generales en materia de protección de datos para garantizar que el nivel de protección en un tercer país, territorio o uno o varios sectores específicos de ese tercer país, u organización internacional es sustancialmente equivalente al garantizado por la legislación de la UE
A. Principios relativos al contenido 6) Principio de seguridad
LGPDPPSO LGPDPSP Otras disposiciones RGPD C108 C108+ Comentarios Artículo 31. Con independencia del tipo de sistema en el que se encuentren los datos personales o el tipo de tratamiento que se efectúe, el responsable deberá establecer y mantener las medidas de seguridad de carácter administrativo, físico y técnico para la protección de los datos personales, que permitan protegerlos contra daño, pérdida, alteración, destrucción o su uso, acceso o tratamiento no autorizado, así como garantizar su confidencialidad, integridad y disponibilidad. Artículo 32. Las medidas de seguridad adoptadas por el responsable deberán considerar: I. El riesgo inherente a los datos personales tratados; II. La sensibilidad de los datos personales tratados; III. El desarrollo tecnológico; IV. Las posibles consecuencias de una vulneración para los titulares; V. Las transferencias de datos personales que se realicen; VI. El número de titulares; VII. Las vulneraciones previas ocurridas en los sistemas de tratamiento, y
Deber de seguridad Articulo 55. El responsable deberá� establecer y mantener medidas de seguridad de carácter administrativo, físico y técnico para la protección de los datos personales en su posesión de conformidad con lo previsto en los artículos 31, 32 Y33 de la Ley General, con el objeto de impedir, que cualquier tratamiento de datos personales contravenga las disposiciones de dicho ordenamiento y los presentes Lineamientos generales. Las medidas de seguridad a las que se refiere el párrafo anterior constituyen mínimos exigibles, por lo que el responsable podrá� adoptar las medidas adicionales que estime necesarias para brindar mayores garantías en la protección de los datos personales en su posesión, Lo anterior, sin perjuicio de lo establecido por aquellas disposiciones vigentes en materia de seguridad de la información emitidas por otras autoridades, cuando estas contemplen una mayor protección para el titular o complementen lo dispuesto en la Ley General y los presentes Lineamientos generales.
-Guía para el Borrado Seguro de Datos Personales: Describe métodos y técnicas basadas en las mejores prácticas y estándares, para la eliminación segura de los datos personales en los sistemas de tratamiento. - Recomendaciones para el Manejo de Incidentes de Seguridad: Tienen por objeto describir los procesos y controles recomendados por el Instituto para generar un plan de respuesta a incidentes de seguridad, en particular para mitigar las vulneraciones a la seguridad de los datos personales - Criterios Mínimos Sugeridos para la Contratación de Servicios de Cómputo en la Nube que Impliquen el Tratamiento de Datos Personales: Los Criterios tienen por objeto establecer consideraciones mínimas que orienten a los responsables del tratamiento de datos personales en la selección y contratación de proveedores, para los servicios de infraestructura, plataforma y software del denominado cómputo en la nube, que ofrezcan garantías de un debido tratamiento de datos personales, a fin de
Artículo 32 Seguridad del tratamiento 1. Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya, entre otros: 2. Al evaluar la adecuación del nivel de seguridad se tendrán particularmente en cuenta los riesgos que presente el tratamiento de datos, en particular como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos. a) la seudonimización y el cifrado de datos personales; b) la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de
Artículo 7. Seguridad de los datos Se tomarán medidas de seguridad apropiadas para la protección de datos de carácter personal registrados en ficheros automatizados contra la destrucción accidental o no autorizada, o la pérdida accidental, así como contra el acceso, la modificación o la difusión no autorizados.
Artículo 7 – Seguridad de los datos 1. Cada Parte debe establecer que el responsable, y, de ser el caso, el procesador, toma las medidas de seguridad apropiadas en contra de riesgos como el acceso accidental o no autorizado, la destrucción, pérdida, uso, modificación o divulgación de los datos personales. 2. Cada Parte debe establecer la obligación del responsable de notificar sin demora a la autoridad competente en los términos del Artículo 15 de este Convenio, de aquéllas filtraciones de datos que puedan interferir de manera seria con los derechos y las libertades fundamentales de las personas concernidas.
Las medidas y elementos previstos en los LGPDPSP son amplios e incluso prevén mayores elementos que el RGPD por lo que se puede considerar que existe suficiencia en el cumplimiento del deber de seguridad. Aunque los factores para considerar la seguridad de datos del artículo 32 de la LGPDPPSO no son idénticos al RGPD pueden ser equivalentes ya que se incluye el enfoque de riesgo como parte de ellos. Las acciones desarrolladas por el INAI aportan una gran concreción práctica que permite delimitar el alcance del deber de seguridad y cumplirlo en la práctica. La LGPDPPSO no establece la obligación de implementar medidas de seguridad como la seudonimización, la capacidad de garantizar la confidencialidad, integridad, disponibilidad, la resiliencia permanentes de los sistemas y servicios de tratamiento; la capacidad de restaurar la disponibilidad y el acceso a los datos personales de
43
VIII. El riesgo por el valor potencial cuantitativo o cualitativo que pudieran tener los datos personales tratados para una tercera persona no autorizada para su posesión. Artículo 33. Para establecer y mantener las medidas de seguridad para la protección de los datos personales, el responsable deberá realizar, al menos, las siguientes actividades interrelacionadas: I. Crear políticas internas para la gestión y tratamiento de los datos personales, que tomen en cuenta el contexto en el que ocurren los tratamientos y el ciclo de vida de los datos personales, es decir, su obtención, uso y posterior supresión; II. Definir las funciones y obligaciones del personal involucrado en el tratamiento de datos personales; III. Elaborar un inventario de datos personales y de los sistemas de tratamiento; IV. Realizar un análisis de riesgo de los datos personales, considerando las amenazas y vulnerabilidades existentes para los datos personales y los recursos involucrados en su tratamiento, como pueden ser, de manera enunciativa más no limitativa, hardware, software, personal del responsable, entre otros; V. Realizar un análisis de brecha, comparando las
Contenido de las políticas internas de gestión y tratamiento de los datos personales Artículo 56. Con relación a lo previsto en el articulo 33, fracción I de la Ley General, el responsable deberá� incluir en el diseño e implementación de las políticas internas para la gestión y el tratamiento de los datos personales, al menos, lo siguiente: I. El cumplimiento de todos los principios, deberes, derechos y demás obligaciones en la materia, de conformidad con lo previsto en la Ley General y los presentes Lineamientos generales; Los roles y responsabilidades especificas de los involucrados internos y externos dentro de su organización, relacionados con los tratamientos de datos personales que se efectúen; II. Los roles y responsabilidades especificas de los involucrados internos y externos dentro de su organización, relacionados con los tratamientos de datos personales que se efectúen; III. Las sanciones en caso de incumplimiento; IV. La identificación del ciclo de vida de los datos personales respecto de cada tratamiento que se efectúe; considerando la obtención, almacenamiento, uso,
cumplir con las obligaciones que establece la normatividad en la materia y evitar una vulneración en la protección de los datos personales en su posesión
tratamiento; c) la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico; d) un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento. 3. La adhesión a un código de conducta aprobado a tenor del artículo 40 o a un mecanismo de certificación aprobado a tenor del artículo 42 podrá servir de elemento para demostrar el cumplimiento de los requisitos establecidos en el apartado 1 del presente artículo. 4. El responsable y el encargado del tratamiento tomarán medidas para garantizar que cualquier persona que actúe bajo la autoridad del responsable o del encargado y tenga acceso a datos personales solo pueda tratar dichos datos siguiendo instrucciones del responsable, salvo que esté obligada a ello en virtud del Derecho de la Unión o de los Estados miembros. Artículo 33 Notificación de una violación de la seguridad de los datos personales a la autoridad de control 1. En caso de violación de la seguridad de los datos personales, el responsable
forma rápida en caso de incidente físico o técnico y un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento. No se establece la obligación de que la autoridad (INAI) pueda obligar al responsable a notificar una vulneración que reporte un alto riesgo a los derechos y libertades de los titulares.
44
medidas de seguridad existentes contra las faltantes en la organización del responsable; VI. Elaborar un plan de trabajo para la implementación de las medidas de seguridad faltantes, así como las medidas para el cumplimiento cotidiano de las políticas de gestión y tratamiento de los datos personales; VII. Monitorear y revisar de manera periódica las medidas de seguridad implementadas, así como las amenazas y vulneraciones a las que están sujetos los datos personales, y VIII. Diseñar y aplicar diferentes niveles de capacitación del personal bajo su mando, dependiendo de sus roles y responsabilidades respecto del tratamiento de los datos personales. Artículo 34. Las acciones relacionadas con las medidas de seguridad para el tratamiento de los datos personales deberán estar documentadas y contenidas en un sistema de gestión. Se entenderá por sistema de gestión al conjunto de elementos y actividades interrelacionadas para establecer, implementar, operar, monitorear, revisar, mantener y mejorar el tratamiento y seguridad de los datos personales, de conformidad con lo previsto en la presente Ley y las
procesamiento, divulgación, retención, destrucción o cualquier otra operación realizada durante dicho ciclo en función de las finalidades para las que fueron recabados; V. El proceso general para el establecimiento, actualización, monitoreo y revisión de los mecanismos y medidas de seguridad; considerando el análisis de riesgo realizado previamente al tratamiento de los datos personales, y VI. El proceso general de atención de los derechos ARCO. Funciones y obligaciones Artículo 57. Con relación a lo dispuesto en el articulo 33, fracción II de la Ley General, el responsable deberá� establecer y documentar los roles y responsabilidades, así como la cadena de rendición de cuentas de todas las personas que traten datos personales en su organización, conforme al sistema de gestión implementado. El responsable deberá� establecer mecanismos para asegurar que todas las personas involucradas en el tratamiento de datos personales en su organización conozcan sus funciones para el cumplimiento de los objetivos del sistema de gestión, así� como las consecuencias de su incumplimiento.
del tratamiento la notificará a la autoridad de control competente de conformidad con el artículo 55 sin dilación indebida y, de ser posible, a más tardar 72 horas después de que haya tenido constancia de ella, a menos que sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas. Si la notificación a la autoridad de control no tiene lugar en el plazo de 72 horas, deberá ir acompañada de indicación de los motivos de la dilación. 2. El encargado del tratamiento notificará sin dilación indebida al responsable del tratamiento las violaciones de la seguridad de los datos personales de las que tenga conocimiento. 3.La notificación contemplada en el apartado 1 deberá, como mínimo: a) describir la naturaleza de la
violación de la seguridad delos datos personales,inclusive, cuando seaposible, las categorías y elnúmero aproximado deinteresados afectados, y lascategorías y el númeroaproximado de registros dedatos personalesafectados;
b) comunicar el nombre y losdatos de contacto deldelegado de protección dedatos o de otro punto decontacto en el que puedaobtenerse más información;
c) describir las posibles
45
demás disposiciones que le resulten aplicables en la materia. Artículo 35. De manera particular, el responsable deberá elaborar un documento de seguridad que contenga, al menos, lo siguiente: I. El inventario de datos personales y de los sistemas de tratamiento; II. Las funciones y obligaciones de las personas que traten datos personales; III. El análisis de riesgos; IV. El análisis de brecha; V. El plan de trabajo; VI. Los mecanismos de monitoreo y revisión de las medidas de seguridad, y VII. El programa general de capacitación. Artículo 36. El responsable deberá actualizar el documento de seguridad cuando ocurran los siguientes eventos: I. Se produzcan modificaciones sustanciales al tratamiento de datos personales que deriven en un cambio en el nivel de riesgo; II. Como resultado de un proceso de mejora continua, derivado del monitoreo y revisión del sistema de gestión; III. Como resultado de un proceso de mejora para mitigar el impacto de una vulneración a la seguridad ocurrida, y IV. Implementación de acciones correctivas y
Inventario de datos personales Artículo 58. Con relación a lo previsto en el articulo 33, fracción 111 de la Ley General, el responsable deberá� elaborar un inventario con la información básica de cada tratamiento de datos personales, considerando, al menos, los siguientes elementos: l. El catálogo de medios físicos y electrónicos a través de los cuales se obtienen los datos personales; II. Las finalidades de cada tratamiento de datos personales; III. El catálogo de los tipos de datos personales que se traten, indicando si son sensibles o no; IV. El catálogo de formatos de almacenamiento, así� como la descripción general de la ubicación física y/o electrónica de los datos personales; V. La lista de servidores públicos que tienen acceso a los sistemas de tratamiento; VI. En su caso, el nombre completo o denominación o razón social del encargado y el instrumento jurídico que formaliza la prestación de los servicios que brinda al responsable, y VII. En su caso, los destinatarios o terceros receptores de las transferencias que se efectúen, así� como las
consecuencias de laviolación de la seguridad delos datos personales;
d) describir las medidasadoptadas o propuestas porel responsable deltratamiento para ponerremedio a la violación de laseguridad de los datospersonales, incluyendo, siprocede, las medidasadoptadas para mitigar losposibles efectos negativos.
4. Si no fuera posible facilitar la información simultáneamente, y en la medida en que no lo sea, la información se facilitará de manera gradual sin dilación indebida. 5. El responsable del tratamiento documentará cualquier violación de la seguridad de los datos personales, incluidos los hechos relacionados con ella, sus efectos y las medidas correctivas adoptadas. Dicha documentación permitirá a la autoridad de control verificar el cumplimiento de lo dispuesto en el presente artículo. Artículo 34 Comunicación de una violación de la seguridad de los datos personales al interesado 1. Cuando sea probable que la violación de la seguridad de los datos personales entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento la comunicará al interesado sin dilación indebida.
46
preventivas ante una vulneración de seguridad. Artículo 37. En caso de que ocurra una vulneración a la seguridad, el responsable deberá analizar las causas por las cuales se presentó e implementar en su plan de trabajo las acciones preventivas y correctivas para adecuar las medidas de seguridad y el tratamiento de los datos personales si fuese el caso a efecto de evitar que la vulneración se repita. Artículo 38. Además de las que señalen las leyes respectivas y la normatividad aplicable, se considerarán como vulneraciones de seguridad, en cualquier fase del tratamiento de datos, al menos, las siguientes: I. La pérdida o destrucción no autorizada; II. El robo, extravío o copia no autorizada; III. El uso, acceso o tratamiento no autorizado, o IV. El daño, la alteración o modificación no autorizada. Artículo 39. El responsable deberá llevar una bitácora de las vulneraciones a la seguridad en la que se describa ésta, la fecha en la que ocurrió, el motivo de ésta y las acciones correctivas implementadas de forma inmediata y definitiva. Artículo 40. El responsable deberá informar sin dilación alguna al titular, y según
finalidades que justifican éstas. Ciclo de vida de los datos personales en el inventario de éstos Artículo 59. Aunado a lo dispuesto en el artículo anterior de los presentes Lineamientos generales, en la elaboración del inventario de datos personales el responsable deberá� considerar el ciclo de vida de los datos personales conforme lo siguiente: l. La obtención de los datos personales; II. El almacenamiento de los datos personales; III. El uso de los datos personales conforme a su acceso, manejo, aprovechamiento, monitoreo y procesamiento, incluyendo los sistemas físicos y/o electrónicos utilizados para tal fin; IV. La divulgación de los datos personales considerando las remisiones y transferencias que, en su caso, se efectúen; V. El bloqueo de los datos personales, en su caso, y VI. La cancelación, supresión o destrucción de los datos personales. El responsable deberá� identificar el riesgo inherente de los datos personales, contemplando su ciclo de vida y los activos involucrados en su tratamiento, como podrían ser hardware, software, personal, o cualquier otro recurso humano o material
2. La comunicación al interesado contemplada en el apartado 1 del presente artículo describirá en un lenguaje claro y sencillo la naturaleza de la violación de la seguridad de los datos personales y contendrá como mínimo la información y las medidas a que se refiere el artículo 33, apartado 3, letras b), c) y d). 3. La comunicación al interesado a que se refiere el apartado 1 no será necesaria si se cumple alguna de las condiciones siguientes: a) el responsable del
tratamiento ha adoptadomedidas de proteccióntécnicas y organizativasapropiadas y estas medidasse han aplicado a los datospersonales afectados por laviolación de la seguridad delos datos personales, enparticular aquellas quehagan ininteligibles losdatos personales paracualquier persona que noesté autorizada a acceder aellos, como el cifrado;
b) el responsable deltratamiento ha tomadomedidas ulteriores quegaranticen que ya no existala probabilidad de que seconcretice el alto riesgopara los derechos ylibertades del interesado aque se refiere elapartado 1;
c) suponga un esfuerzodesproporcionado. En estecaso, se optará en su lugarpor una comunicaciónpública o una medidasemejante por la que se
47
corresponda, al Instituto y a los Organismos garantes de las Entidades Federativas, las vulneraciones que afecten de forma significativa los derechos patrimoniales o morales, en cuanto se confirme que ocurrió la vulneración y que el responsable haya empezado a tomar las acciones encaminadas a detonar un proceso de revisión exhaustiva de la magnitud de la afectación, a fin de que los titulares afectados puedan tomar las medidas correspondientes para la defensa de sus derechos. Artículo 41. El responsable deberá informar al titular al menos lo siguiente: I. La naturaleza del incidente; II. Los datos personales comprometidos; III. Las recomendaciones al titular acerca de las medidas que éste pueda adoptar para proteger sus intereses; IV. Las acciones correctivas realizadas de forma inmediata, y V. Los medios donde puede obtener más información al respecto.
que resulte pertinente considerar. Análisis de riesgos Artículo 60. Para dar cumplimiento al artículo 33, fracción IV de la Ley General, el responsable deberá� realizar un análisis de riesgos de los datos personales tratados considerando lo siguiente: I. Los requerimientos regulatorios, códigos de conducta o mejores prácticas de un sector específico; II. El valor de los datos personales de acuerdo a su clasificación previamente definida y su ciclo de vida; III. El valor y exposición de los activos involucrados en el tratamiento de los datos personales; IV. Las consecuencias negativas para los titulares que pudieran derivar de una vulneración de seguridad ocurrida, y V. Los factores previstos en el artículo 32 de la Ley General. Análisis de brecha Articulo 61. Con relación al artículo 33, fracción V de la Ley General, para la realización del análisis de brecha el responsable deberá� considerar lo siguiente: l. Las medidas de seguridad existentes y efectivas; II. Las medidas de seguridad faltantes, y III. La existencia de nuevas medidas de seguridad que
informe de maneraigualmente efectiva a losinteresados.
4. Cuando el responsable todavía no haya comunicado al interesado la violación de la seguridad de los datos personales, la autoridad de control, una vez considerada la probabilidad de que tal violación entrañe un alto riesgo, podrá exigirle que lo haga o podrá decidir que se cumple alguna de las condiciones mencionadas en el apartado 3.
48
pudieran remplazar a uno o más controles implementados actualmente. Plan de trabajo Artículo 62. De conformidad con lo dispuesto en el artículo 33, fracción VI de la Ley General, el responsable deberá� elaborar un plan de trabajo que defina las acciones a implementar de acuerdo con el resultado del análisis de riesgos y del análisis de brecha, priorizando las medidas de seguridad más relevantes e inmediatas a establecer. Lo anterior, considerando los recursos designados; el personal interno y externo en su organización y las fechas compromiso para la implementación de las medidas de seguridad nuevas o faltantes. Monitoreo y supervisión periódica de las medidas de seguridad implementadas Artículo 63. Con relación al artículo 33, fracción VII de la Ley General, el responsable deberá� evaluar y medir los resultados de las políticas, planes, procesos y procedimientos implementados en materia de seguridad y tratamiento de los datos personales, a fin de verificar el cumplimiento de los objetivos propuestos y, en su caso, implementar mejoras de manera continua. Para cumplir con lo dispuesto en el párrafo
49
anterior del presente artículo, el responsable deberá� monitorear continuamente lo siguiente: I. Los nuevos activos que se incluyan en la gestión de riesgos; II. Las modificaciones necesarias a los activos, como podría ser el cambio o migración tecnológica, entre otras; III. Las nuevas amenazas que podrían estar activas dentro y fuera de su organización y que no han sido valoradas; IV. La posibilidad de que vulnerabilidades nuevas o incrementadas sean explotadas por las amenazas correspondientes; V. Las vulnerabilidades identificadas para determinar aquéllas expuestas a amenazas nuevas o pasadas que vuelvan a surgir; VI. El cambio en el impacto o consecuencias de amenazas valoradas, vulnerabilidades y riesgos en conjunto, que resulten en un nivel inaceptable de riesgo, y VII. Los incidentes y vulneraciones de seguridad ocurridas. Aunado a lo previsto en las fracciones anteriores del presente artículo, el responsable deberá� contar con un programa de auditoría, interno y/o externo, para monitorear y revisar la eficacia y eficiencia del sistema de gestión.
50
Capacitación Artículo 64. Para el cumplimiento de lo previsto en el artículo 33, fracción VIII de la Ley General, el responsable deberá� diseñar e implementar programas a corto, mediano y largo plazo que tengan por objeto capacitar a los involucrados internos y externos en su organización, considerando sus roles y responsabilidades asignadas para el tratamiento y seguridad de los datos personales y el perfil de sus puestos. En el diseño e implementación de los programas de capacitación a que se refiere el párrafo anterior del presente articulo, el responsable deberá� tomar en cuenta lo siguiente: l. Los requerimientos y actualizaciones del sistema de gestión; II. La legislación vigente en materia de protección de datos personales y las mejores prácticas relacionadas con el tratamiento de éstos; III. Las consecuencias del incumplimiento de los requerimientos legales o requisitos organizacionales, y IV. Las herramientas tecnológicas relacionadas o utilizadas para el tratamiento de los datos personales y para la implementación de las medidas de seguridad. Sistema de gestión Artículo 65. El responsable
51
deberá� implementar un sistema de gestión de seguridad de los datos personales a que se refiere el artículo 34 de la Ley General, el cual permita planificar, establecer, implementar, operar, monitorear, mantener, revisar y mejorar las medidas de seguridad de carácter administrativo, físico y técnico aplicadas a los datos personales; tomando en consideración los estándares nacionales e internacionales en materia de protección de datos personales y seguridad. Plazo para notificar las vulneraciones de seguridad Artículo 66. De conformidad con lo dispuesto en el articulo 40 de la Ley General, el responsable deberá� notificar al titular y al Instituto las vulneraciones de seguridad que de forma significativa afecten los derechos patrimoniales o morales del titular dentro en un plazo máximo de setenta y dos horas, a partir de que confirme la ocurrencia de éstas y el responsable haya empezado a tomar las acciones encaminadas a detonar un proceso de mitigación de la afectación. El plazo a que se refiere el párrafo anterior, comenzará a correr el mismo día natural en que el responsable confirme la vulneración de seguridad. Para efectos del presente articulo, se entenderá� que se afectan los derechos
52
patrimoniales del titular cuando la vulneración esté relacionada, de manera enunciativa más no limitativa, con sus bienes muebles e inmuebles, información fiscal, historial crediticio, ingresos y egresos, cuentas bancarias, seguros, afores, fianzas, servicios contratados o las cantidades o porcentajes relacionados con la situación económica del titular. Para los efectos del presente artículo, se entenderá� que se afectan los derechos morales del titular cuando la vulneración esté relacionada, de manera enunciativa más no limitativa, con sus sentimientos, afectos, creencias, decoro, honor, reputación, vida privada, configuracióny aspecto físicos, consideración que de sí mismo tienen los demás o cuando se menoscabe ilegítimamente la libertad o la integridad física o psíquica de éste. Notificación de las vulneraciones de seguridad al Instituto Artículo 67. En la notificación a que se refiere el artículo anterior, el responsable deberá� informar mediante escrito presentado en el domicilio del Instituto, o bien, a través de cualquier otro medio que se habilite para tal efecto, al menos, lo siguiente: l. La hora y fecha de la identificación de la
53
vulneración; II. La hora y fecha del inicio de la investigación sobre la vulneración; III. La naturaleza del incidente vulneración ocurrida; IV. La descripción detallada de las circunstancias en torno a la vulneración ocurrida; V. Las categorías y número aproximado de titulares afectados; VI. Los sistemas de tratamiento y datos personales comprometidos; VII. Las acciones correctivas realizadas de forma inmediata; VIII. La descripción de las posibles consecuencias de la vulneración de seguridad ocurrida; IX. Las recomendaciones dirigidas al titular; X. El medio puesto a disposición del titular para que pueda obtener mayor información al respecto; XI. El nombre completo de la o las personas designadas y sus datos de contacto, para que puedan proporcionar mayor información al Instituto, en caso de requerirse, y XII. Cualquier otra información y documentación que considere conveniente hacer del conocimiento del Instituto. Notificación de las vulneraciones de seguridad al titular Articulo 68. En la notificación
54
que realice el responsable al titular sobre las vulneraciones de seguridad a que se refieren los artículos 40 de la Ley General y 66 de los presentes Lineamientos generales deberá� informar, al menos, lo siguiente: I. La naturaleza del incidente o vulneración ocurrida; II. Los datos personales comprometidos; III. Las recomendaciones dirigidas al titular sobre las medidas que éste pueda adoptar para proteger sus intereses; IV. Las acciones correctivas realizadas de forma inmediata; V. Los medios puestos a disposición del titular para que pueda obtener mayor información al respecto; VI. La descripción de las circunstancias generales en torno a la vulneración ocurrida, que ayuden al titular a entender el impacto del incidente, y VII. Cualquier otra información y documentación que considere conveniente para apoyar a los titulares. El responsable deberá� notificar directamente al titular la información a que se refieren las fracciones anteriores a través de los medios que establezca para tal fin. Para seleccionar y definir los medios de comunicación, el responsable deberá� considerar el perfil de los titulares, la forma en que
55
mantiene contacto o comunicación con éstos, que sean gratuitos; de fácil acceso; con la mayor cobertura posible y que estén debidamente habilitados y disponibles en todo momento para el titular.
Artículo 42. El responsable deberá establecer controles o mecanismos que tengan por objeto que todas aquellas personas que intervengan en cualquier fase del tratamiento de los datos personales guarden confidencialidad respecto de éstos, obligación que subsistirá aún después de finalizar sus relaciones con el mismo. Lo anterior, sin menoscabo de lo establecido en las disposiciones de acceso a la información pública.
Deber de confidencialidad Articulo 71. El responsable deberá� establecer controles o mecanismos que tengan por objeto que todas aquellas personas que intervengan en cualquier fase del tratamiento de los datos personales guarden confidencialidad respecto de éstos, obligación que subsistirá� aún después de finalizar sus relaciones con el mismo. Cumplimiento de los deberes de seguridad y confidencialidad Artículo 72. La carga de la prueba para acreditar el cumplimiento de las obligaciones previstas en el presente Capitulo, recaerá�, en todo momento, en el responsable.
----
Artículo 5 Principios relativos al tratamiento 1. Los datos personales serán: … f) tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas («integridad y confidencialidad»).
La obligación de confidencialidad se establece para los miembros de las autoridades supervisoras (artículo 15)
La obligación de confidencialidad se establece para los miembros de las autoridades supervisoras (artículo 15)
El deber de confidencialidad previsto en la LGPDPPSO y su normatividad de desarrollo resulta sustancialmente equivalente al del RGPD.
56
57
G. Principio de transparencia La siguiente tabla presenta el análisis de la LGPDPPSO y demás normatividad aplicable a partir del cumplimento del principio transparencia (información). Al respecto, el WP 254 señala:
“Todas las personas deben ser informadas acerca de los elementos principales del tratamiento de sus datos personales en forma clara, de fácil acceso, concisa, transparente e inteligible. Dicha información debe incluir los fines del tratamiento, la identidad del responsable, los derechos a su disposición y otra información en la medida en que esto sea necesario para garantizar la lealtad. En determinadas condiciones, pueden existir ciertas excepciones a este derecho de información como, por ejemplo, salvaguardar investigaciones penales, la seguridad del Estado, la independencia y los procedimientos judiciales u otros objetivos importantes de interés público general como en el caso del artículo 23 del RGPD.”
De esta manera, se presentan los distintos fundamentos jurídicos en los que se regula el principio de transparencia (información) de datos en la LGPDPPSO y los LGPDPSP realizando una comparación con el contenido del RGPD, el C108 y el C108+.
58
Capítulo 3 del WP 254: Principios generales en materia de protección de datos para garantizar que el nivel de protección en un tercer país, territorio o uno o varios sectores específicos de ese tercer país, u organización internacional es sustancialmente equivalente al garantizado por la legislación de la UE
A. Principios relativos al contenido 7) Principio de transparencia
LGPDPPSO LGPDPSP Otras disposiciones RGPD C108 C108+ Comentarios Artículo 26. El responsable deberá informar al titular, a través del aviso de privacidad, la existencia y características principales del tratamiento al que serán sometidos sus datos personales, a fin de que pueda tomar decisiones informadas al respecto. Por regla general, el aviso de privacidad deberá ser difundido por los medios electrónicos y físicos con que cuente el responsable. Para que el aviso de privacidad cumpla de manera eficiente con su función de informar, deberá estar redactado y estructurado de manera clara y sencilla. Cuando resulte imposible dar a conocer al titular el aviso de privacidad, de manera directa o ello exija esfuerzos desproporcionados, el responsable podrá instrumentar medidas compensatorias de comunicación masiva de acuerdo con los criterios que para tal efecto emita el Sistema Nacional de Transparencia, Acceso a la Información Pública y Protección de Datos Personales. Artículo 27. El aviso de privacidad a que se refiere
Artículo 26. El responsable deberá� informar a los titulares, a través del aviso de privacidad, la existencia y las características principales del tratamiento al que serán sometidos sus datos personales. Por regla general, todo responsable está obligado a cumplir con el principio de información y poner a disposición del titular el aviso de privacidad de conformidad con lo dispuesto en los artículos 3, fracción 11, 26, 27 Y 28 de la Ley General y los presentes Lineamientos generales, con independencia de que no se requiera el consentimiento del titular para el tratamiento de sus datos personales. Objeto del aviso de privacidad Artículo 27. El aviso de privacidad tiene por objeto informar al titular sobre los alcances y condiciones generales del tratamiento a que serán sometidos sus datos personales, a fin de que esté en posibilidad de tomar decisiones informadas sobre el uso de éstos y, en consecuencia, mantener el control y disposición de los mismos.
- Criterios generales para la instrumentación de medidas compensatorias en el sector público del orden federal, estatal y municipal: tienen por objeto establecer los parámetros a través de los cuales cualquier autoridad, dependencia, entidad, órgano u organismo de los Poderes Ejecutivo, Legislativo y Judicial, organismos constitucionales autónomos, tribunales administrativos, fideicomisos y fondos públicos, del orden federal, estatal y municipal, así como partidos políticos podrán instrumentar medidas compensatorias. .
Sección 1 Transparencia y modalidades Artículo 12 Transparencia de la información, comunicación y modalidades de ejercicio de los derechos del interesado 1. El responsable del tratamiento tomará las medidas oportunas para facilitar al interesado toda información indicada en los artículos 13 y 14, así como cualquier comunicación con arreglo a los artículos 15 a 22 y 34 relativa al tratamiento, en forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo, en particular cualquier información dirigida específicamente a un niño. La información será facilitada por escrito o por otros medios, inclusive, si procede, por medios electrónicos. Cuando lo solicite el interesado, la información podrá facilitarse verbalmente siempre que se demuestre la identidad del interesado por otros medios. 2. El responsable del tratamiento facilitará al interesado el ejercicio de sus derechos en virtud de los artículos 15 a 22. En los casos a que se refiere el artículo 11, apartado 2, el
Artículo 8. Garantías complementarias para la persona concernida Cualquier persona deberá poder: a. Conocer la existencia de un fichero automatizado de datos de carácter personal, sus finalidades principales, así como la identidad y la residencia habitual o el establecimiento principal de la autoridad controladora del fichero; …
Artículo 8 – Transparencia del procesamiento 1. Cada Parte debe establecer que el responsable informará a las personas concernidas de: su identidad y su residencia o establecimiento habitual; los fundamentos legales y los propósitos del procesamiento planeado; las categorías de datos personales que se procesarán; los receptores o categorías de receptores de los datos personales, de ser el caso; y el propósito del ejercicio de los derechos establecidos en el Artículo 9, así como cualquier información adicional en aras de asegurar el procesamiento justo y transparente de los datos personales. 2. El Párrafo 1 no deberá aplicar en los casos donde la persona ya cuenta con la información relevante. 3. Donde los datos personales no son obtenidos de las personas concernidas, no debe exigírsele al responsable el establecimiento de esta información donde el procesamiento se encuentra prescrito de manera expresa en la ley o éste resulta imposible o requiere
La LGPDPPSO y los LGPDPSP prevén elementos distintos para cumplir con el principio de transparencia. La normatividad mexicana no obliga a informar aspectos como: plazo de conservación, derecho a la limitación del tratamiento, derecho a presentar una reclamación, existencia de decisiones automatizada y la fuente de la que proceden los datos.
59
Capítulo 3 del WP 254: Principios generales en materia de protección de datos para garantizar que el nivel de protección en un tercer país, territorio o uno o varios sectores específicos de ese tercer país, u organización internacional es sustancialmente equivalente al garantizado por la legislación de la UE
A. Principios relativos al contenido 7) Principio de transparencia
LGPDPPSO LGPDPSP Otras disposiciones RGPD C108 C108+ Comentarios el artículo 3, fracción II, se pondrá a disposición del titular en dos modalidades: simplificado e integral. El aviso simplificado deberá contener la siguiente información: I. La denominación del responsable; II. Las finalidades del tratamiento para las cuales se obtienen los datos personales, distinguiendo aquéllas que requieran el consentimiento del titular; III. Cuando se realicen transferencias de datos personales que requieran consentimiento, se deberá informar: a) Las autoridades, poderes, entidades, órganos y organismos gubernamentales de los tres órdenes de gobierno y las personas físicas o morales a las que se transfieren los datos personales, y b) Las finalidades de estas transferencias; IV. Los mecanismos y medios disponibles para que el titular, en su caso, pueda manifestar su negativa para el tratamiento de sus datos personales para finalidades y transferencias de datos personales que requieren el consentimiento del titular, y V. El sitio donde se podrá consultar el aviso de privacidad integral.
Características del aviso de privacidad Artículo 28. El aviso de privacidad deberá� caracterizarse por ser sencillo, con la información necesaria, expresado en lenguaje claro y comprensible y con una estructura y diseño que facilite su entendimiento, atendiendo al perfil de los titulares a quien irá dirigido, con la finalidad de que sea un mecanismo de información práctico y eficiente. En el aviso de privacidad queda prohibido: I. Usar frases inexactas, ambiguas o vagas; II. Incluir textos o formatos que induzcan a los titulares a elegir una opción en específico; III. Marcar previamente casillas, en caso de que éstas se incluyan, para que los titulares otorguen su consentimiento, o bien, incluir declaraciones orientadas a afirmar que el titular ha consentido el tratamiento de sus datos personales sin manifestación alguna de su parte, y IV. Remitir a textos o documentos que no estén disponibles para los titulares.
responsable no se negará a actuar a petición del interesado con el fin de ejercer sus derechos en virtud de los artículos 15 a 22, salvo que pueda demostrar que no está en condiciones de identificar al interesado. 3. El responsable del tratamiento facilitará al interesado información relativa a sus actuaciones sobre la base de una solicitud con arreglo a los artículos 15 a 22, y, en cualquier caso, en el plazo de un mes a partir de la recepción de la solicitud. Dicho plazo podrá prorrogarse otros dos meses en caso necesario, teniendo en cuenta la complejidad y el número de solicitudes. El responsable informará al interesado de cualquiera de dichas prórrogas en el plazo de un mes a partir de la recepción de la solicitud, indicando los motivos de la dilación. Cuando el interesado presente la solicitud por medios electrónicos, la información se facilitará por medios electrónicos cuando sea posible, a menos que el interesado solicite que se facilite de otro modo. 4. Si el responsable del tratamiento no da curso a la solicitud del interesado, le
esfuerzos desproporcionados.
60
Capítulo 3 del WP 254: Principios generales en materia de protección de datos para garantizar que el nivel de protección en un tercer país, territorio o uno o varios sectores específicos de ese tercer país, u organización internacional es sustancialmente equivalente al garantizado por la legislación de la UE
A. Principios relativos al contenido 7) Principio de transparencia
LGPDPPSO LGPDPSP Otras disposiciones RGPD C108 C108+ Comentarios La puesta a disposición del aviso de privacidad al que refiere este artículo no exime al responsable de su obligación de proveer los mecanismos para que el titular pueda conocer el contenido del aviso de privacidad al que se refiere el artículo siguiente. Los mecanismos y medios a los que se refiere la fracción IV de este artículo, deberán estar disponibles para que el titular pueda manifestar su negativa al tratamiento de sus datos personales para las finalidades o transferencias que requieran el consentimiento del titular, previo a que ocurra dicho tratamiento. Artículo 28. El aviso de privacidad integral, además de lo dispuesto en las fracciones del artículo anterior, al que refiere la fracción V del artículo anterior deberá contener, al menos, la siguiente información: I. El domicilio del responsable; II. Los datos personales que serán sometidos a tratamiento, identificando aquéllos que son sensibles; III. El fundamento legal que faculta al responsable para llevar a cabo el tratamiento; IV. Las finalidades del
Medios de difusión del aviso de privacidad Articulo 29. El responsable podrá� difundir, poner a disposición o reproducir el aviso de privacidad en formatos físicos y electrónicos, ópticos, sonoros, visuales o a través de cualquier otra tecnología que permita su eficaz comunicación. En todos los casos, el responsable deberá� ubicar el aviso de privacidad en un lugar visible que facilite la consulta del titular y que le permita acreditar fehacientemente el cumplimiento de esta obligación ante el Instituto. Denominación del responsable en el aviso de privacidad simplificado Artículo 30. Para dar cumplimiento a lo establecido en el artículo 27, fracción I de la Ley General, el responsable deberá� señalar su denominación completa y podrá� incluir, de manera adicional, la denominación, abreviaturas o acrónimos por los cuales es identificado comúnmente por el público en general, concretamente por el público objetivo a quien va dirigido el aviso de privacidad. Finalidades del tratamiento en el aviso de privacidad
informará sin dilación, y a más tardar transcurrido un mes de la recepción de la solicitud, de las razones de su no actuación y de la posibilidad de presentar una reclamación ante una autoridad de control y de ejercitar acciones judiciales. 5. La información facilitada en virtud de los artículos 13 y 14 así como toda comunicación y cualquier actuación realizada en virtud de los artículos 15 a 22 y 34 serán a título gratuito. Cuando las solicitudes sean manifiestamente infundadas o excesivas, especialmente debido a su carácter repetitivo, el responsable del tratamiento podrá: a) cobrar un canon razonable
en función de los costesadministrativos afrontadospara facilitar la informacióno la comunicación orealizar la actuaciónsolicitada, o
b) negarse a actuar respectode la solicitud.
El responsable del tratamiento soportará la carga de demostrar el carácter manifiestamente infundado o excesivo de la solicitud. 6. Sin perjuicio de lo dispuesto en el artículo 11, cuando el responsable del tratamiento tenga dudas razonables en relación con la
61
Capítulo 3 del WP 254: Principios generales en materia de protección de datos para garantizar que el nivel de protección en un tercer país, territorio o uno o varios sectores específicos de ese tercer país, u organización internacional es sustancialmente equivalente al garantizado por la legislación de la UE
A. Principios relativos al contenido 7) Principio de transparencia
LGPDPPSO LGPDPSP Otras disposiciones RGPD C108 C108+ Comentarios tratamiento para las cuales se obtienen los datos personales, distinguiendo aquéllas que requieren el consentimiento del titular; V. Los mecanismos, medios y procedimientos disponibles para ejercer los derechos ARCO; VI. El domicilio de la Unidad de Transparencia, y VII. Los medios a través de los cuales el responsable comunicará a los titulares los cambios al aviso de privacidad.
simplificado Artículo 26. El responsable deberá� informar a los titulares, a través del aviso de privacidad, la existencia y las características principales del tratamiento al que serán sometidos sus datos personales. Por regla general, todo responsable está obligado a cumplir con el principio de información y poner a disposición del titular el aviso de privacidad de conformidad con lo dispuesto en los artículos 3, fracción 11, 26, 27 Y 28 de la Ley General y los presentes Lineamientos generales, con independencia de que no se requiera el consentimiento del titular para el tratamiento de sus datos personales. Objeto del aviso de privacidad Artículo 27. El aviso de privacidad tiene por objeto informar al titular sobre los alcances y condiciones generales del tratamiento a que serán sometidos sus datos personales, a fin de que esté en posibilidad de tomar decisiones informadas sobre el uso de éstos y, en consecuencia, mantener el control y disposición de los mismos.
identidad de la persona física que cursa la solicitud a que se refieren los artículos 15 a 21, podrá solicitar que se facilite la información adicional necesaria para confirmar la identidad del interesado. 7. La información que deberá facilitarse a los interesados en virtud de los artículos 13 y 14 podrá transmitirse en combinación con iconos normalizados que permitan proporcionar de forma fácilmente visible, inteligible y claramente legible una adecuada visión de conjunto del tratamiento previsto. Los iconos que se presenten en formato electrónico serán legibles mecánicamente. 8. La Comisión estará facultada para adoptar actos delegados de conformidad con el artículo 92 a fin de especificar la información que se ha de presentar a través de iconos y los procedimientos para proporcionar iconos normalizados. Artículo 13 Información que deberá facilitarse cuando los datos personales se obtengan del interesado 1. Cuando se obtengan de un interesado datos personales relativos a él, el
62
Capítulo 3 del WP 254: Principios generales en materia de protección de datos para garantizar que el nivel de protección en un tercer país, territorio o uno o varios sectores específicos de ese tercer país, u organización internacional es sustancialmente equivalente al garantizado por la legislación de la UE
A. Principios relativos al contenido 7) Principio de transparencia
LGPDPPSO LGPDPSP Otras disposiciones RGPD C108 C108+ Comentarios Características del aviso de privacidad Artículo 28. El aviso de privacidad deberá� caracterizarse por ser sencillo, con la información necesaria, expresado en lenguaje claro y comprensible y con una estructura y diseño que facilite su entendimiento, atendiendo al perfil de los titulares a quien irá dirigido, con la finalidad de que sea un mecanismo de información práctico y eficiente. En el aviso de privacidad queda prohibido: I. Usar frases inexactas, ambiguas o vagas; II. Incluir textos o formatos que induzcan a los titulares a elegir una opción en específico; III. Marcar previamente casillas, en caso de que éstas se incluyan, para que los titulares otorguen su consentimiento, o bien, incluir declaraciones orientadas a afirmar que el titular ha consentido el tratamiento de sus datos personales sin manifestación alguna de su parte, y IV. Remitir a textos o documentos que no estén disponibles para los titulares. Medios de difusión del aviso de privacidad Articulo 29. El responsable
responsable del tratamiento, en el momento en que estos se obtengan, le facilitará toda la información indicada a continuación: a) la identidad y los datos de
contacto del responsabley, en su caso, de surepresentante;
b) los datos de contacto deldelegado de protección dedatos, en su caso;
c) los fines del tratamiento aque se destinan los datospersonales y la basejurídica del tratamiento;
d) cuando el tratamiento sebase en el artículo 6,apartado 1, letra f), losintereses legítimos delresponsable o de untercero;
e) los destinatarios o lascategorías de destinatariosde los datos personales,en su caso;
f) en su caso, la intención delresponsable de transferirdatos personales a untercer país u organizacióninternacional y laexistencia o ausencia deuna decisión deadecuación de laComisión, o, en el caso delas transferenciasindicadas en losartículos 46 o 47 o elartículo 49, apartado 1,párrafo segundo,referencia a las garantíasadecuadas o apropiadas y
63
Capítulo 3 del WP 254: Principios generales en materia de protección de datos para garantizar que el nivel de protección en un tercer país, territorio o uno o varios sectores específicos de ese tercer país, u organización internacional es sustancialmente equivalente al garantizado por la legislación de la UE
A. Principios relativos al contenido 7) Principio de transparencia
LGPDPPSO LGPDPSP Otras disposiciones RGPD C108 C108+ Comentarios podrá� difundir, poner a disposición o reproducir el aviso de privacidad en formatos físicos y electrónicos, ópticos, sonoros, visuales o a través de cualquier otra tecnología que permita su eficaz comunicación. En todos los casos, el responsable deberá� ubicar el aviso de privacidad en un lugar visible que facilite la consulta del titular y que le permita acreditar fehacientemente el cumplimiento de esta obligación ante el Instituto. Denominación del responsable en el aviso de privacidad simplificado Artículo 30. Para dar cumplimiento a lo establecido en el artículo 27, fracción I de la Ley General, el responsable deberá� señalar su denominación completa y podrá� incluir, de manera adicional, la denominación, abreviaturas o acrónimos por los cuales es identificado comúnmente por el público en general, concretamente por el público objetivo a quien va dirigido el aviso de privacidad. Finalidades del tratamiento en el aviso de privacidad simplificado Artículo 26. El responsable deberá� informar a los
a los medios para obteneruna copia de estas o alhecho de que se hayanprestado.
2. Además de la información mencionada en el apartado 1, el responsable del tratamiento facilitará al interesado, en el momento en que se obtengan los datos personales, la siguiente información necesaria para garantizar un tratamiento de datos leal y transparente: a) el plazo durante el cual se
conservarán los datospersonales o, cuando nosea posible, los criteriosutilizados para determinareste plazo;
b) la existencia del derecho asolicitar al responsable deltratamiento el acceso a losdatos personales relativosal interesado, y surectificación o supresión, ola limitación de sutratamiento, o a oponerseal tratamiento, así como elderecho a la portabilidadde los datos;
c) cuando el tratamiento estébasado en el artículo 6,apartado 1, letra a), o elartículo 9, apartado 2,letra a), la existencia delderecho a retirar elconsentimiento encualquier momento, sinque ello afecte a la licituddel tratamiento basado en
64
Capítulo 3 del WP 254: Principios generales en materia de protección de datos para garantizar que el nivel de protección en un tercer país, territorio o uno o varios sectores específicos de ese tercer país, u organización internacional es sustancialmente equivalente al garantizado por la legislación de la UE
A. Principios relativos al contenido 7) Principio de transparencia
LGPDPPSO LGPDPSP Otras disposiciones RGPD C108 C108+ Comentarios titulares, a través del aviso de privacidad, la existencia y las características principales del tratamiento al que serán sometidos sus datos personales. Por regla general, todo responsable está obligado a cumplir con el principio de información y poner a disposición del titular el aviso de privacidad de conformidad con lo dispuesto en los artículos 3, fracción 11, 26, 27 Y 28 de la Ley General y los presentes Lineamientos generales, con independencia de que no se requiera el consentimiento del titular para el tratamiento de sus datos personales. Objeto del aviso de privacidad Artículo 27. El aviso de privacidad tiene por objeto informar al titular sobre los alcances y condiciones generales del tratamiento a que serán sometidos sus datos personales, a fin de que esté en posibilidad de tomar decisiones informadas sobre el uso de éstos y, en consecuencia, mantener el control y disposición de los mismos.
el consentimiento previo asu retirada;
d) el derecho a presentar unareclamación ante unaautoridad de control;
e) si la comunicación dedatos personales es unrequisito legal ocontractual, o un requisitonecesario para suscribir uncontrato, y si el interesadoestá obligado a facilitar losdatos personales y estáinformado de las posiblesconsecuencias de que nofacilitar tales datos;
f) la existencia de decisionesautomatizas, incluida laelaboración de perfiles, aque se refiere elartículo 22, apartados 1y 4, y, al menos en talescasos, informaciónsignificativa sobre la lógicaaplicada, así como laimportancia y lasconsecuencias previstasde dicho tratamiento parael interesado.
3. Cuando el responsable del tratamiento proyecte el tratamiento ulterior de datos personales para un fin que no sea aquel para el que se recogieron, proporcionará al interesado, con anterioridad a dicho tratamiento ulterior, información sobre ese otro fin y cualquier información adicional pertinente a tenor del apartado 2. 4. Las disposiciones de los
65
Capítulo 3 del WP 254: Principios generales en materia de protección de datos para garantizar que el nivel de protección en un tercer país, territorio o uno o varios sectores específicos de ese tercer país, u organización internacional es sustancialmente equivalente al garantizado por la legislación de la UE
A. Principios relativos al contenido 7) Principio de transparencia
LGPDPPSO LGPDPSP Otras disposiciones RGPD C108 C108+ Comentarios Características del aviso de privacidad Artículo 28. El aviso de privacidad deberá� caracterizarse por ser sencillo, con la información necesaria, expresado en lenguaje claro y comprensible y con una estructura y diseño que facilite su entendimiento, atendiendo al perfil de los titulares a quien irá dirigido, con la finalidad de que sea un mecanismo de información práctico y eficiente. En el aviso de privacidad queda prohibido: I. Usar frases inexactas, ambiguas o vagas; II. Incluir textos o formatos que induzcan a los titulares a elegir una opción en específico; III. Marcar previamente casillas, en caso de que éstas se incluyan, para que los titulares otorguen su consentimiento, o bien, incluir declaraciones orientadas a afirmar que el titular ha consentido el tratamiento de sus datos personales sin manifestación alguna de su parte, y IV. Remitir a textos o documentos que no estén disponibles para los titulares.
apartados 1, 2 y 3 no serán aplicables cuando y en la medida en que el interesado ya disponga de la información. Artículo 14 Información que deberá facilitarse cuando los datos personales no se hayan obtenido del interesado 1. Cuando los datos personales no se hayan obtenidos del interesado, el responsable del tratamiento le facilitará la siguiente información: a) la identidad y los datos de
contacto del responsabley, en su caso, de surepresentante;
b) los datos de contacto deldelegado de protección dedatos, en su caso;
c) los fines del tratamiento aque se destinan los datospersonales, así como labase jurídica deltratamiento;
d) las categorías de datospersonales de que se trate;
e) los destinatarios o lascategorías de destinatariosde los datos personales,en su caso;
f) en su caso, la intención delresponsable de transferirdatos personales a undestinatario en un tercerpaís u organizacióninternacional y laexistencia o ausencia de
66
Capítulo 3 del WP 254: Principios generales en materia de protección de datos para garantizar que el nivel de protección en un tercer país, territorio o uno o varios sectores específicos de ese tercer país, u organización internacional es sustancialmente equivalente al garantizado por la legislación de la UE
A. Principios relativos al contenido 7) Principio de transparencia
LGPDPPSO LGPDPSP Otras disposiciones RGPD C108 C108+ Comentarios Medios de difusión del aviso de privacidad Articulo 29. El responsable podrá� difundir, poner a disposición o reproducir el aviso de privacidad en formatos físicos y electrónicos, ópticos, sonoros, visuales o a través de cualquier otra tecnología que permita su eficaz comunicación. En todos los casos, el responsable deberá� ubicar el aviso de privacidad en un lugar visible que facilite la consulta del titular y que le permita acreditar fehacientemente el cumplimiento de esta obligación ante el Instituto. Denominación del responsable en el aviso de privacidad simplificado Artículo 30. Para dar cumplimiento a lo establecido en el artículo 27, fracción I de la Ley General, el responsable deberá� señalar su denominación completa y podrá� incluir, de manera adicional, la denominación, abreviaturas o acrónimos por los cuales es identificado comúnmente por el público en general, concretamente por el público objetivo a quien va dirigido el aviso de privacidad.
una decisión deadecuación de laComisión, o, en el caso delas transferenciasindicadas en losartículos 46 o 47 o elartículo 49, apartado 1,párrafo segundo,referencia a las garantíasadecuadas o apropiadas ya los medios para obteneruna copia de ellas o alhecho de que se hayanprestado.
2. Además de la información mencionada en el apartado 1, el responsable del tratamiento facilitará al interesado la siguiente información necesaria para garantizar un tratamiento de datos leal y transparente respecto del interesado: a) el plazo durante el cual se
conservarán los datospersonales o, cuando esono sea posible, los criteriosutilizados para determinareste plazo;
b) cuando el tratamiento sebase en el artículo 6,apartado 1, letra f), losintereses legítimos delresponsable deltratamiento o de untercero;
c) la existencia del derecho asolicitar al responsable deltratamiento el acceso a losdatos personales relativosal interesado, y surectificación o supresión, o
67
Capítulo 3 del WP 254: Principios generales en materia de protección de datos para garantizar que el nivel de protección en un tercer país, territorio o uno o varios sectores específicos de ese tercer país, u organización internacional es sustancialmente equivalente al garantizado por la legislación de la UE
A. Principios relativos al contenido 7) Principio de transparencia
LGPDPPSO LGPDPSP Otras disposiciones RGPD C108 C108+ Comentarios Artículo 31. Para dar cumplimiento a lo establecido en el artículo 27, fracción 11 de la Ley General, el responsable deberá� describir puntualmente cada una de las finalidades para las cuales se tratarán los datos personales conforme lo siguiente: I. El listado de finalidades deberá� ser completo y no utilizar frases inexactas, ambiguas o vagas, como "entre otras finalidades", "otros fines análogos" o "por ejemplo"; II. Las finalidades descritas en el aviso de privacidad deberán ser especificas, redactadas con claridad y de tal manera que el titular identifique cada una de éstas y no tenga confusión sobre el alcance de las mismas, y III. El listado de finalidades deberá� identificar y distinguir aquéllas finalidades que requieren del consentimiento del titular de aquéllas que no lo requieren. Información sobre transferencias de datos personales en el aviso de privacidad simplificado Artículo 32. Para dar cumplimiento a lo establecido en el articulo 27, fracción 111 de la Ley
la limitación de sutratamiento, y a oponerseal tratamiento, así como elderecho a la portabilidadde los datos;
d) cuando el tratamiento estébasado en el artículo 6,apartado 1, letra a), o elartículo 9, apartado 2,letra a), la existencia delderecho a retirar elconsentimiento encualquier momento, sinque ello afecte a la licituddel tratamiento basada enel consentimiento antes desu retirada;
e) el derecho a presentar unareclamación ante unaautoridad de control;
f) la fuente de la queproceden los datospersonales y, en su caso,si proceden de fuentes deacceso público;
g) la existencia de decisionesautomatizadas, incluida laelaboración de perfiles, aque se refiere elartículo 22, apartados 1y 4, y, al menos en talescasos, informaciónsignificativa sobre la lógicaaplicada, así como laimportancia y lasconsecuencias previstasde dicho tratamiento parael interesado.
3. El responsable del tratamiento facilitará la información indicada en los apartados 1 y 2:
68
Capítulo 3 del WP 254: Principios generales en materia de protección de datos para garantizar que el nivel de protección en un tercer país, territorio o uno o varios sectores específicos de ese tercer país, u organización internacional es sustancialmente equivalente al garantizado por la legislación de la UE
A. Principios relativos al contenido 7) Principio de transparencia
LGPDPPSO LGPDPSP Otras disposiciones RGPD C108 C108+ Comentarios General, el responsable deberá� señalar las transferencias de datos personales que requieran para su realización del consentimiento del titular, precisando: l. Los destinatarios o terceros receptores, de carácter público o privado, nacional y/o internacional, de los datos personales, ya sea identificando cada uno de éstos por su nombre, denominación o razón social; o bien, clasificándolos por categorías según corresponda, y II. Las finalidades de las transferencias de los datos personales relacionadas por cada destinatario o tercero receptor. Mecanismos y medios para manifestar la negativa del titular en el aviso de privacidad simplificado Articulo 33. Para dar cumplimiento a lo establecido en el articulo 27, fracción IV de la Ley General, el responsable deberá� incluir o informar sobre los mecanismos y medios que tiene habilitados para que el titular pueda manifestar su negativa para el tratamiento de sus datos personales para aquellas finalidades que requieran de su consentimiento en términos de los artículos 18
a) dentro de un plazorazonable, una vezobtenidos los datospersonales, y a más tardardentro de un mes, habidacuenta de lascircunstancias específicasen las que se traten dichosdatos;
b) si los datos personales hande utilizarse paracomunicación con elinteresado, a más tardaren el momento de laprimera comunicación adicho interesado, o
c) si está previstocomunicarlos a otrodestinatario, a más tardaren el momento en que losdatos personales seancomunicados por primeravez.
4. Cuando el responsable del tratamiento proyecte el tratamiento ulterior de los datos personales para un fin que no sea aquel para el que se obtuvieron, proporcionará al interesado, antes de dicho tratamiento ulterior, información sobre ese otro fin y cualquier otra información pertinente indicada en el apartado 2. 5. Las disposiciones de los apartados 1 a 4 no serán aplicables cuando y en la medida en que: a) el interesado ya disponga
de la información; b) la comunicación de dicha
69
Capítulo 3 del WP 254: Principios generales en materia de protección de datos para garantizar que el nivel de protección en un tercer país, territorio o uno o varios sectores específicos de ese tercer país, u organización internacional es sustancialmente equivalente al garantizado por la legislación de la UE
A. Principios relativos al contenido 7) Principio de transparencia
LGPDPPSO LGPDPSP Otras disposiciones RGPD C108 C108+ Comentarios de la Ley General y 10 de los presentes Lineamientos generales, así como para la transferencia de sus datos personales cuando su autorización sea exigible en términos de lo previsto en el artículo 65 de la Ley General. El responsable podrá� valerse de la inclusión de casillas u opciones de marcado en el propio aviso de privacidad, o bien, cualquier otro medio que determine pertinente, siempre y cuando el medio esté disponible al momento en que el titular consulte el aviso de privacidad y permita que éste manifieste su negativa, previo al tratamiento de sus datos personales o a la transferencia de éstos, según corresponda. Consulta del aviso de privacidad integral en el aviso de privacidad simplificado Articulo 34. Para dar cumplimiento a lo establecido en el articulo 27, fracción V de la Ley General, el responsable deberá� señalar el sitio, lugar o mecanismo implementado para que los titulares puedan conocer el aviso de privacidad integral. Para seleccionar este mecanismo, el responsable
información resulteimposible o suponga unesfuerzo desproporcionado, enparticular para eltratamiento con fines dearchivo en interés público,fines de investigacióncientífica o histórica o finesestadísticos, a reserva delas condiciones y garantíasindicadas en el artículo 89,apartado 1, o en la medidaen que la obligaciónmencionada en elapartado 1 del presenteartículo pueda imposibilitaru obstaculizar gravementeel logro de los objetivos detal tratamiento. En talescasos, el responsableadoptará medidasadecuadas para protegerlos derechos, libertades eintereses legítimos delinteresado, inclusivehaciendo pública lainformación;
c) la obtención o lacomunicación estéexpresamente establecidapor el Derecho de la Unióno de los Estados miembrosque se aplique alresponsable deltratamiento y queestablezca medidasadecuadas para protegerlos intereses legítimos delinteresado, o
d) cuando los datospersonales deban seguir
70
Capítulo 3 del WP 254: Principios generales en materia de protección de datos para garantizar que el nivel de protección en un tercer país, territorio o uno o varios sectores específicos de ese tercer país, u organización internacional es sustancialmente equivalente al garantizado por la legislación de la UE
A. Principios relativos al contenido 7) Principio de transparencia
LGPDPPSO LGPDPSP Otras disposiciones RGPD C108 C108+ Comentarios deberá� considerar el perfil de los titulares, la forma en que mantiene contacto o comunicación con éstos, que sean gratuitos; de fácil acceso; con la mayor cobertura posible y que estén debidamente habilitados y disponibles en todo momento para el titular. Aviso de privacidad integral Articulo 35. Además de los elementos informativos a que se refieren los artículos 27 y 28 de la Ley General, el responsable podrá� comunicar en el aviso de privacidad integral, al menos, las transferencias de datos personales que no requieran del consentimiento del titular. Información de las transferencias de datos personales en el aviso de privacidad integral Artículo 36. Para informar al titular sobre las Iransferencias, nacionales y/o internacionales, de datos personales que, en su caso, efectúe y que no requieran de su consentimiento, el responsable deberá� indicar lo siguiente en el aviso de privacidad integral: I. Los destinatarios o terceros receptores, de carácter público o privado, nacional y/o internacional, de los datos personales;
teniendo carácterconfidencial sobre la basede una obligación desecreto profesionalregulada por el Derecho dela Unión o de los Estadosmiembros, incluida unaobligación de secreto denaturaleza estatutaria.
71
Capítulo 3 del WP 254: Principios generales en materia de protección de datos para garantizar que el nivel de protección en un tercer país, territorio o uno o varios sectores específicos de ese tercer país, u organización internacional es sustancialmente equivalente al garantizado por la legislación de la UE
A. Principios relativos al contenido 7) Principio de transparencia
LGPDPPSO LGPDPSP Otras disposiciones RGPD C108 C108+ Comentarios identificando cada uno de éstos por su nombre, denominación o razón social; II. Las finalidades de las transferencias de los datos personales relacionadas por cada destinatario o tercero receptor, y III. El fundamento legal que lo faculta o autoriza para llevarlas a cabo, señalando el o los artículos, apartados, fracciones, incisos y nombre de los ordenamientos o disposición normativa vigente, precisando su fecha de publicación o, en su caso, la fecha de la última reforma o modificación. Domicilio del responsable en el aviso de privacidad integral Artículo 37. Para dar cumplimiento a lo establecido en el articulo 28, fracción I de la Ley General, el responsable deberá� indicar su domicilio sin omitir la calle, número, colonia, ciudad, municipio o delegación, código postal y entidad federativa. El responsable podrá� incluir otros datos de contacto como podrían ser, de manera enunciativa más no limitativa, la dirección de su página de Internet, correo electrónico y número telefónico habilitados para la atención del público en
72
Capítulo 3 del WP 254: Principios generales en materia de protección de datos para garantizar que el nivel de protección en un tercer país, territorio o uno o varios sectores específicos de ese tercer país, u organización internacional es sustancialmente equivalente al garantizado por la legislación de la UE
A. Principios relativos al contenido 7) Principio de transparencia
LGPDPPSO LGPDPSP Otras disposiciones RGPD C108 C108+ Comentarios general. Datos personales en el aviso de privacidad integral Artículo 38. Para dar cumplimiento a lo establecido en el articulo 28, fracción 11 de la Ley General, el responsable deberá� indicar los datos personales solicitados para el tratamiento que llevará a cabo, tanto los que recaba directamente del titular como aquéllos que obtiene indirectamente, distinguiendo expresamente los datos personales de carácter sensible. El responsable deberá� cumplir con esta obligación ya sea identificando puntualmente cada uno de los datos personales solicitados para el tratamiento que llevará a cabo, o bien, señalando el tipo de datos personales según corresponda. De manera enunciativa más no limitativa, el responsable podrá� considerar los siguientes tipos de datos personales: de identificación, laborales, académicos, biométricos, patrimoniales, sobre procedimientos judiciales o seguidos en forma de juicio, características físicas, migratorios y socioeconómicos. El responsable podrá�
73
Capítulo 3 del WP 254: Principios generales en materia de protección de datos para garantizar que el nivel de protección en un tercer país, territorio o uno o varios sectores específicos de ese tercer país, u organización internacional es sustancialmente equivalente al garantizado por la legislación de la UE
A. Principios relativos al contenido 7) Principio de transparencia
LGPDPPSO LGPDPSP Otras disposiciones RGPD C108 C108+ Comentarios informar sobre los medios y/o fuentes a través de las cuales obtiene los datos personales, así como asociar el tipo de dato personal o categoría a cada una de las fuentes señaladas. Finalidades del tratamiento en el aviso de privacidad simplificado Artículo 39. Para dar cumplimiento a lo establecido en el articulo 28, fracción 111 de la Ley General, el responsable deberá� señalar el o los artículos, apartados, fracciones, incisos y nombre de los ordenamientos o disposición normativa vigente que lo faculta o le confiera atribuciones para realizar el tratamiento de datos personales que informa en el aviso de privacidad, precisando su fecha de publicación o, en su caso, la fecha de la última reforma o modificación, con independencia de que dicho tratamiento requiera del consentimiento del titular. Mecanismos y medios para el ejercicio de los derechos ARCO Articulo 40. Para dar cumplimiento a lo establecido en el articulo 28, fracción V de la Ley General,
74
Capítulo 3 del WP 254: Principios generales en materia de protección de datos para garantizar que el nivel de protección en un tercer país, territorio o uno o varios sectores específicos de ese tercer país, u organización internacional es sustancialmente equivalente al garantizado por la legislación de la UE
A. Principios relativos al contenido 7) Principio de transparencia
LGPDPPSO LGPDPSP Otras disposiciones RGPD C108 C108+ Comentarios el responsable deberá� informar sobre los mecanismos, medios y procedimientos habilitados para atender las solicitudes para el ejercicio de los derechos ARCO. En el caso del procedimiento, el responsable podrá� describirlo puntualmente en el aviso de privacidad integral, o bien, remitir al titular a los medios que tiene disponibles para que conozca dicho procedimiento. En ambos casos, el responsable deberá� informar, al menos, lo siguiente: l. Los requisitos que deberá� contener la solicitud para el ejercicio de los derechos ARCO a que se refiere el artículo 52 de la Ley General; II. Los medios a través de los cuales el titular podrá� presentar solicitudes para el ejercicio de los derechos ARCO; III. Los formularios, sistemas y otros métodos simplificados que, en su caso, el Instituto hubiere establecido para facilitar al titular el ejercicio de sus derechos ARCO; Los medios habilitados para dar respuesta a las solicitudes para el ejercicio
75
Capítulo 3 del WP 254: Principios generales en materia de protección de datos para garantizar que el nivel de protección en un tercer país, territorio o uno o varios sectores específicos de ese tercer país, u organización internacional es sustancialmente equivalente al garantizado por la legislación de la UE
A. Principios relativos al contenido 7) Principio de transparencia
LGPDPPSO LGPDPSP Otras disposiciones RGPD C108 C108+ Comentarios de los derechos ARCO; La modalidad o medios de reproducción de los datos personales; Los plazos establecidos dentro del procedimiento, los cuales no deberán contravenir lo previsto en los artículos 51, 52, 53 Y54 de la Ley General, y El derecho que tiene el titular de presentar un recurso de revisión ante el Instituto en caso de estar inconforme con la respuesta. Domicilio de la Unidad de Transparencia en el aviso de privacidad integral Articulo 41. Para dar cumplimiento a lo establecido en el articulo 28, fracción VI de la Ley General, el responsable deberá� indicar el domicilio de la Unidad de Transparencia señalando, al menos, la calle, número, colonia, ciudad, municipio o delegación, código postal y entidad federativa, así como su número y extensión telefónica. Cambios al aviso de privacidad en el aviso de privacidad integral Artículo 42. Para dar cumplimiento a lo establecido en el articulo 28, fracción VII de la Ley
76
Capítulo 3 del WP 254: Principios generales en materia de protección de datos para garantizar que el nivel de protección en un tercer país, territorio o uno o varios sectores específicos de ese tercer país, u organización internacional es sustancialmente equivalente al garantizado por la legislación de la UE
A. Principios relativos al contenido 7) Principio de transparencia
LGPDPPSO LGPDPSP Otras disposiciones RGPD C108 C108+ Comentarios General, el responsable deberá� señalar el o los medios disponibles y a través de los cuales hará� del conocimiento del titular los cambios o actualizaciones efectuados al aviso de privacidad simplificado e integral. Para tal efecto, el responsable deberá� incluir en el aviso de privacidad simplificado e integral la fecha de su elaboración, o bien, la última fecha en que éstos hubieren sido actualizados, en su caso. Momentos para la puesta a disposición del aviso de privacidad simplificado e integral Artículo 43. El responsable deberá� poner a disposición del titular el aviso de privacidad simplificado en un primer momento. Lo cual no le impide que pueda dar a conocer el aviso de privacidad integral desde un inicio si lo prefiere. En ambos casos, el aviso de privacidad se pondrá� a disposición conforme a las siguientes reglas: I. De manera previa a la obtención de los datos personales, cuando los mismos se obtengan directamente del titular, independientemente de 105 formatos o medios físicos y/o
77
Capítulo 3 del WP 254: Principios generales en materia de protección de datos para garantizar que el nivel de protección en un tercer país, territorio o uno o varios sectores específicos de ese tercer país, u organización internacional es sustancialmente equivalente al garantizado por la legislación de la UE
A. Principios relativos al contenido 7) Principio de transparencia
LGPDPPSO LGPDPSP Otras disposiciones RGPD C108 C108+ Comentarios electrónicos utilizados para tal fin, o II. Al primer contacto con el titular o previo al aprovechamiento de los datos personales, cuando éstos se hubieren obtenido de manera indirecta del titular. Una vez puesto a disposición del titular el aviso de privacidad simplificado conforme a lo dispuesto en el párrafo anterior del presente artículo; el aviso de privacidad integral deberá� estar publicado, de manera permanente, en el sitio o medio que se informe en el aviso de privacidad simplificado, a efecto de que el titular lo consulte en cualquier momento y el Instituto pueda acreditar tal situación fehacientemente, conforme a lo dispuesto en los artículos 29 y 45 de los presentes Lineamientos generales. Casos en 105 que se requiere un nuevo aviso de privacidad Artículo 44. El responsable deberá� poner a disposición del titular, un nuevo aviso de privacidad, en sus dos modalidades, de conformidad con lo que establece la Ley General y los presentes Lineamientos generales cuando:
78
Capítulo 3 del WP 254: Principios generales en materia de protección de datos para garantizar que el nivel de protección en un tercer país, territorio o uno o varios sectores específicos de ese tercer país, u organización internacional es sustancialmente equivalente al garantizado por la legislación de la UE
A. Principios relativos al contenido 7) Principio de transparencia
LGPDPPSO LGPDPSP Otras disposiciones RGPD C108 C108+ Comentarios I. Cambie su identidad; II. Requiera recabar datos personales sensibles adicionales a aquéllos informados en el aviso de privacidad original, los cuales no se obtengan de manera directa del titular y se requiera de su consentimiento para el tratamiento de éstos; III. Cambie las finalidades señaladas en el aviso de privacidad original, o IV. Modifique las condiciones de las transferencias de datos personales o se pretendan realizar transferencias no previstas inicialmente y el consentimiento del titular sea necesario. Carga de la prueba para acreditar la puesta a disposición del aviso de privacidad Artículo 45. La carga de la prueba para acreditar la puesta a disposición del aviso de privacidad, recaerá�, en todos los casos, en el responsable.
79
H. Derecho de acceso, rectificación, supresión y oposición La siguiente tabla presenta el análisis de la LGPDPPSO y los LGPDPSP con el objeto de identificar los artículos aplicables a los derechos de acceso, rectificación, supresión y oposición. Al respecto, el WP 254 señala:
“El interesado debe tener derecho a obtener confirmación de si se están tratando o no datos personales que le conciernen, así como derecho de acceso a sus datos personales, incluida una copia de los datos personales objeto de tratamiento. El interesado debe tener derecho a obtener la rectificación de sus datos según proceda, por razones específicas, por ejemplo, por ser inexactos o incompletos, y a suprimir sus datos personales cuando, por ejemplo, su tratamiento ya no sea necesario o sea ilícito. Asimismo, el interesado debe tener derecho a oponerse en cualquier momento, por motivos legítimos imperiosos relacionados con su situación particular, al tratamiento de sus datos en condiciones específicas establecidas en el marco jurídico del tercer país. Por ejemplo, en el RGPD estas condiciones incluyen cuando el tratamiento es necesario para la realización de una misión en interés público, cuando es necesario para el ejercicio de poderes públicos conferidos al responsable del tratamiento o cuando el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero. El ejercicio de estos derechos no debe ser excesivamente complicado para el interesado. Pueden existir ciertas restricciones a estos derechos, por ejemplo, salvaguardar investigaciones penales, la seguridad del Estado, la independencia y los procedimientos judiciales u otros objetivos importantes de interés público general como en el caso del artículo 23 del RGPD.”
De esta manera, se presentan los distintos fundamentos jurídicos en los que se regula los derechos de acceso, rectificación, supresión y oposición en la LGPDPPSO y los LGPDPSP realizando una comparación con el contenido del RGPD, el C108 y el C108+.
80
Capítulo 3 del WP 254: Principios generales en materia de protección de datos para garantizar que el nivel de protección en un tercer país, territorio o uno o varios sectores específicos de ese tercer país, u
organización internacional es sustancialmente equivalente al garantizado por la legislación de la UE A. Principios relativos al contenido
8) Derecho de acceso, rectificación, supresión y oposición
LGPDPPSO LGPDPSP/Otras disposiciones
RGPD C108 C108+ Comentarios
Artículo 43. En todo momento el titular o su representante podrán
solicitar al responsable, el acceso, rectificación,
cancelación u oposición al tratamiento de los datos
personales que le conciernen, de conformidad
con lo establecido en el presente Título. El ejercicio
de cualquiera de los derechos ARCO no es
requisito previo, ni impide el ejercicio de otro.
Artículo 44. El titular tendrá derecho de acceder a sus
datos personales que obren en posesión del
responsable, así como conocer la información
relacionada con las condiciones y
generalidades de su tratamiento.
Acceso a datos personales
Artículo 92. La obligación de acceso a los datos personales se dará́ por
cumplida cuando el responsable ponga a disposición del titular,
previa acreditación de su identidad y, en su caso, la
identidad y personalidad de su representante, los datos
personales a través de consulta directa, en el sitio
donde se encuentren, o mediante la expedición de
copias simples, copias certificadas, medios magnéticos, ópticos, sonoros, visuales u
holográficos, o cualquier otra tecnología que
determine el titular, dentro del plazo de quince días a que se refiere el articulo 51
de la Ley General y de conformidad con lo dispuesto en dicho ordenamiento y los
presentes Lineamientos generales, así como previa
acreditación del pago de los derechos
correspondientes.
Artículo 15 Derecho de acceso del
interesado 1. El interesado tendrá derecho a obtener del
responsable del tratamiento confirmación de si se están
tratando o no datos personales que le conciernen
y, en tal caso, derecho de acceso a los datos
personales y a la siguiente información:
a) los fines del tratamiento;b) las categorías de datos
personales de que se trate;c) los destinatarios o las
categorías de destinatarios a los que se comunicaron o
serán comunicados los datos personales, en
particular destinatarios en terceros u organizaciones
internacionales;d) de ser posible, el plazo
previsto de conservación de los datos personales o, de no ser posible, los criterios utilizados para determinar
este plazo;e) la existencia del derecho a
solicitar del responsable la rectificación o supresión de
datos personales o la limitación del tratamiento de datos personales relativos al interesado, o a oponerse
a dicho tratamiento;f) el derecho a presentar una
reclamación ante una
Artículo 8. Garantías complementarias para la
persona concernida Cualquier persona deberá
poder: a) Conocer la existencia
de un fichero automatizado de datos de carácter
personal, sus finalidades principales, así como la identidad y la residencia
habitual o el establecimiento principal
de la autoridad controladora del fichero; b) obtener a intervalos
razonables y sin demora o gastos excesivos la confirmación de la
existencia o no en el fichero automatizado de
datos de carácter personal que conciernan a dicha persona, así como la
comunicación de dichos datos en forma inteligible;
c) obtener, llegado el caso, la rectificación de dichos datos o el borrado de los
mismos, cuando se hayan tratado con infracción de
las disposiciones del derecho interno que hagan
efectivos los principios básicos enunciados en los artículos 5 y 6 del presente
Convenio; d) disponer de un recurso si no se ha atendido a una petición de confirmación o,
Artículo 9 – Derechos del titular de los datos
1. Toda persona debe tener derecho a:
a) no ser sujeto a una decisión que le afecte de
manera significativa tomada únicamente con
base en un proceso automatizado de datos, sin
tomar su postura en consideración;
b) obtener, mediante solicitud, a intervalos
regulares y sin excesiva demora o costo, confirmación del
procesamiento de sus datos personales, la
comunicación en forma inteligible de los datos
procesados, toda la información disponible
sobre su origen, sobre el periodo de preservación, así como cualquier otra
información que el responsable deberá
establecer en aras de asegurar la transparencia
del procesamiento, en concordancia con el Artículo 8, párrafo 1;
c) obtener, bajo solicitud, conocimiento del
razonamiento que subyace al tratamiento de sus datos cuando los resultados de dicho procesamiento le
sean aplicados;
El derecho de acceso
previsto en la LGPDPPSO y los LGPDPSP resulta
congruente con el RGPD.
81
autoridad de control;g) cuando los datos
personales no se hayan obtenido del interesado,
cualquier información disponible sobre su origen;
h) la existencia de decisiones automatizadas, incluida la elaboración de perfiles, a
que se refiere el artículo 22, apartados 1 y 4, y, al
menos en tales casos, información significativa
sobre la lógica aplicada, así como la importancia y las
consecuencias previstas de dicho tratamiento para el
interesado.2. Cuando se transfieran
datos personales a un tercer país o a una organización internacional, el interesado
tendrá derecho a ser informado de las garantías
adecuadas en virtud del artículo 46 relativas a la
transferencia. 3. El responsable del
tratamiento facilitará una copia de los datos personales
objeto de tratamiento. El responsable podrá percibir
por cualquier otra copia solicitada por el interesado un canon razonable basado en los costes administrativos.
Cuando el interesado presente la solicitud por medios electrónicos, y a
menos que este solicite que se facilite de otro modo, la
información se facilitará en un formato electrónico de uso
común. 4. El derecho a obtener copia mencionado en el apartado 3 no afectará negativamente a
si así fuere el caso, de comunicación, de
ratificación o de borrado, a que se refieren los párrafos b) y c) del presente artículo.
d) objetar en cualquier momento, con base en sus
circunstancias, al procesamiento de sus
datos personales, a menos de que responsable
demuestre contar con bases legítimas para el
procesamiento tales que superen sus intereses, derechos y libertades
fundamentales; e) obtener, bajo solicitud,
sin costo y sin demora excesiva, la rectificación o supresión, según sea el
caso, de sus datos si éstos son o han sido procesados de manera contraria a las
disposiciones de este Convenio;
f) tener un recurso en los términos del Artículo 12
cuando los derechos establecidos en este Convenio le han sido
violados; g) a beneficiarse, sin
importar su nacionalidad o residencia, de la asistencia
de una Autoridad Supervisora en los términos establecidos en el Artículo 15, para el ejercicio de los derechos reconocidos en
este Convenio. 2. El párrafo 1.a no aplicará si la decisión es autorizada
por una ley a la que el Responsable está sujeto y
que también establece medidas apropiadas para garantizar los derechos,
libertades e intereses legítimos de las personas
concernida.
82
los derechos y libertades de otros.
Artículo 57. Cuando se traten datos personales por
vía electrónica en un formato estructurado y
comúnmente utilizado, el titular tendrá derecho a obtener del responsable una copia de los datos
objeto de tratamiento en un formato electrónico
estructurado y comúnmente utilizado que le permita
seguir utilizándolos. Cuando el titular haya
facilitado los datos personales y el tratamiento
se base en el consentimiento o en un
contrato, tendrá derecho a transmitir dichos datos
personales y cualquier otra información que haya
facilitado y que se conserve en un sistema de
tratamiento automatizado a otro sistema en un formato electrónico comúnmente
utilizado, sin impedimentos por parte del responsable
del tratamiento de quien se retiren los datos
personales. El Sistema Nacional
establecerá mediante lineamientos los parámetros
a considerar para determinar los supuestos
en los que se está en presencia de un formato
estructurado y comúnmente utilizado, así como las
normas técnicas, modalidades y
procedimientos para la transferencia de datos
Los Lineamientos que establecen los parámetros,
modalidades y procedimientos para la portabilidad de datos
personales regulan este derecho. Los lineamientos tienen por objeto tienen por
objeto establecer los parámetros a considerar
para determinar los supuestos en los que se está en presencia de un formato estructurado y
comúnmente utilizado, que contengan datos
personales, así como las normas técnicas,
modalidades y procedimientos para la
transmisión de los referidos datos personales para
garantizar la portabilidad de los datos personales a
que se refiere la LGPDPPSO o las
legislaciones estatales en la materia.
Artículo 20 Derecho a la portabilidad de
los datos 1. El interesado tendrá
derecho a recibir los datos personales que le incumban,
que haya facilitado a un responsable del tratamiento, en un formato estructurado,
de uso común y lectura mecánica, y a transmitirlos a
otro responsable del tratamiento sin que lo impida el responsable al que se los hubiera facilitado, cuando:
a) el tratamiento esté basado en el consentimiento con
arreglo al artículo 6, apartado 1, letra a), o el artículo 9, apartado 2,
letra a), o en un contrato con arreglo al artículo 6,
apartado 1, letra b), yb) el tratamiento se efectúe
por medios automatizados.2. Al ejercer su derecho a la portabilidad de los datos de
acuerdo con el apartado 1, el interesado tendrá derecho a que los datos personales se transmitan directamente de responsable a responsable cuando sea técnicamente
posible. 3. El ejercicio del derecho
mencionado en el apartado 1 del presente artículo se
entenderá sin perjuicio del artículo 17. Tal derecho no se
aplicará al tratamiento que sea necesario para el
cumplimiento de una misión realizada en interés público o
en el ejercicio de poderes públicos conferidos al
--- ---
El derecho de portabilidad coincide con el derecho regulado por el RGPD e
incluso tiene una concreción mayor.
83
personales.
responsable del tratamiento. 4. El derecho mencionado en
el apartado 1 no afectará negativamente a los derechos
y libertades de otros.
Artículo 45. El titular tendrá derecho a solicitar al
responsable la rectificación o corrección de sus datos personales, cuando estos
resulten ser inexactos, incompletos o no se
encuentren actualizados.
Rectificación de datos personales
Artículo 93. La obligación de rectificar los datos
personales se dará́ por cumplida cuando el
responsable notifique al titular, previa acreditación de su identidad y, en su
caso, la identidad y personalidad de su representante, una
constancia que acredite la corrección solicitada,
dentro del plazo de quince días a que se refiere el
artículo 51 de la Ley General y de conformidad con lo dispuesto en dicho
ordenamiento y los presentes Lineamientos
generales. En la constancia a que se refiere el párrafo anterior del presente articulo, el
responsable deberá señalar, al menos, el nombre completo del
titular, los datos personales corregidos, así como la fecha a partir de la cual fueron rectificados los
datos personales en sus registros, archivos,
sistemas de información, expedientes, bases de
datos o documentos en su posesión.
Artículo 16
Derecho de rectificación El interesado tendrá derecho
a obtener sin dilación indebida del responsable del tratamiento la rectificación de
los datos personales inexactos que le conciernan. Teniendo en cuenta los fines del tratamiento, el interesado
tendrá derecho a que se completen los datos personales que sean incompletos, inclusive
mediante una declaración adicional.
Artículo 8. Garantías complementarias para la
persona concernida Cualquier persona deberá
poder: a) Conocer la existencia
de un fichero automatizado de datos de carácter
personal, sus finalidades principales, así como la identidad y la residencia
habitual o el establecimiento principal
de la autoridad controladora del fichero; b) obtener a intervalos
razonables y sin demora o gastos excesivos la confirmación de la
existencia o no en el fichero automatizado de
datos de carácter personal que conciernan a dicha persona, así como la
comunicación de dichos datos en forma inteligible;
c) obtener, llegado el caso, la rectificación de dichos datos o el borrado de los
mismos, cuando se hayan tratado con infracción de
las disposiciones del derecho interno que hagan
efectivos los principios básicos enunciados en los artículos 5 y 6 del presente
Convenio; d) disponer de un recurso si no se ha atendido a una petición de confirmación o,
si así fuere el caso, de comunicación, de
Artículo 9 – Derechos del titular de los datos
1. Toda persona debe tener derecho a:
a) no ser sujeto a una decisión que le afecte de
manera significativa tomada únicamente con
base en un proceso automatizado de datos, sin
tomar su postura en consideración;
b) obtener, mediante solicitud, a intervalos
regulares y sin excesiva demora o costo, confirmación del
procesamiento de sus datos personales, la
comunicación en forma inteligible de los datos
procesados, toda la información disponible
sobre su origen, sobre el periodo de preservación, así como cualquier otra
información que el responsable deberá
establecer en aras de asegurar la transparencia
del procesamiento, en concordancia con el Artículo 8, párrafo 1;
c) obtener, bajo solicitud, conocimiento del
razonamiento que subyace al tratamiento de sus datos cuando los resultados de dicho procesamiento le
sean aplicados; d) objetar en cualquier
momento, con base en sus
El derecho de rectificación previsto en la LGPDPPSO
y los LGPDPSP resulta congruente con el RGPD.
84
ratificación o de borrado, a que se refieren los párrafos b) y c) del presente artículo.
circunstancias, al procesamiento de sus
datos personales, a menos de que responsable
demuestre contar con bases legítimas para el
procesamiento tales que superen sus intereses, derechos y libertades
fundamentales; e) obtener, bajo solicitud,
sin costo y sin demora excesiva, la rectificación o supresión, según sea el
caso, de sus datos si éstos son o han sido procesados de manera contraria a las
disposiciones de este Convenio;
f) tener un recurso en los términos del Artículo 12
cuando los derechos establecidos en este Convenio le han sido
violados; g) a beneficiarse, sin
importar su nacionalidad o residencia, de la asistencia
de una Autoridad Supervisora en los términos establecidos en el Artículo 15, para el ejercicio de los derechos reconocidos en
este Convenio. 2. El párrafo 1.a no aplicará si la decisión es autorizada
por una ley a la que el Responsable está sujeto y
que también establece medidas apropiadas para garantizar los derechos,
libertades e intereses legítimos de las personas
concernida.
Artículo 46. El titular tendrá derecho a solicitar la
Cancelación de datos personales
Artículo 17 Derecho de supresión («el
Artículo 8. Garantías complementarias para la
Artículo 9 – Derechos del titular de los datos
El derecho de supresión (cancelación) previsto en
85
cancelación de sus datos personales de los archivos,
registros, expedientes y sistemas del responsable, a fin de que los mismos ya no
estén en su posesión y dejen de ser tratados por
este último.
Articulo 94. La obligación de cancelar [os datos
personales se dará por cumplida cuando el
responsable notifique al titular, previa acreditación de su identidad y, en su
caso la identidad y personalidad de su representante, una
constancia que señale: I. Los documentos, bases
de datos personales, archivos, registros,
expedientes y/o sistemas de tratamiento donde se
encuentren los datos personales objeto de
cancelación; II. El periodo de bloqueo de los datos personales, en su
caso; III. Las medidas de
seguridad de carácter administrativo, fisico y técnico implementadas durante el periodo de
bloqueo, en su caso, y IV. Las políticas, métodos y técnicas utilizadas para la supresión definitiva de los datos personales, de tal
manera que la probabilidad de recuperarlos o
reutilizarlos sea mínima. El responsable deberá
notificar al titular la constancia a que se refiere
el párrafo anterior de los presentes Lineamientos
generales dentro del plazo de quince dias establecido en el articulo 51 de la Ley General y de conformidad con lo dispuesto en dicho
ordenamiento y los presentes Lineamientos
derecho al olvido») 1. El interesado tendrá
derecho a obtener sin dilación indebida del responsable del tratamiento la supresión de los datos personales que le conciernan, el cual estará
obligado a suprimir sin dilación indebida los datos
personales cuando concurra alguna de las circunstancias
siguientes: a) los datos personales ya no
sean necesarios en relación con los fines para los que
fueron recogidos o tratados de otro modo;
b) el interesado retire el consentimiento en que se
basa el tratamiento de conformidad con el
artículo 6, apartado 1, letra a), o el artículo 9,
apartado 2, letra a), y este no se base en otro
fundamento jurídico;c) el interesado se oponga al
tratamiento con arreglo al artículo 21, apartado 1, y no prevalezcan otros motivos
legítimos para el tratamiento, o el interesado
se oponga al tratamiento con arreglo al artículo 21,
apartado 2;d) los datos personales hayan
sido tratados ilícitamente;e) los datos personales deban
suprimirse para el cumplimiento de una
obligación legal establecida en el Derecho de la Unión o
de los Estados miembros que se aplique al responsable del
tratamiento;f) los datos personales se
persona concernida Cualquier persona deberá
poder: a) Conocer la existencia
de un fichero automatizado de datos de carácter
personal, sus finalidades principales, así como la identidad y la residencia
habitual o el establecimiento principal
de la autoridad controladora del fichero; b) obtener a intervalos
razonables y sin demora o gastos excesivos la confirmación de la
existencia o no en el fichero automatizado de
datos de carácter personal que conciernan a dicha persona, así como la
comunicación de dichos datos en forma inteligible;
c) obtener, llegado el caso, la rectificación de dichos datos o el borrado de los
mismos, cuando se hayan tratado con infracción de
las disposiciones del derecho interno que hagan
efectivos los principios básicos enunciados en los artículos 5 y 6 del presente
Convenio; d) disponer de un recurso si no se ha atendido a una petición de confirmación o,
si así fuere el caso, de comunicación, de
ratificación o de borrado, a que se refieren los párrafos b) y c) del presente artículo.
1. Toda persona debe tener derecho a:
a) no ser sujeto a una decisión que le afecte de
manera significativa tomada únicamente con
base en un proceso automatizado de datos, sin
tomar su postura en consideración;
b) obtener, mediante solicitud, a intervalos
regulares y sin excesiva demora o costo, confirmación del
procesamiento de sus datos personales, la
comunicación en forma inteligible de los datos
procesados, toda la información disponible
sobre su origen, sobre el periodo de preservación, así como cualquier otra
información que el responsable deberá
establecer en aras de asegurar la transparencia
del procesamiento, en concordancia con el Artículo 8, párrafo 1;
c) obtener, bajo solicitud, conocimiento del
razonamiento que subyace al tratamiento de sus datos cuando los resultados de dicho procesamiento le
sean aplicados; d) objetar en cualquier
momento, con base en sus circunstancias, al
procesamiento de sus datos personales, a menos
de que responsable demuestre contar con
bases legítimas para el procesamiento tales que
la LGPDPPSO tiene un alcance general pero no
detallado como lo previsto en RGPD en sus apartados 1) y 2).
La LGPDPPSO no
establece condiciones para la supresión de los datos considerando la
tecnología disponible y el coste de su aplicación,
adoptará medidas razonables, incluidas
medidas técnicas, con miras a informar a los
responsables que estén tratando los datos
personales de la solicitud del interesado de
supresión de cualquier enlace a esos datos
personales, o cualquier copia o réplica de los
mismos
86
generales.
hayan obtenido en relación con la oferta de servicios de
la sociedad de la información mencionados
en el artículo 8, apartado 1.2. Cuando haya hecho
públicos los datos personales y esté obligado, en virtud de
lo dispuesto en el apartado 1, a suprimir dichos datos, el
responsable del tratamiento, teniendo en cuenta la
tecnología disponible y el coste de su aplicación,
adoptará medidas razonables, incluidas
medidas técnicas, con miras a informar a los responsables que estén tratando los datos personales de la solicitud del interesado de supresión de
cualquier enlace a esos datos personales, o cualquier copia
o réplica de los mismos. 3. Los apartados 1 y 2 no se
aplicarán cuando el tratamiento sea necesario:
a) para ejercer el derecho a la libertad de expresión e
información;b) para el cumplimiento de
una obligación legal que requiera el tratamiento de
datos impuesta por el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento, o para el
cumplimiento de una misión realizada en interés público o en el ejercicio de poderes
públicos conferidos al responsable;
c) por razones de interés público en el ámbito de la
salud pública de conformidad con el
superen sus intereses, derechos y libertades
fundamentales; e) obtener, bajo solicitud,
sin costo y sin demora excesiva, la rectificación o supresión, según sea el
caso, de sus datos si éstos son o han sido procesados de manera contraria a las
disposiciones de este Convenio;
f) tener un recurso en los términos del Artículo 12
cuando los derechos establecidos en este Convenio le han sido
violados; g) a beneficiarse, sin
importar su nacionalidad o residencia, de la asistencia
de una Autoridad Supervisora en los términos establecidos en el Artículo 15, para el ejercicio de los derechos reconocidos en
este Convenio. 2. El párrafo 1.a no aplicará si la decisión es autorizada
por una ley a la que el Responsable está sujeto y
que también establece medidas apropiadas para garantizar los derechos,
libertades e intereses legítimos de las personas
concernida.
87
artículo 9, apartado 2, letras h) e i), y apartado 3;
d) con fines de archivo en interés público, fines de investigación científica o
histórica o fines estadísticos, de
conformidad con el artículo 89, apartado 1, en
la medida en que el derecho indicado en el
apartado 1 pudiera hacer imposible u obstaculizar
gravemente el logro de los objetivos de dicho
tratamiento, oe) para la formulación, el
ejercicio o la defensa de reclamaciones.
Artículo 47. El titular podrá oponerse al tratamiento de
sus datos personales o exigir que se cese en el
mismo, cuando: I. Aun siendo lícito el
tratamiento, el mismo debe cesar para evitar que su
persistencia cause un daño o perjuicio al titular, y
II. Sus datos personales sean objeto de un
tratamiento automatizado, el cual le produzca efectos
jurídicos no deseados o afecte de manera
significativa sus intereses, derechos o libertades, y
estén destinados a evaluar, sin intervención humana, determinados aspectos personales del mismo o analizar o predecir, en
particular, su rendimiento profesional, situación económica, estado de
salud, preferencias sexuales, fiabilidad o
Oposición de datos personales
Articulo 95. La obligación de cesar el tratamiento de los datos personales se
dará por cumplida cuando el responsable notifique a[ titular, previa acreditación de su identidad y, en su
caso, la identidad y personalidad de su representante, una
constancia que señale dicha situación dentro del
plazo de quince dias a que se refiere el artículo 51 de
la Ley General y de conformidad con lo dispuesto en dicho ordenamiento y los
presentes Lineamientos generales.
Envio de datos personales o constancias por correo
certificado
Artículo 21 Derecho de oposición 1. El interesado tendrá derecho a oponerse en cualquier momento, por
motivos relacionados con su situación particular, a que datos personales que le
conciernan sean objeto de un tratamiento basado en lo dispuesto en el artículo 6, apartado 1, letras e) o f), incluida la elaboración de perfiles sobre la base de dichas disposiciones. El
responsable del tratamiento dejará de tratar los datos
personales, salvo que acredite motivos legítimos
imperiosos para el tratamiento que prevalezcan
sobre los intereses, los derechos y las libertades del
interesado, o para la formulación, el ejercicio o la defensa de reclamaciones. 2. Cuando el tratamiento de datos personales tenga por
---
Artículo 9 – Derechos del titular de los datos
1. Toda persona debe tener derecho a:
a) no ser sujeto a una decisión que le afecte de
manera significativa tomada únicamente con
base en un proceso automatizado de datos, sin
tomar su postura en consideración;
b) obtener, mediante solicitud, a intervalos
regulares y sin excesiva demora o costo, confirmación del
procesamiento de sus datos personales, la
comunicación en forma inteligible de los datos
procesados, toda la información disponible
sobre su origen, sobre el periodo de preservación, así como cualquier otra
información que el responsable deberá
El derecho de oposición previsto en la LGPDPPSO
y los LGPDPSP resulta congruente con el RGPD.
88
comportamiento.
objeto la mercadotecnia directa, el interesado tendrá derecho a oponerse en todo momento al tratamiento de los datos personales que le
conciernan, incluida la elaboración de perfiles en la
medida en que esté relacionada con la citada
mercadotecnia. 3. Cuando el interesado se oponga al tratamiento con
fines de mercadotecnia directa, los datos personales dejarán de ser tratados para
dichos fines. 4. A más tardar en el
momento de la primera comunicación con el
interesado, el derecho indicado en los apartados 1
y 2 será mencionado explícitamente al interesado y será presentado claramente y al margen de cualquier otra
información. 5. En el contexto de la
utilización de servicios de la sociedad de la información, y no obstante lo dispuesto en la
Directiva 2002/58/CE, el interesado podrá ejercer su
derecho a oponerse por medios automatizados que apliquen especificaciones
técnicas. 6. Cuando los datos
personales se traten con fines de investigación científica o histórica o fines estadísticos
de conformidad con el artículo 89, apartado 1, el
interesado tendrá derecho, por motivos relacionados con
su situación particular, a oponerse al tratamiento de
datos personales que le
establecer en aras de asegurar la transparencia
del procesamiento, en concordancia con el Artículo 8, párrafo 1;
c) obtener, bajo solicitud, conocimiento del
razonamiento que subyace al tratamiento de sus datos cuando los resultados de dicho procesamiento le
sean aplicados; d) objetar en cualquier
momento, con base en sus circunstancias, al
procesamiento de sus datos personales, a menos
de que responsable demuestre contar con
bases legítimas para el procesamiento tales que superen sus intereses, derechos y libertades
fundamentales; e) obtener, bajo solicitud,
sin costo y sin demora excesiva, la rectificación o supresión, según sea el
caso, de sus datos si éstos son o han sido procesados de manera contraria a las
disposiciones de este Convenio;
f) tener un recurso en los términos del Artículo 12
cuando los derechos establecidos en este Convenio le han sido
violados; g) a beneficiarse, sin
importar su nacionalidad o residencia, de la asistencia
de una Autoridad Supervisora en los términos establecidos en el Artículo 15, para el ejercicio de los derechos reconocidos en
89
conciernan, salvo que sea necesario para el
cumplimiento de una misión realizada por razones de
interés público.
este Convenio. 2. El párrafo 1.a no aplicará si la decisión es autorizada
por una ley a la que el Responsable está sujeto y
que también establece medidas apropiadas para garantizar los derechos,
libertades e intereses legítimos de las personas
concernida.
---- ----
Artículo 18 Derecho a la limitación del
tratamiento 1. El interesado tendrá derecho a obtener del
responsable del tratamiento la limitación del tratamiento
de los datos cuando se cumpla alguna de las
condiciones siguientes: a) el interesado impugne la
exactitud de los datos personales, durante un
plazo que permita al responsable verificar la
exactitud de los mismos;b)el tratamiento sea ilícito y el
interesado se oponga a la supresión de los datos
personales y solicite en su lugar la limitación de su
uso;c) el responsable ya no
necesite los datos personales para los fines del tratamiento, pero el interesado los necesite para la formulación, el
ejercicio o la defensa de reclamaciones;
d) el interesado se haya opuesto al tratamiento en
virtud del artículo 21, apartado 1, mientras se verifica si los motivos
… ---
El derecho de limitación del tratamiento no está
previsto en la LGPDPPSO ni en su normatividad de
desarrollo.
90
legítimos del responsable prevalecen sobre los del
interesado.2. Cuando el tratamiento de datos personales se haya
limitado en virtud del apartado 1, dichos datos solo
podrán ser objeto de tratamiento, con excepción de
su conservación, con el consentimiento del interesado
o para la formulación, el ejercicio o la defensa de
reclamaciones, o con miras a la protección de los derechos
de otra persona física o jurídica o por razones de
interés público importante de la Unión o de un determinado
Estado miembro. 3. Todo interesado que haya
obtenido la limitación del tratamiento con arreglo al apartado 1 será informado
por el responsable antes del levantamiento de dicha
limitación.
Artículo 6. El Estado garantizará la privacidad de
los individuos y deberá velar porque terceras
personas no incurran en conductas que puedan
afectarla arbitrariamente. El derecho a la protección de los datos personales
solamente se limitará por razones de seguridad
nacional, en términos de la ley en la materia,
disposiciones de orden público, seguridad y salud
públicas o para proteger los derechos de terceros.
Artículo 55. Las únicas causas en las que el
ejercicio de los derechos ARCO no será procedente
son: I. Cuando el titular o su representante no estén
debidamente acreditados para ello;
II. Cuando los datos personales no se
encuentren en posesión del responsable;
III. Cuando exista un impedimento legal;
IV. Cuando se lesionen los derechos de un tercero;
V. Cuando se obstaculicen actuaciones judiciales o
Artículo 23 Limitaciones
1. El Derecho de la Unión o de los Estados miembros que se aplique al responsable o el
encargado del tratamiento podrá limitar, a través de medidas legislativas, el
alcance de las obligaciones y de los derechos establecidos en los artículos 12 a 22 y el artículo 34, así como en el artículo 5 en la medida en que sus disposiciones se
correspondan con los derechos y obligaciones
contemplados en los artículos 12 a 22, cuando tal
limitación respete en lo
Artículo 9. Excepción y restricciones
1. No se admitirá excepción alguna en las
disposiciones de los artículos 5, 6 y 8 del
presente Convenio, salvo que sea dentro de los
límites que se definen en el presente artículo. 2. Será posible una
excepción en las disposiciones de los artículos 5, 6 y 8 del
presente Convenio cuando tal excepción, prevista por
la ley de la Parte, constituya una medida
necesaria en una sociedad
Artículo 11 – Excepciones y restricciones 1. Ninguna excepción a
las disposiciones establecidas en este
Capítulo debe permitirse, salvo lo
dispuesto en el Artículo 5 párrafo 4, Artículo 7 párrafo 2, Artículo 8
párrafo 1 and Artículo 9. Dicha excepción deberá establecerse en la ley, respetará la esencia de
los derechos fundamentales y
constituye una medida necesaria y
proporcional en una
Las limitaciones para el ejercicio de los derechos
previstas en la LGPDPPSO únicamente
son protección de la seguridad nacional, el
orden, la seguridad y la salud públicos, así como los derechos de terceros.
Los supuestos de
improcedencia de los derechos previstos en la LGPDPPSO y el RGPD son semejantes, pero no idénticos. La LGPDPPSO
incluye mayores supuestos de limitación
91
administrativas; VI. Cuando exista una
resolución de autoridad competente que restrinja el
acceso a los datos personales o no permita la rectificación, cancelación u oposición de los mismos;
VII. Cuando la cancelación u oposición haya sido previamente realizada;
VIII. Cuando el responsable no sea
competente; IX. Cuando sean
necesarios para proteger intereses jurídicamente
tutelados del titular; X. Cuando sean
necesarios para dar cumplimiento a
obligaciones legalmente adquiridas por el titular;
XI. Cuando en función de sus atribuciones legales el uso cotidiano, resguardo y manejo sean necesarios y
proporcionales para mantener la integridad,
estabilidad y permanencia del Estado mexicano, o XII. Cuando los datos
personales sean parte de la información que las entidades sujetas a la
regulación y supervisión financiera del sujeto
obligado hayan proporcionado a éste, en
cumplimiento a requerimientos de dicha información sobre sus
operaciones, organización y actividades.
En todos los casos anteriores, el responsable deberá informar al titular el
esencial los derechos y libertades fundamentales y
sea una medida necesaria y proporcionada en una
sociedad democrática para salvaguardar:
a) la seguridad del Estado;b) la defensa;c) la seguridad pública;d) la prevención,
investigación, detección o enjuiciamiento de
infracciones penales o la ejecución de sanciones
penales, incluida la protección frente a
amenazas a la seguridad pública y su prevención;
e) otros objetivos importantes de interés público general
de la Unión o de un Estado miembro, en particular un
interés económico o financiero importante de la
Unión o de un Estado miembro, inclusive en los
ámbitos fiscal, presupuestario y monetario,
la sanidad pública y la seguridad social;
f) la protección de la independencia judicial y de
los procedimientos judiciales;
g) la prevención, la investigación, la detección y
el enjuiciamiento de infracciones de normas
deontológicas en las profesiones reguladas;
h) una función de supervisión, inspección o
reglamentación vinculada, incluso ocasionalmente,
con el ejercicio de la autoridad pública en los
casos contemplados en las
democrática: a) Para la protección de la seguridad del Estado, de la seguridad pública, para los intereses monetarios
del Estado o para la represión de infracciones
penales;b) para la protección de la persona
concernida y de los derechos y libertades de
otras personas. 3. Podrán preverse por la
ley restricciones en el ejercicio de los derechos a
que se refieren los párrafos b), c) y d) del
artículo 8 para los ficheros automatizados de datos de carácter personal que se
utilicen con fines estadísticos o de
investigación científica, cuando no existan
manifiestamente riesgos de atentado a la vida
privada de las personas concernidas.
sociedad democrática para:
a. la protección de la seguridad nacional, defensa, seguridad pública, intereses
económicos y financieros primordiales
del Estado, la imparcialidad e
independencia del Poder Judicial o la
prevención, investigación y persecución de
crímenes y delitos, así como la ejecución de
penas y otros objetivos esenciales del interés
público general;
b. la protección de las personas concernidas o
los derechos y libertades
fundamentales de otros, de manera notable, la libertad de expresión.
2. Las restricciones al ejercicio de lo dispuesto
en los Artículos 8 y 9 podrán ser establecidas
en la ley respecto del tratamiento de datos
para propósitos archivísticos en aras del
interés público, científico, de
investigación histórica o con propósitos
estadísticos cuando no exista un riesgo
reconocible de violación de los derechos y
libertades fundamentales de las
personas concernidas.
92
motivo de su determinación, en el plazo de hasta veinte días a los que se refiere el primer
párrafo del artículo 51 de la presente Ley y demás
disposiciones aplicables, y por el mismo medio en que se llevó a cabo la solicitud, acompañando en su caso, las pruebas que resulten
pertinentes.
letras a) a e) y g);i) la protección del interesado
o de los derechos y libertades de otros;
j) la ejecución de demandas civiles.
2. En particular, cualquier medida legislativa indicada en el apartado 1 contendrá como
mínimo, en su caso, disposiciones específicas
relativas a: a) la finalidad del tratamiento
o de las categorías de tratamiento;
b) las categorías de datos personales de que se trate;
c) el alcance de las limitaciones establecidas;
d) las garantías para evitar accesos o transferencias
ilícitos o abusivos;e) la determinación del
responsable o de categorías de responsables;
f) los plazos de conservación y las garantías aplicables
habida cuenta de la naturaleza alcance y
objetivos del tratamiento o las categorías de
tratamiento;g) los riesgos para los
derechos y libertades de los interesados, y
h) el derecho de los interesados a ser
informados sobre la limitación, salvo si puede
ser perjudicial a los fines de esta.
De manera adicional a las excepciones
permitidas en el párrafo 1 de este Artículo, con
relación a las actividades de
procesamiento en materia de seguridad nacional y defensa, cada Parte podrá
establecer, en la ley y sólo en la medida en la
que constituye una medida necesaria y proporcional en una
sociedad democrática para cumplir este fin,
excepciones a lo establecido en el
Artículo 4 párrafo 3, Artículo 14, párrafos 5 y
6 así como en el Artículo 15, párrafo 2,
incisos a, b, c y d. Esto, sin prejuicio al requerimiento de que
las actividades de procesamiento con fines de seguridad
nacional y defensa sean sujetas a revisión
independiente y efectiva bajo la legislación
nacional de la Parte respectiva.
Artículo 48. La recepción y trámite de las solicitudes para el ejercicio de los
derechos ARCO que se formulen a los
Personas facultadas para el ejercicio de los derechos ARCO
Artículo 73. Los derechos ARCO se podrán ejercer
Artículo 12 Transparencia de la
información, comunicación y modalidades de ejercicio
de los derechos del
--- ---
Las disposiciones para el ejercicio de Derechos de
los titulares son detalladas y extensas en la
LGPDPPSO y los
93
responsables, se sujetará al procedimiento establecido
en el presente Título y demás disposiciones que resulten aplicables en la
materia.
Artículo 49. Para el ejercicio de los derechos
ARCO será necesario acreditar la identidad del titular y, en su caso, la
identidad y personalidad con la que actúe el
representante. El ejercicio de los derechos ARCO por persona distinta
a su titular o a su representante, será posible,
excepcionalmente, en aquellos supuestos
previstos por disposición legal, o en su caso, por
mandato judicial. En el ejercicio de los derechos ARCO de
menores de edad o de personas que se
encuentren en estado de interdicción o incapacidad,
de conformidad con las leyes civiles, se estará a las
reglas de representación dispuestas en la misma
legislación. Tratándose de datos
personales concernientes a personas fallecidas, la
persona que acredite tener un interés jurídico, de
conformidad con las leyes aplicables, podrá ejercer los derechos que le confiere el presente Capítulo, siempre
que el titular de los derechos hubiere
expresado fehacientemente
por el titular o, en su caso, su representante,
acreditando su identidad y, en su caso, la identidad y
personalidad de este último al presentar su solicitud o,
de manera previa, al momento de hacer efectivo
su derecho ante el responsable, conforme a lo dispuesto en el articulo 91
de los presentes Lineamientos generales. Ejercicio de derechos ARCO de menores de edad y personas en
estado de interdicción o incapacidad
Articulo 74. En términos del articulo 49, párrafo
tercero de la Ley General, en el ejercicio de los derechos ARCO de
menores de edad o de personas fisicas que se
encuentren en estado de interdicción o incapacidad
declarada por ley o por autoridad judicial, se estará
a las reglas de representación dispuestas en el Código Civil Federal y demás disposiciones que resulten aplicables en la materia, asi como a los
articulos 76, 77, 78, 79, 80, 81 Y 82 de los presentes Lineamientos generales.
Además de lo dispuesto en el párrafo anterior del
presente artículo, tratándose de menores de edad se deberá privilegiar
el interés superior del menor conforme a la
legislación que resulte aplicable en la materia.
interesado 1. El responsable del
tratamiento tomará las medidas oportunas para
facilitar al interesado toda información indicada en los artículos 13 y 14, así como cualquier comunicación con
arreglo a los artículos 15 a 22 y 34 relativa al tratamiento,
en forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo, en particular cualquier información dirigida específicamente a un niño. La información será facilitada por
escrito o por otros medios, inclusive, si procede, por
medios electrónicos. Cuando lo solicite el interesado, la
información podrá facilitarse verbalmente siempre que se demuestre la identidad del
interesado por otros medios. 2. El responsable del
tratamiento facilitará al interesado el ejercicio de sus
derechos en virtud de los artículos 15 a 22. En los casos a que se refiere el artículo 11, apartado 2, el
responsable no se negará a actuar a petición del
interesado con el fin de ejercer sus derechos en
virtud de los artículos 15 a 22, salvo que pueda demostrar que no está en condiciones de identificar al interesado.
3. El responsable del tratamiento facilitará al interesado información
relativa a sus actuaciones sobre la base de una solicitud con arreglo a los artículos 15 a 22, y, en cualquier caso, en
LGPDPSP.
Los plazos de atención a los derechos son distintos de aquellos previstos en el
RGPD
La LGPDPPSO no establece que la información deba
facilitarse en combinación con iconos normalizados
que permitan proporcionar de forma fácilmente visible, inteligible y
claramente legible una adecuada visión de
conjunto del tratamiento previsto. Los iconos que se presenten en formato electrónico serán legibles
mecánicamente.
94
su voluntad en tal sentido o que exista un mandato
judicial para dicho efecto.
Artículo 50. El ejercicio de los derechos ARCO deberá
ser gratuito. Sólo podrán realizarse cobros para recuperar los costos de
reproducción, certificación o envío, conforme a la
normatividad que resulte aplicable.
Para efectos de acceso a datos personales, las leyes que establezcan los costos
de reproducción y certificación deberán
considerar en su determinación que los
montos permitan o faciliten el ejercicio de este derecho.
Cuando el titular proporcione el medio
magnético, electrónico o el mecanismo necesario para
reproducir los datos personales, los mismos
deberán ser entregados sin costo a éste.
La información deberá ser
entregada sin costo, cuando implique la entrega de no más de veinte hojas simples. Las unidades de
transparencia podrán exceptuar el pago de reproducción y envío
atendiendo a las circunstancias
socioeconómicas del titular. El responsable no podrá
establecer para la presentación de las
solicitudes del ejercicio de los derechos ARCO algún
Ejercicio de derechos ARCO de personas
fallecidas, incapaces e interdictos
Articulo 75. De conformidad con el articulo 49, último párrafo de la Ley
General, tratándose de datos personales
concernientes a personas fallecidas, la persona que acredite tener un interés juridico podrá ejercer los
derechos ARCO. En caso de que la persona
fallecida no hubiere expresado
fehacientemente su voluntad a que se refiere el
párrafo anterior, bastará que la persona que pretende ejercer los
derechos ARCO acredite su interés jurídico en los términos previstos en el
presente Capítulo. Para los efectos de la Ley General y los presentes
Lineamientos generales, se entenderá por interés
jurídico aquel que tiene una persona física que,
con motivo del fallecimiento del titular,
pretende ejercer los derechos ARCO de éste, para el reconocimiento de
derechos sucesorios, atendiendo a la relación de
parentesco por consanguinidad o afinidad
que haya tenido con el titular, el cual se acreditará
en términos de las disposiciones legales
aplicables. Puede alegar interés
el plazo de un mes a partir de la recepción de la solicitud.
Dicho plazo podrá prorrogarse otros dos meses en caso necesario, teniendo en cuenta la complejidad y el
número de solicitudes. El responsable informará al
interesado de cualquiera de dichas prórrogas en el plazo
de un mes a partir de la recepción de la solicitud,
indicando los motivos de la dilación. Cuando el
interesado presente la solicitud por medios
electrónicos, la información se facilitará por medios electrónicos cuando sea posible, a menos que el
interesado solicite que se facilite de otro modo.
4. Si el responsable del tratamiento no da curso a la solicitud del interesado, le informará sin dilación, y a más tardar transcurrido un mes de la recepción de la
solicitud, de las razones de su no actuación y de la
posibilidad de presentar una reclamación ante una
autoridad de control y de ejercitar acciones judiciales.
5. La información facilitada en virtud de los artículos 13 y 14 así como toda comunicación
y cualquier actuación realizada en virtud de los
artículos 15 a 22 y 34 serán a título gratuito. Cuando las
solicitudes sean manifiestamente infundadas o
excesivas, especialmente debido a su carácter
repetitivo, el responsable del tratamiento podrá:
95
servicio o medio que implique un costo al titular. Artículo 51. El responsable
deberá establecer procedimientos sencillos
que permitan el ejercicio de los derechos ARCO, cuyo
plazo de respuesta no deberá exceder de veinte días contados a partir del
día siguiente a la recepción de la solicitud.
El plazo referido en el párrafo anterior podrá ser ampliado por una sola vez hasta por diez días cuando
así lo justifiquen las circunstancias, y siempre y
cuando se le notifique al titular dentro del plazo de
respuesta. En caso de resultar
procedente el ejercicio de los derechos ARCO, el
responsable deberá hacerlo efectivo en un plazo que no
podrá exceder de quince días contados a partir del día siguiente en que se
haya notificado la respuesta al titular.
Artículo 52. En la solicitud
para el ejercicio de los derechos ARCO no podrán
imponerse mayores requisitos que los
siguientes: I. El nombre del titular y su domicilio o cualquier otro
medio para recibir notificaciones;
II. Los documentos que acrediten la identidad del
titular y, en su caso, la personalidad e identidad de
su representante;
jurídico, de manera enunciativa más no
limitativa, el albacea, herederos, legatarios,
familiares en línea recta sin limitación de grado y en línea colateral hasta el cuarto grado, lo que se
acreditará con copia simple del documento delegatorio,
pasado ante la fe de notario público o suscrito
ante dos testigos. En el supuesto de que el titular sea un menor de
edad, el interés jurídico se acreditará con la copia del
acta de defuncíón del menor, el acta de
nacimiento o identificación del menor, así como la identificación de quien
ejercía la patria potestad y/o tutela,
En el supuesto de que el titular sea una persona en estado de interdicción o
incapacidad declarada por ley o por autoridad judicial,
el interés jurídico se acreditará con la copia de su acta de defunción, el
documento de su identificación oficial y de
quien ejercía la tutela, así como el instrumento legal de designación del tutor.
Medios para la
acreditación de la identidad del titular
Artículo 76. El titular podrá acreditar su identidad a través de los siguientes
medios: l. Identificación oficial;
II. Instrumentos
a) cobrar un canon razonable en función de los costes
administrativos afrontados para facilitar la información o la comunicación o realizar
la actuación solicitada, ob) negarse a actuar respecto
de la solicitud.El responsable del
tratamiento soportará la carga de demostrar el carácter
manifiestamente infundado o excesivo de la solicitud.
6. Sin perjuicio de lo dispuesto en el artículo 11, cuando el responsable del tratamiento tenga dudas
razonables en relación con la identidad de la persona física que cursa la solicitud a que se refieren los artículos 15 a 21, podrá solicitar que se
facilite la información adicional necesaria para confirmar la identidad del
interesado. 7. La información que deberá facilitarse a los interesados en virtud de los artículos 13 y 14 podrá transmitirse en combinación con iconos
normalizados que permitan proporcionar de forma
fácilmente visible, inteligible y claramente legible una
adecuada visión de conjunto del tratamiento previsto. Los iconos que se presenten en formato electrónico serán legibles mecánicamente.
8. La Comisión estará facultada para adoptar actos delegados de conformidad con el artículo 92 a fin de
especificar la información que se ha de presentar a través
de iconos y los
96
III. De ser posible, el área responsable que trata los datos personales y ante el
cual se presenta la solicitud;
IV. La descripción clara y precisa de los datos
personales respecto de los que se busca ejercer
alguno de los derechos ARCO, salvo que se trate del derecho de acceso; V. La descripción del
derecho ARCO que se pretende ejercer, o bien, lo
que solicita el titular, y VI. Cualquier otro elemento o documento que facilite la localización de los datos personales, en su caso.
Tratándose de una solicitud de acceso a datos
personales, el titular deberá señalar la modalidad en la que prefiere que éstos se
reproduzcan. El responsable deberá atender la solicitud en la modalidad
requerida por el titular, salvo que exista una imposibilidad física o jurídica que lo limite a reproducir los datos personales en dicha
modalidad, en este caso deberá ofrecer otras
modalidades de entrega de los datos personales
fundando y motivando dicha actuación.
En caso de que la solicitud de protección de datos no
satisfaga alguno de los requisitos a que se refiere
este artículo, y el Instituto o los organismos garantes no
cuenten con elementos
electrónicos o mecanismos de autenticación permitidos
por otras disposiciones legales o reglamentarias
que permitan su identificación
fehacientemente, o III. Aquellos mecanismos
establecidos por el responsable de manera
previa, siempre y cuando permitan de forma
inequívoca la acreditación de la identidad del titular. Para efectos del presente Capítulo, la identidad de los menores de edad se podrá acreditar mediante
su acta de nacimiento, Clave Única de Registro de
Población, credenciales expedidas por instituciones educativas o instituciones
de seguridad social, pasaporte, o cualquier otro documento oficial utilizado
para tal fin. La identidad de personas
en estado de interdicción o incapacidad declarada por
ley se podrá acreditar mediante su acta de
nacimiento, Clave Única de Registro de Población,
pasaporte o cualquier otro documento o identificación oficial expedida para tal fin.
Medios para la
acreditación de la identidad y personalidad
del representante Artículo 77. Cuando el
titular ejerza sus derechos ARCO a través de su
representante, éste deberá acreditar la identidad del
procedimientos para proporcionar iconos
normalizados.
97
para subsanarla, se prevendrá al titular de los datos dentro de los cinco
días siguientes a la presentación de la solicitud de ejercicio de los derechos
ARCO, por una sola ocasión, para que subsane las omisiones dentro de un plazo de diez días contados a partir del día siguiente al
de la notificación. Transcurrido el plazo sin
desahogar la prevención se tendrá por no presentada la solicitud de ejercicio de los
derechos ARCO. La prevención tendrá el efecto de interrumpir el
plazo que tiene el Instituto, o en su caso, los
organismos garantes, para resolver la solicitud de
ejercicio de los derechos ARCO.
Con relación a una solicitud de cancelación, el titular
deberá señalar las causas que lo motiven a solicitar la
supresión de sus datos personales en los archivos, registros o bases de datos
del responsable. En el caso de la solicitud de oposición, el titular deberá
manifestar las causas legítimas o la situación
específica que lo llevan a solicitar el cese en el
tratamiento, así como el daño o perjuicio que le
causaría la persistencia del tratamiento, o en su caso, las finalidades específicas
respecto de las cuales requiere ejercer el derecho
de oposición.
titular y su identidad y personalidad presentando
ante el responsable lo siguiente:
I. Copia simple de la identificación oficial del
titular; II. Identificación oficial del
representante, e III. Instrumento público;
carta poder simple firmada ante dos testigos anexando
copia simple de las identificaciones oficiales de quienes intervengan en la suscripción del mismo, o
declaración en comparecencia personal
del titular.
Acreditación de menores de edad cuando sus
padres ejercen la patria potestad
Articulo 78. Cuando el titular sea un menor de
edad y sus padres sean los que ejerzan la patria potestad y los que
pretendan ejercer los derechos ARCO de éste, además de acreditar la identidad del menor, se
deberá acreditar la identidad y representación de los padres mediante los
siguientes documentos: l. Acta de nacimiento del
menor de edad, y II. Documento de
identificación oficial del padre o de la madre que
pretenda ejercer el derecho.
98
Las solicitudes para el ejercicio de los derechos
ARCO deberán presentarse ante la Unidad de Transparencia del
responsable, que el titular considere competente, a
través de escrito libre, formatos, medios
electrónicos o cualquier otro medio que al efecto
establezca el Instituto y los Organismos garantes, en el ámbito de sus respectivas
competencias. El responsable deberá dar
trámite a toda solicitud para el ejercicio de los derechos ARCO y entregar el acuse de recibo que corresponda.
El Instituto y los Organismos garantes,
según corresponda, podrán establecer formularios,
sistemas y otros métodos simplificados para facilitar a los titulares el ejercicio de
los derechos ARCO. Los medios y
procedimientos habilitados por el responsable para
atender las solicitudes para el ejercicio de los derechos ARCO deberán ser de fácil
acceso y con la mayor cobertura posible
considerando el perfil de los titulares y la forma en que
mantienen contacto cotidiano o común con el
responsable.
Artículo 53. Cuando el responsable no sea
competente para atender la solicitud para el ejercicio de los derechos ARCO, deberá
Acreditación de menores de edad cuando una
persona distinta a sus padres ejerce la patria
potestad Articulo 79. Cuando el titular sea un menor de
edad y su patria potestad la ejerce una persona
distinta a los padres y ésta sea quien presente la
solicitud para el ejercicio de los derechos ARCO, además de acreditar la identidad del menor se
deberá acreditar la identidad y representación de la persona mediante los
siguientes documentos: I. Acta de nacimiento del
menor de edad; II. Documento legal que
acredite la posesión de la patria potestad, y III. Documento de
identificación oficial de quien ejerce la patria
potestad.
Acreditación de menores de edad cuando son
representados por un tutor
Articulo 80. Cuando el titular sea un menor de
edad y la solicitud para el ejercicio de los derechos
ARCO la presente su tutor, además de acreditar la identidad del menor, el
tutor deberá acreditar su identidad yrepresentación mediante los siguientes
documentos: I. Acta de nacimiento del
menor de edad; II. Documento legal que
99
hacer del conocimiento del titular dicha situación dentro de los tres días siguientes a
la presentación de la solicitud, y en caso de
poderlo determinar, orientarlo hacia el
responsable competente. En caso de que el
responsable declare inexistencia de los datos
personales en sus archivos, registros, sistemas o
expediente, dicha declaración deberá constar
en una resolución del Comité de Transparencia
que confirme la inexistencia de los datos personales.
En caso de que el responsable advierta que la solicitud para el ejercicio de
los derechos ARCO corresponda a un derecho
diferente de los previstos en la presente Ley, deberá
reconducir la vía haciéndolo del conocimiento al titular.
Artículo 54. Cuando las
disposiciones aplicables a determinados tratamientos
de datos personales establezcan un trámite o procedimiento específico
para solicitar el ejercicio de los derechos ARCO, el
responsable deberá informar al titular sobre la
existencia del mismo, en un plazo no mayor a cinco días siguientes a la presentación
de la solicitud para el ejercicio de los derechos
ARCO, a efecto de que este último decida si ejerce sus
derechos a través del
acredite la tutela, y III. Documento de
identificación oficial del tutor.
Acreditación de personas en estado de interdicción o incapacidad declarada por ley o por autoridad
judicial Articulo 81. Cuando el
titular sea una persona en estado de interdicción o
incapacidad declarada por ley o por autoridad judicial,
además de acreditar la identidad de la persona, su
representante deberá acreditar su identidad y
representación mediante los siguientes documentos:
I Instrumento legal de designación del tutor, y
II. Documento de identificación oficial del
tutor.
Acreditación de las personas vinculadas a
fallecidos Artículo 82. En términos de los artículos 49, último párrafo, de la Ley General
y 75 de los presentes Lineamientos generales, la persona que acredite tener un interés jurídico deberá
presentar ante el responsable los siguientes
documentos: l. Acta de defunción del
titular; II. Documentos que
acrediten el interés juridico de quien pretende ejercer
el derecho, y III. Documento de
identificación oficial de
100
trámite específico, o bien, por medio del
procedimiento que el responsable haya
institucionalizado para la atención de solicitudes para el ejercicio de los derechos
ARCO conforme a las disposiciones establecidas
en este Capítulo.
Artículo 55. Las únicas causas en las que el
ejercicio de los derechos ARCO no será procedente
son: I. Cuando el titular o su representante no estén
debidamente acreditados para ello;
II. Cuando los datos personales no se
encuentren en posesión del responsable;
III. Cuando exista un impedimento legal;
IV. Cuando se lesionen los derechos de un tercero;
V. Cuando se obstaculicen actuaciones judiciales o
administrativas; VI. Cuando exista una
resolución de autoridad competente que restrinja el
acceso a los datos personales o no permita la rectificación, cancelación u oposición de los mismos;
VII. Cuando la cancelación u oposición haya sido previamente realizada;
VIII. Cuando el responsable no sea competente;
IX. Cuando sean necesarios para proteger intereses jurídicamente
tutelados del titular;
quien solicita el ejercicio de los derechos ARCO.
Solicitud para el ejercicio
de los derechos ARCO Artículo 83. En la solicitud
para el ejercicio de los derechos ARCO, el
responsable no podrá imponer o solicitar mayores
requerimientos informativos a los previstos en el artículo 52 de la Ley General y, en atención al caso concreto, deberá ir acompañada de copia
simple de los documentos previstos en los articulas
76, 77, 78, 79, 80, 81 Y82 de los presentes
Lineamientos generales. Además de lo señalado en
el párrafo anterior, el responsable deberá
observar lo siguiente: I. Cuando se trate de una solicitud para el ejercicio
de acceso a datos personales, el titular podrá acompañar a ésta, en su
caso, el medio magnético, electrónico o el mecanismo a través del cual requiere
la reproducción de éstos, el cual también podrá
entregarse una vez que el titular sea notificado sobre la procedencia del ejercicio del derecho solicitado, de
conformidad con lo previsto en el articulo 50, párrafo
tercero de la Ley General; II. Cuando el titular no
pueda cubrir los costos de reproducción y/o envio de sus datos personales en
virtud de su situación
101
X. Cuando sean necesarios para dar cumplimiento a obligaciones legalmente adquiridas por el titular;
XI. Cuando en función de sus atribuciones legales el uso cotidiano, resguardo y manejo sean necesarios y
proporcionales para mantener la integridad,
estabilidad y permanencia del Estado mexicano, o XII. Cuando los datos
personales sean parte de la información que las
entidades sujetas a la regulación y supervisión
financiera del sujeto obligado hayan
proporcionado a éste, en cumplimiento a
requerimientos de dicha información sobre sus
operaciones, organización y actividades.
En todos los casos anteriores, el responsable deberá informar al titular el
motivo de su determinación, en el plazo de hasta veinte días a los que se refiere el primer párrafo del artículo 51 de la presente Ley y
demás disposiciones aplicables, y por el mismo medio en que se llevó a
cabo la solicitud, acompañando en su caso, las pruebas que resulten
pertinentes.
Artículo 56. Contra la negativa de dar trámite a
toda solicitud para el ejercicio de los derechos
ARCO o por falta de respuesta del responsable,
socioeconómica, deberá manifestar tal circunstancia en su solicitud a efecto de
que la Unidad de Transparencia del
responsable determine lo conducente conforme a lo previsto en el articulo 50, párrafo cuarto de la Ley
General; III. Tratándose de
solicitudes de rectificación de datos personales, el
titular, además de indicar lo señalado en el artículo 52 de la Ley General, podrá aportar la documentación
que sustente la modificación solicitada, y IV. En las solicitudes para
el ejercicio de los derechos ARCO, el titular podrá
aportar las pruebas que estime pertinentes para
acreditar la procedencia de su solicitud, las cuales
deberán acompañarse a la misma desde el momento
de su presentación. En caso de que el titular o,
en su caso, su representante acuda personalmente a las
instalaciones del responsable a presentar
una solicitud para el ejercicio de los derechos
ARCO, sus servidores públicos deberán
orientarlos sobre la localización de la Unidad
de Transparencia.
Asistencia de la Unidad de Transparencia
Artículo 84. La Unidad de Transparencia del
102
procederá la interposición del recurso de revisión a
que se refiere el artículo 94 de la presente Ley.
responsable deberá auxiliar y orientar al titular en la elaboración de las
solicitudes para el ejercicio de sus derechos ARCO, en
todo momento, yen especial en aquellos casos
en que el titular no sepa leer ni escribir, así como
informar sobre la obligación del titular de
acreditar su identidad y, en su caso, la identidad y
personalidad de su representante.
Para el caso de las personas con alguna
discapacidad, la Unidad de Transparencia del
responsable procurará atender a cada uno de los titulares, de acuerdo con su situación particular,
facilitando en todo momento la información
que éstos requieran para el ejercicio de sus derechos
ARCO.
Medidas especiales para personas con
discapacidad y hablantes de lengua indígena
Artículo 85. El responsable procurará que las personas con algún tipo
de discapacidad o de lengua indígena, puedan ejercer, en igualdad de
circunstancias, sus derechos ARCO, para lo
cual deberá promover acuerdos con instituciones
públicas especializadas que pudieran auxiliarle en la recepción y entrega de
las respuestas a solicitudes
103
para el ejercicio de los derechos ARCO en lengua indígena, braille o cualquier formato que se requiera en función de la discapacidad del titular, en forma más
eficiente. Sin perjuicio de lo anterior,
el responsable podrá adoptar las siguientes
medidas: I. Contar con equipos de cómputo con tecnología
adaptada, escritura braille y lectores de texto;
II. Reservar lugares de estacionamiento para
personas con discapacidad;
III. Contar con intérpretes oficiales de lenguas
indígenas; IV. Facilitar la utilización del lenguaje de señas o cualquier otro medio o
modo de comunicación; V. Brindar las facilidades para el acceso de perros
guías o animales de apoyo; VI. Apoyar en la lectura de
documentos; VII. Contar con rampas
para personas con discapacidad, o
VIII. Cualquier otra medida física o tecnológica que
ayude a las personas con discapacidad y/o hablantes
de lengua indígena a ejercer de manera eficiente
sus derechos ARCO. En ningún caso, las
personas referidas en el presente artículo serán
objeto de discriminación en el ejercicio de sus
derechos.
104
Acuse de recibo Artículo 86. El
responsable deberá dar trámite a toda solicitud para el ejercicio de los
derechos ARCO y entregar el acuse de recibo que
corresponda. El responsable deberá registrar las solicitudes para el ejercicio de los
derechos ARCO que se presenten mediante escrito
libre en el sistema electrónico habilitado para tal efecto por el Instituto,
conforme ala normatividad que resulte aplicable.
En caso de que la solicitud para el ejercicio de los
derechos ARCO en escrito libre se presente
directamente ante una unidad administrativa distinta a la Unidad de
Transparencia del responsable, la unidad administrativa deberá remitir la solicitud a la
Unidad de Transparencia a más tardar al día siguiente
de su presentación. Para tal efecto, la solicitud
para el ejercicio de los derechos ARCO se tendrá por recibida en la fecha en que fue presentada en la unidad administrativa del responsable. Lo anterior,
de conformidad con lo previsto en el artículo 51
de la Ley General.
Prevención al titular Artículo 87. En el caso de
que la información proporcionada por el titular
105
en su solicitud para el ejercicio de los derechos ARCO sea insuficiente para atenderla por no
satisfacer alguno de los requisitos previstos en el
artículo 52 de la Ley General, o bien, no se
acompañe copia simple de los documentos a que se refieren los artículos 76,
77, 78, 79, 80, 81 Y82 de los presentes Lineamientos generales y el responsable no cuente con elementos para subsanarla, deberá prevenir al titular, por una sola vez y dentro de los
cinco dias contados a partir del día siguiente a[ que recibió la solicitud, para
que aporte los elementos o documentos necesarios
para dar trámite a la misma.
El titular contará con un plazo de diez dias para atender la prevención,
contados a partir del dia siguiente al de la
notificación. La prevención tendrá el efecto de interrumpir e[
plazo que tiene el responsable para dar
respuesta a la solicitud para el ejercicio de los derechos ARCO, por lo
que el cómputo de dicho plazo se reanudará al día siguiente del desahogo de la prevención por parte del
titular. Transcurrido e[ plazo sin desahogar la prevención por parte del titular, se
tendrá por no presentada
106
la solicitud para el ejercicio de los derechos ARCO.
Turno de las solicitudes para el ejercicio de los
derechos ARCO Articulo 88. La Unidad de
Transparencia del responsable deberá turnar
las solicitudes para el ejercicio de los derechos
ARCO admitidas, de conformidad con la Ley General y los presentes
Lineamientos generales, a la o las unidades
administrativas que conforme a sus
atribuciones, facultades, competencias o funciones
puedan o deban poseer los datos personales sobre los que versen las solicitudes,
atendiendo a la normatividad que les
resulte aplicable.
Reproducción y certificación de datos
personales Articulo 89. La
reproducción de [os datos personales en copias
simples o certificadas será gratuita cuando no
excedan de veinte hojas, o bien, las primeras veinte
hojas reproducidas o certificadas.
Respuesta del
responsable y plazo para emitirla
Articulo 90. En [a respuesta a una solicitud
para el ejercicio de los derechos ARCO, el
107
responsable deberá señalar:
I. Los costos de reproducción, certificación
y/o envio de los datos personales o de las
constancias que acrediten el ejercicio efectivo de los
derechos ARCO que, en su caso, correspondan;
II. El plazo que tiene el titular para realizar el pago, el cual no podrá ser menor
de tres dias contados a partir del dia siguiente de
que se notifique la repuesta a que hace
referencia en el presente artículo; señalando que
una vez que el titular o, en su caso, su representante
realice el pago deberá remitir copia del recibo correspondiente, con la
identificación del número de folio de la solicitud para el ejercicio de los derechos ARCO que corresponda, a más tardar al día siguiente
de realizarse el pago a través del medio que
señaló para oír y recibir notificaciones, o bien,
presentando personalmente una copia
ante la Unidad de Transparencia del
responsable, y III. El derecho que le asiste al titular para interponer un recurso de revisión ante el
Instituto, en caso de inconformidad por la respuesta recibida.
La respuesta adoptada por el responsable podrá ser notificada al titular en su
108
Unidad de Transparencia o en las oficinas que tenga
habilitadas para tal efecto, previa acreditación de su
identidad y, en su caso, de la identidad y personalidad
de su representante de manera presencial, o por la
Plataforma Nacional o correo certificado en cuyo
caso no procederá la notificación a través de
representante para estos últimos medios.
Plazo para hacer efectivo
los derechos ARCO Articulo 91. En caso de resultar procedente el
ejercicio de los derechos ARCO, el responsable
deberá hacerlo efectivo en un plazo no mayor a
quince dias contados a partir del dia siguiente en
que se hubiere notificado la respuesta al titular.
Previo a hacer efectivo el ejercicio de los derechos ARCO, el responsable
deberá acreditar la identidad del titular y, en su
caso, la identidad y personalidad con la que
actúe su representante de conformidad con lo
dispuesto en los articulos 49 de la Ley General y 76, 77, 78, 79, 80, 81 Y82 de
los presentes Lineamientos generales, asi como
verificar la realización del pago de los costos de reproducción, envio o
certificación que, en su caso, se hubieren
establecido.
109
La acreditación de la identidad del titular y, en su
caso, la identidad y personalidad del
representante a que se refiere el párrafo anterior, se deberá llevar a cabo
mediante la presentación de los documentos
originales que correspondan, siempre y
cuando el titular o su representante se presenten
en la Unidad de Transparencia del responsable y esta
situación se deje asentada en la constancia que acredite el acceso,
rectificación, cancelación u oposición de los datos
personales, según corresponda.
Cuando el titular y, en su caso, su representante hubieren acreditado su
identidad y la personalidad de este último
presencialmente ante la Unidad de Transparencia
del responsable levantando una constancia de tal
situación, la respuesta a su solicitud para el ejercicio de los derechos ARCO podrá ser notificada a través de los medios
electrónicos que determine el titular.
Acceso a datos
personales Artículo 92. La obligación
de acceso a los datos personales se dará por
cumplida cuando el responsable ponga a
110
disposición del titular, previa acreditación de su identidad y, en su caso, la
identidad y personalidad de su representante, los datos
personales a través de consulta directa, en el sitio
donde se encuentren, o mediante la expedición de
copias simples, copias certificadas, medios magnéticos, ópticos, sonoros, visuales u
holográficos, o cualquier otra tecnologia que
determine el titular, dentro del plazo de quince dias a que se refiere el articulo 51
de la Ley General y de conformidad con lo dispuesto en dicho ordenamiento y los
presentes Lineamientos generales, asi como previa acreditación del pago de
los derechos correspondientes.
Rectificación de datos
personales Artículo 93. La obligación
de rectificar los datos personales se dará por
cumplida cuando el responsable notifique al
titular, previa acreditación de su identidad y, en su
caso, la identidad y personalidad de su representante, una
constancia que acredite la corrección solicitada,
dentro del plazo de quince días a que se refiere el
artículo 51 de la Ley General y de conformidad con lo dispuesto en dicho
111
ordenamiento y los presentes Lineamientos
generales. En la constancia a que se refiere el párrafo anterior del presente articulo, el
responsable deberá señalar, al menos, el nombre completo del
titular, los datos personales corregidos, asi como la fecha a partir de la cual fueron rectificados los
datos personales en sus registros, archivos,
sistemas de información, expedientes, bases de
datos o documentos en su posesión.
Cancelación de datos
personales Articulo 94. La obligación
de cancelar [os datos personales se dará por
cumplida cuando el responsable notifique al
titular, previa acreditación de su identidad y, en su
caso la identidad y personalidad de su representante, una
constancia que señale: I. Los documentos, bases
de datos personales, archivos, registros,
expedientes y/o sistemas de tratamiento donde se
encuentren los datos personales objeto de
cancelación; II. El periodo de bloqueo de los datos personales, en su
caso; III. Las medidas de
seguridad de carácter administrativo, fisico y
112
técnico implementadas durante el periodo de
bloqueo, en su caso, y IV. Las políticas, métodos y técnicas utilizadas para la supresión definitiva de los datos personales, de tal
manera que la probabilidad de recuperarlos o
reutilizarlos sea mínima. El responsable deberá
notificar al titular la constancia a que se refiere
el párrafo anterior de los presentes Lineamientos
generales dentro del plazo de quince dias establecido en el articulo 51 de la Ley General y de conformidad con lo dispuesto en dicho
ordenamiento y los presentes Lineamientos
generales.
Oposición de datos personales
Articulo 95. La obligación de cesar el tratamiento de los datos personales se
dará por cumplida cuando el responsable notifique a[ titular, previa acreditación de su identidad y, en su
caso, la identidad y personalidad de su representante, una
constancia que señale dicha situación dentro del
plazo de quince dias a que se refiere el artículo 51 de
la Ley General y de conformidad con lo dispuesto en dicho ordenamiento y los
presentes Lineamientos generales.
113
Envio de datos personales o constancias
por correo certificado Articulo 96. Sólo
procederá el envío por correo certificado de los
datos personales o de [as constancias del ejercicio efectivo de los derechos
ARCO, cuando [a solicitud sea presentada
personalmente por el titular ante e[ responsable, no medie representación
alguna del titular, y no se trate de menores de edad o de datos personales de
fallecidos.
Envio de datos personales o constancias por medios electrónicos
Articulo 97. Sólo procederá el envio por
medios electrónicos de los datos personales o de Las constancias que acrediten e[ ejercicio efectivo de los
derechos ARCO, cuando el titular hubiere acreditado
fehacientemente su identidad y, en su caso, la
identidad y personalidad de su representante mediante cualquier mecanismo en
los términos previstos en la Ley Genera[ y los
presentes Lineamientos generales.
La Unidad de Transparencia del
responsable deberá dejar constancia de [a
acreditación del titular y, en su caso, su representante a que se refiere el párrafo
anterior.
114
Disponibilidad de los datos personales o
constancias que acrediten el ejercicio
efectivo de los derechosArticulo 98. La Unidad de
Transparencia del responsable deberá tener a disposición del titular y, en
su caso, de su representante los datos
personales en e[ medio de reproducción solicitado y/o
[as constancias que acrediten el ejercicio
efectivo de los derechos ARCO durante un plazo máximo de sesenta días, contados a partir del día
siguiente en que se hubiere notificado la
respuesta de procedencia al titular.
Transcurrido el plazo a que se refiere el párrafo
anterior, el responsable deberá dar por concluida la atención a la solicitud para el ejercicio de los derechos
ARCO y proceder a la destrucción del material en el que se reprodujeron los datos personales o de las constancias que acrediten el ejercicio efectivo de los
derechos ARCO. Lo anterior, dejando a
salvo el derecho que le asiste al titular de
presentar una nueva solicitud de derechos
ARCO ante el responsable.
Causales de improcedencia del
ejercicio de los derechos ARCO
115
Artículo 99. Cuando el responsable niegue el
ejercicio de los derechos ARCO por actualizarse
alguno de los supuestos previstos en el artículo 55
de la Ley General, la respuesta deberá constar en una resolución de su
Comité de Transparencia que confirme la
improcedencia del ejercicio de los derechos ARCO.
Incompetencia notoria y parcial del responsable Artículo 100. Cuando la Unidad de Transparencia del responsable determine la notoria incompetencia de
éste para atender la solicitud para el ejercicio de los derechos ARCO,
deberá comunicar tal situación al titular en el plazo a que se refiere el
artículo 53, primer párrafo de la Ley General, yen su
caso, orientarlo con el responsable competente, sin que sea necesario una resolución del Comité de
Transparencia que confirme la notoria
incompetencia. Si el responsable es
competente para atender parcialmente la solicitud para el ejercicio de los
derechos ARCO deberá dar respuesta en el ámbito
de su respectiva competencia, dentro del
plazo de veinte días a que se refiere el artículo 51 de
la Ley General y de conformidad con dicho
116
ordenamiento y los presentes Lineamientos
generales.
Inexistencia de los datos personales
Artículo 101. La resolución del Comité de
Transparencia a que se refiere el artículo 53,
segundo párrafo de la Ley General, deberá contar con los elementos mínimos que permitan al titular tener la
certeza de que se utilizó un críterio de búsqueda exhaustivo; así como
señalar las circunstancias de tiempo, modo y lugar
que generaron la inexistencia en cuestión y la unidad administrativa
competente de contar con los mismos.
Reconducción de la
solicitud para el ejercicio de los derechos ARCO
Artículo 102. En términos de lo previsto en el artículo 53, último párrafo de la Ley General, en caso de que el responsable advierta que
la solicitud para el ejercicio de los derechos ARCO
corresponde a un derecho diferente de los previstos en la Ley General y los presentes Lineamientos
generales, deberá reconducir la vía haciéndolo del
conocimiento al titular dentro de los tres dias
siguientes a la presentación de la
solicitud, dejando a salvo
117
los requisitos y plazos establecidos en la vía correcta conforme a la
normatividad que resulte aplicable.
Trámites especificos
Artículo 103. De conformidad con lo previsto en el articulo 54 de la Ley
General, el tilular tendrá un plazo de cinco dias,
contado a partir del dia siguiente de recibir la
respuesta del responsable, para dar a conocer al
responsable si ejerce sus derechos ARCO a través del trámite especifico, o bien, del procedimiento
general. En caso de que el titular no señale
manifestación alguna, se entenderá que ha elegido
esta última via.
Tramitación de solicitudes para el
ejercicio de los derechos ARCO
Artículo 104. El responsable podrá
establecer los plazos y los procedimientos internos
que considere convenientes para recibir,
gestionar y dar respuesta a las solicitudes para el
ejercicio de los derechos ARCO, observando, en
todo momento, los requisitos, condiciones,
plazos y términos previstos en la Ley General y los presentes Lineamientos
generales.
118
Negativa para la tramitación de
solicitudes para el ejercicio de los derechos
ARCO Articulo 105. Cuando
alguna unidad administrativa del
responsable se negare a colaborar con la Unidad de
Transparencia en la atención de las solicitudes
para el ejercicio de los derechos ARCO, ésta dará aviso al superior jerárquico para que le ordene realizar
sin demora las acciones conducentes.
Si persiste la negativa de colaboración, la Unidad de Transparencia lo hará del cónocimiento del Comité de Transparencia para
que, a su vez, dé vista al órgano interno de control,
contraloria o instancia equivalente y, en su caso, dé inicio el procedimiento
de responsabilidad administrativo respectivo.
Inconformidad del titular por la respuesta recibida
o falta de ésta Artículo 106. El titular y,
en su caso, su representante, podrán
presentar un recurso de revisión ante el Instituto por la respuesta recibida o falta
de respuesta del responsable, de
conformidad con lo establecido en la Ley
General y los presentes Lineamientos generales.
119
Cumplimiento de las obligaciones para el
ejercicio de los derechos ARCO
Artículo 107. La carga de la prueba para acreditar el
cumplimiento de las obligaciones previstas en
el presente Capitulo, recaerá, en todo momento,
en el responsable.
120
121
I. Restricciones a transferencias ulteriores La siguiente tabla presenta el análisis de la LGPDPPSO y los LGPDPSP a partir de las disposiciones aplicables para la limitación de las transferencias de datos personales. Al respecto, el WP 254 señala:
“Las transferencias ulteriores de datos personales por parte del destinatario inicial de la transferencia de datos original solo se permitirán cuando otro destinatario (el destinatario de la transferencia ulterior) también esté sujeto a normas (incluidas normas contractuales) que otorguen un nivel de protección adecuado y cumplan las instrucciones pertinentes al tratar los datos en nombre del responsable del tratamiento. El nivel de protección de las personas físicas cuyos datos se transfieran no debe verse menoscabado por la transferencia ulterior. El destinatario inicial de los datos transferidos desde la UE será responsable de garantizar que se ofrecen garantías adecuadas para las transferencias ulteriores de datos en ausencia de una decisión de adecuación. Estas transferencias ulteriores de datos solo se deben realizar para unos fines limitados y específicos, y siempre que existan fundamentos jurídicos para dicho tratamiento.”
De esta manera, se presentan los distintos fundamentos jurídicos en los que se regula el régimen de transferencias de datos personales en la LGPDPPSO y los LGPDPSP. Lo anterior, sin dejar de lado la comparación con el RGPD, el C108 y el C108+.
122
Capítulo 3 del WP 254: Principios generales en materia de protección de datos para garantizar que el nivel de protección en un tercer país, territorio o uno o varios sectores específicos de ese tercer país, u organización internacional es sustancialmente equivalente al garantizado por la legislación de la UE
A. Principios relativos al contenido 9) Restricciones a transferencias ulteriores
LGPDPPSO LGPDPSP RGPD C108 C108+ ComentariosTÍTULO QUINTO COMUNICACIONES DE DATOS PERSONALES Capítulo Único De las Transferencias y Remisiones de Datos Personales Artículo 65. Toda transferencia de datos personales sea ésta nacional o internacional, se encuentra sujeta al consentimiento de su titular, salvo las excepciones previstas en los artículos 22, 66 y 70 de esta Ley. Artículo 66. Toda transferencia deberá formalizarse mediante la suscripción de cláusulas contractuales, convenios de colaboración o cualquier otro instrumento jurídico, de conformidad con la normatividad que le resulte aplicable al responsable, que permita demostrar el alcance del tratamiento de los datos personales, así como las obligaciones y responsabilidades asumidas por las partes. Lo dispuesto en el párrafo anterior, no será aplicable en los siguientes casos: I. Cuando la transferencia sea nacional y se realice entre responsables en virtud del cumplimiento de una disposición legal o en el ejercicio de atribuciones expresamente conferidas a
Título Quinto Transferencias de datos personales Capítulo Único Condiciones generales de las transferencias de datos personales Articulo 113. Toda transferencia de datos personales, sea ésta nacional o internacional, se encuentra sujeta al consentimiento de su titular, salvo las excepciones previstas en los artículos 22, fracción 11 y 70 de la Ley General y sin perjuicio de lo dispuesto en el articulo 66 del mismo ordenamiento, la cual deberá ́ ser informada al titular en el aviso de privacidad, limitando el tratamiento de los datos personales transferidos a las finalidades que la justifiquen. Por regla general, el consentimiento a que se refiere el párrafo anterior del presente articulo será́ tácito, salvo que una ley exija al responsable recabar el consentimiento expreso del titular para la transferencia de sus datos personales. El responsable transferente deberá́ comunicar al destinatario o receptor de los datos personales el aviso de privacidad, conforme al cual se obligó a tratar los datos personales frente al titular. Medios para solicitar el consentimiento expreso del titular para la transferencia
Artículo 44 Principio general de las transferencias Solo se realizarán transferencias de datos personales que sean objeto de tratamiento o vayan a serlo tras su transferencia a un tercer país u organización internacional si, a reserva de las demás disposiciones del presente Reglamento, el responsable y el encargado del tratamiento cumplen las condiciones establecidas en el presente capítulo, incluidas las relativas a las transferencias ulteriores de datos personales desde el tercer país u organización internacional a otro tercer país u otra organización internacional. Todas las disposiciones del presente capítulo se aplicarán a fin de asegurar que el nivel de protección de las personas físicas garantizado por el presente Reglamento no se vea menoscabado. Artículo 45 Transferencias basadas en una decisión de adecuación 1. Podrá realizarse una transferencia de datos personales a un tercer país u organización internacional cuando la Comisión haya decidido que el tercer país, un territorio o uno o varios sectores específicos de ese tercer país, o la organización internacional de que se trate garantizan un nivel de protección adecuado. Dicha
Artículo 12. Flujos transfronterizos de datos de carácter personal y el derecho interno 1. Las disposiciones que siguen se aplicarán a las transmisiones a través de las fronteras nacionales, por cualquier medio que fuere, de datos de carácter personal que sean objeto de un tratamiento automatizado o reunidos con el fin de someterlos a ese tratamiento. 2. Una Parte no podrá, con el fin de proteger la vida privada, prohibir o someter a una autorización especial los flujos transfronterizos de datos de carácter personal con destino al territorio de otra Parte. 3. Sin embargo, cualquier Parte tendrá la facultad de establecer una excepción a las disposiciones del párrafo 2: a. En la medida en que su legislación prevea una reglamentación específica para determinadas categorías de datos de carácter personal o de ficheros automatizados de datos de carácter personal, por razón de la naturaleza de dichos datos o ficheros, a menos que la reglamentación de la otra Parte establezca una protección equivalente; b. cuando la transmisión se lleve a cabo a partir de su territorio hacia el territorio de
Artículo 14 – Flujos transfronterizos de datos de carácter personal 1. Una Parte no deberá, con la sola motivación de la protección de datos personales, prohibir o someter a autorización especial la transferencia de estos datos a un Receptos que se encuentra sujeto a la jurisdicción de otra Parte de este Convenio. La parte donde se encuentran los datos puede, sin embargo, negarse a la transmisión si existe un peligro serio y real que la transferencia a otra Parte, o de esa Parte hacia otro Estado no contratante, pueda dar lugar a la elusión de las disposiciones del presente Convenio. Una Parte también podrá negarse a la transmisión si se encuentra obligada por las reglas de protección armonizadas compartidas por Estados que pertenecen a una organización regional internacional. 2. Cuando el receptor se encuentra sujeto a la jurisdicción de un Estado u organización internacional que no es Parte de este Convenio, la transferencia de datos personales podrá efectuarse cuando se garantice un nivel apropiado de protección basada en las disposiciones de este Convenio. 3. Un nivel apropiado de protección puede ser
No se establece el requisito de adecuación, ni normas corporativas vinculantes, cláusulas tipo, adhesión a códigos de conducta, entre otras medidas para la transferencia internacional de datos personales.
123
éstos, o II. Cuando la transferencia sea internacional y se encuentre prevista en una ley o tratado suscrito y ratificado por México, o bien, se realice a petición de una autoridad extranjera u organismo internacional competente en su carácter de receptor, siempre y cuando las facultades entre el responsable transferente y receptor sean homólogas, o bien, las finalidades que motivan la transferencia sean análogas o compatibles respecto de aquéllas que dieron origen al tratamiento del responsable transferente. Artículo 67. Cuando la transferencia sea nacional, el receptor de los datos personales deberá tratar los datos personales, comprometiéndose a garantizar su confidencialidad y únicamente los utilizará para los fines que fueron transferidos atendiendo a lo convenido en el aviso de privacidad que le será comunicado por el responsable transferente. Artículo 68. El responsable sólo podrá transferir o hacer remisión de datos personales fuera del territorio nacional cuando el tercero receptor o el encargado se obligue a proteger los datos personales conforme a los principios y deberes que establece la presente Ley y las disposiciones que resulten aplicables en la materia. Artículo 69. En toda transferencia de datos
de sus datos personalesArticulo 114. Cuando la transferencia de datos personales requiera del consentimiento expreso del titular, el responsable podrá́ establecer cualquier medio que le permita obtener esta modalidad del consentimiento de manera previa a la transferencia de sus datos personales, siempre y cuando el medio habilitado sea de fácil acceso y con la mayor cobertura posible, considerando el perfil de los titulares y la forma en que mantienen contacto cotidiano o común con el titular. Transferencias nacionales de datos personalesArticulo 115. Cuando la transferencia sea nacional, el receptor de los datos personales asumirá́ el carácter de responsable conforme a la legislación que en esta materia le resulte aplicable atendiendo su naturaleza jurídica, publica o privada, y deberá́ tratar los datos personales atendiendo a dicha legislación y a lo convenido en el aviso de privacidad que le será́ comunicado por el responsable transferente. Transferencias internacionales de datos personales Artículo 116. El responsable sólo podrá́ transferir datos personales fuera del territorio nacional, cuando el receptor o destinatario se obligue a proteger los datos personales conforme a los principios, deberes y demás
transferencia no requerirá ninguna autorización específica. 2. Al evaluar la adecuación del nivel de protección, la Comisión tendrá en cuenta, en particular, los siguientes elementos: a)el Estado de Derecho, el
respeto de los derechos humanos y las libertades fundamentales, la legislación pertinente, tanto general como sectorial, incluida la relativa a la seguridad pública, la defensa, la seguridad nacional y la legislación penal, y el acceso de las autoridades públicas a los datos personales, así como la aplicación de dicha legislación, las normas de protección de datos, las normas profesionales y las medidas de seguridad, incluidas las normas sobre transferencias ulteriores de datos personales a otro tercer país u organización internacional observadas en ese país u organización internacional, la jurisprudencia, así como el reconocimiento a los interesados cuyos datos personales estén siendo transferidos de derechos efectivos y exigibles y de recursos administrativos y acciones judiciales que sean efectivos;
b)la existencia y el funcionamiento efectivo de una o varias autoridades de control independientes en el tercer país o a las cuales esté sujeta una organización internacional, con la responsabilidad de garantizar y hacer cumplir las normas en materia de
un Estado no contratante por intermedio del territorio de otra Parte, con el fin de evitar que dichas transmisiones tengan como resultado burlar la legislación de la Parte a que se refiere el comienzo del presente párrafo.
asegurado por: a. la ley del Estado u organización internacional, incluyendo los tratados o acuerdos internacionales que apliquen; o b. garantías ad hoc o acorde a estándares establecidas en instrumentos legalmente vinculantes y ejecutables, adoptados e implementados por las personas involucradas en la transferencia y posterior procesamiento de los datos. 4. No obstante lo dispuesto en los párrafos previos, cada Parte puede establecer que la transferencia de datos personales puede tener lugar si: a. la persona concernida ha dado su consentimiento de manera explícita, específica y libre, después de haber sido informada de los riesgos relacionados con la ausencia de garantías apropiadas; o b. los intereses específicos de la persona concernida lo requieren en el caso particular; o c. prevalecen intereses legítimos, en particular, intereses públicos importantes establecidos en la ley y esta transferencia constituye una medida necesaria y proporcional en una sociedad democrática; o d. constituye una medida necesaria y proporcional en una sociedad democrática, para la libertad de expresión. 5. Cada Parte debe establecer que a la Autoridad Supervisora competente en los términos del Artículo 15 de este Convenio se le proveerá con
124
personales, el responsable deberá comunicar al receptor de los datos personales el aviso de privacidad conforme al cual se tratan los datos personales frente al titular. […] Artículo 71. Las remisiones nacionales e internacionales de datos personales que se realicen entre responsable y encargado no requerirán ser informadas al titular, ni contar con su consentimiento. Artículo 70. El responsable podrá realizar transferencias de datos personales sin necesidad de requerir el consentimiento del titular, en los siguientes supuestos: I. Cuando la transferencia esté prevista en esta Ley u otras leyes, convenios o Tratados Internacionales suscritos y ratificados por México; II. Cuando la transferencia se realice entre responsables, siempre y cuando los datos personales se utilicen para el ejercicio de facultades propias, compatibles o análogas con la finalidad que motivó el tratamiento de los datos personales; III. Cuando la transferencia sea legalmente exigida para la investigación y persecución de los delitos, así como la procuración o administración de justicia; IV. Cuando la transferencia sea precisa para el reconocimiento, ejercicio o defensa de un derecho ante autoridad competente, siempre y cuando medie el requerimiento de esta última;
obligaciones similares o equiparables a las previstas en la Ley General y demás normatividad mexicana en la materia, así como a los términos previstos en el aviso de privacidad que le será́ comunicado por el responsable transferente. Solicitud de opinión sobre transferencias internacionales de datos personales Artículo 117. En caso de considerarlo necesario, el responsable podrá́ solicitar la opinión del Instituto respecto aquellas transferencias internacionales de datos personales que pretenda efectuar en cumplimiento de lo dispuesto en la Ley General y los presentes Lineamientos generales de acuerdo con lo siguiente: I. El responsable deberá́ presentar su solicitud directamente en el domicilio del Instituto, o bien, a través de cualquier otro medio que se habilite para tal efecto; II. La solicitud deberá́ describir las generalidades y particularidades de la transferencia internacional de datos personales que se pretende efectuar, con especial énfasis en las finalidades que motivan la transferencia; el o los destinatarios de los datos personales que, en su caso, se pretenda transferir; el fundamento legal que, en su caso, obligue al responsable a transferir los datos personales; los datos personales que se pretendan transferir; las categorías de titulares involucrados; la
protección de datos, incluidos poderes de ejecución adecuados, de asistir y asesorar a los interesados en el ejercicio de sus derechos, y de cooperar con las autoridades de control de la Unión y de los Estados miembros, y
c)los compromisos internacionales asumidos por el tercer país u organización internacional de que se trate, u otras obligaciones derivadas de acuerdos o instrumentos jurídicamente vinculantes, así como de su participación en sistemas multilaterales o regionales, en particular en relación con la protección de los datos personales.
3. La Comisión, tras haber evaluado la adecuación del nivel de protección, podrá decidir, mediante un acto de ejecución, que un tercer país, un territorio o uno o varios sectores específicos de un tercer país, o una organización internacional garantizan un nivel de protección adecuado a tenor de lo dispuesto en el apartado 2 del presente artículo. El acto de ejecución establecerá un mecanismo de revisión periódica, al menos cada cuatro años, que tenga en cuenta todos los acontecimientos relevantes en el tercer país o en la organización internacional. El acto de ejecución especificará su ámbito de aplicación territorial y sectorial, y, en su caso, determinará la autoridad o autoridades de control a que se refiere el apartado 2, letra b), del presente artículo. El acto de ejecución se adoptará con arreglo al
toda la información relevante relacionada con las transferencias de datos referidas en el párrafo 3.b y, bajo solicitud, aquélla de los párrafos 4.b and 4.c. 6. Cada Parte debe también establecer que la Autoridad Supervisora está facultada para requerir que la persona que transfiere los datos demuestre la efectividad de las garantías o la existencia de intereses legítimos prevalecientes y que la Autoridad Supervisora podrá, en aras de proteger los derechos y libertades fundamentales de la persona concernida, prohibir dichas transferencias, suspenderlas o sujetarlas a condiciones ulteriores.
125
V. Cuando la transferencia sea necesaria para la prevención o el diagnóstico médico, la prestación de asistencia sanitaria, tratamiento médico o la gestión de servicios sanitarios, siempre y cuando dichos fines sean acreditados; VI. Cuando la transferencia sea precisa para el mantenimiento o cumplimiento de una relación jurídica entre el responsable y el titular; VII. Cuando la transferencia sea necesaria por virtud de un contrato celebrado o por celebrar en interés del titular, por el responsable y un tercero; VIII. Cuando se trate de los casos en los que el responsable no esté obligado a recabar el consentimiento del titular para el tratamiento y transmisión de sus datos personales, conforme a lo dispuesto en el artículo 22 de la presente Ley, o IX. Cuando la transferencia sea necesaria por razones de seguridad nacional. La actualización de algunas de las excepciones previstas en este artículo no exime al responsable de cumplir con las obligaciones previstas en el presente Capítulo que resulten aplicables. Artículo 70. El responsable podrá realizar transferencias de datos personales sin necesidad de requerir el consentimiento del titular, en los siguientes supuestos: I. Cuando la transferencia esté prevista en esta Ley u otras leyes, convenios o Tratados
tecnología o medios utilizados para, en su caso, efectuar la transferencia; las medidas de seguridad aplicables; las cláusulas contractuales, convenios de colaboración o cualquier otro instrumento jurídico que se suscribiría con el destinatario o receptor, en caso de que resulte exigible, así ́ como cualquier otra información relevante para el caso concreto; III. La solicitud podrá́ ir acompañada de aquellos documentos que el responsable considere conveniente hacer del conocimiento del Instituto; IV. Si el Instituto considera que no cuenta con la suficiente información para emitir su opinión técnica, deberá́ requerir al responsable, por una sola ocasión y en un plazo que no podrá́ exceder de cinco días contados a partir del día siguiente de la presentación de la solicitud, la información adicional que considere pertinente; V. El responsable contará con un plazo máximo de diez días, contados a partir del día siguiente de la recepción del requerimiento de información adicional, para proporcionar mayores elementos al Instituto con el apercibimiento de que en caso de no cumplir se tendrá́ por no presentada su consulta; VI. El requerimiento de información adicional tendrá́ el efecto de interrumpir el plazo que tiene el Instituto para emitir su opinión técnica, por lo que
procedimiento de examen a que se refiere el artículo 93, apartado 2. 4. La Comisión supervisará de manera continuada los acontecimientos en países terceros y organizaciones internacionales que puedan afectar a la efectiva aplicación de las decisiones adoptadas con arreglo al apartado 3 del presente artículo y de las decisiones adoptadas sobre la base del artículo 25, apartado 6, de la Directiva 95/46/CE. 5. Cuando la información disponible, en particular tras la revisión a que se refiere el apartado 3 del presente artículo, muestre que un tercer país, un territorio o un sector específico de ese tercer país, o una organización internacional ya no garantiza un nivel de protección adecuado a tenor del apartado 2 del presente artículo, la Comisión, mediante actos de ejecución, derogará, modificará o suspenderá, en la medida necesaria y sin efecto retroactivo, la decisión a que se refiere el apartado 3 del presente artículo. Dichos actos de ejecución se adoptarán de acuerdo con el procedimiento de examen a que se refiere el artículo 93, apartado 2. Por razones imperiosas de urgencia debidamente justificadas, la Comisión adoptará actos de ejecución inmediatamente aplicables de conformidad con el procedimiento a que se refiere el artículo 93, apartado 3. 6 La Comisión entablará consultas con el tercer país u organización internacional con vistas a poner remedio a la
126
Internacionales suscritos y ratificados por México; II. Cuando la transferencia se realice entre responsables, siempre y cuando los datos personales se utilicen para el ejercicio de facultades propias, compatibles o análogas con la finalidad que motivó el tratamiento de los datos personales; III. Cuando la transferencia sea legalmente exigida para la investigación y persecución de los delitos, así como la procuración o administración de justicia; IV. Cuando la transferencia sea precisa para el reconocimiento, ejercicio o defensa de un derecho ante autoridad competente, siempre y cuando medie el requerimiento de esta última; V. Cuando la transferencia sea necesaria para la prevención o el diagnóstico médico, la prestación de asistencia sanitaria, tratamiento médico o la gestión de servicios sanitarios, siempre y cuando dichos fines sean acreditados; VI. Cuando la transferencia sea precisa para el mantenimiento o cumplimiento de una relación jurídica entre el responsable y el titular; VII. Cuando la transferencia sea necesaria por virtud de un contrato celebrado o por celebrar en interés del titular, por el responsable y un tercero; VIII. Cuando se trate de los casos en los que el responsable no esté obligado a recabar el consentimiento del titular para el tratamiento y transmisión de sus datos
comenzará a computarse a partir del día siguiente a su desahogo; VII. El Instituto deberá́ emitir la opinión técnica que corresponda en un plazo que no podrá́ exceder de quince días, contados a partir del día siguiente a la recepción de la consulta, el cual no podrá́ ampliarse, y VIII. Si el Instituto no emite su opinión técnica en el plazo señalado en la fracción anterior del presente articulo, se entenderá́ que su opinión no es favorable respecto a la transferencia internacional de datos personales que se pretende efectuar. Cumplimiento de las obligaciones en materia de transferencias de datos personales Artículo 118. La carga de la prueba para acreditar el cumplimiento de las obligaciones previstas en el presente Capítulo, recaerá́, en todo momento, en el responsable. En adición a este Capítulo, los Lineamientos prevén que el responsable del tratamiento de los datos personales debe proporcionar
situación que dé lugar a la decisión adoptada de conformidad con el apartado 5. 7. Toda decisión de conformidad con el apartado 5 del presente artículo se entenderá sin perjuicio de las transferencias de datos personales al tercer país, a un territorio o uno o varios sectores específicos de ese tercer país, o a la organización internacional de que se trate en virtud de los artículos 46 a 49. 8. La Comisión publicará en el Diario Oficial de la Unión Europea y en su página web una lista de terceros países, territorios y sectores específicos en un tercer país, y organizaciones internacionales respecto de los cuales haya decidido que se garantiza, o ya no, un nivel de protección adecuado. 9. Las decisiones adoptadas por la Comisión en virtud del artículo 25, apartado 6, de la Directiva 95/46/CE permanecerán en vigor hasta que sean modificadas, sustituidas o derogadas por una decisión de la Comisión adoptada de conformidad con los apartados 3 o 5 del presente artículo. Artículo 46 Transferencias mediante garantías adecuadas 1. A falta de decisión con arreglo al artículo 45, apartado 3, el responsable o el encargado del tratamiento solo podrá transmitir datos personales a un tercer país u organización internacional si hubiera ofrecido garantías adecuadas y a condición de que los interesados cuenten
127
personales, conforme a lo dispuesto en el artículo 22 de la presente Ley, o IX. Cuando la transferencia sea necesaria por razones de seguridad nacional. La actualización de algunas de las excepciones previstas en este artículo no exime al responsable de cumplir con las obligaciones previstas en el presente Capítulo que resulten aplicables.
con derechos exigibles y acciones legales efectivas. 2. Las garantías adecuadas con arreglo al apartado 1 podrán ser aportadas, sin que se requiera ninguna autorización expresa de una autoridad de control, por: a)un instrumento jurídicamente
vinculante y exigible entre las autoridades u organismos públicos;
b)normas corporativas vinculantes de conformidad con el artículo 47;
c)cláusulas tipo de protección de datos adoptadas por la Comisión de conformidad con el procedimiento de examen a que se refiere el artículo 93, apartado 2;
d)cláusulas tipo de protección de datos adoptadas por una autoridad de control y aprobadas por la Comisión con arreglo al procedimiento de examen a que se refiere en el artículo 93, apartado 2;
e)un código de conducta aprobado con arreglo al artículo 40, junto con compromisos vinculantes y exigibles del responsable o el encargado del tratamiento en el tercer país de aplicar garantías adecuadas, incluidas la relativas a los derechos de los interesados, o
f) un mecanismo de certificación aprobado con arreglo al artículo 42, junto con compromisos vinculantes y exigibles del responsable o el encargado del tratamiento en el tercer país de aplicar garantías adecuadas, incluidas la relativas a los derechos de los interesados.
3. Siempre que exista
128
autorización de la autoridad de control competente, las garantías adecuadas contempladas en el apartado 1 podrán igualmente ser aportadas, en particular, mediante: a)cláusulas contractuales entre
el responsable o elencargado y el responsable, encargado o destinatario de los datos personales en el tercer país u organización internacional, o
b)disposiciones que se incorporen en acuerdos administrativos entre las autoridades u organismos públicos que incluyan derechos efectivos y exigibles para los interesados.
4. La autoridad de control aplicará el mecanismo de coherencia a que se refiere el artículo 63 en los casos indicados en el apartado 3 del presente artículo. 5. Las autorizaciones otorgadas por un Estado miembro o una autoridad de control de conformidad con el artículo 26, apartado 2, de la Directiva 95/46/CE seguirán siendo válidas hasta que hayan sido modificadas, sustituidas o derogadas, en caso necesario, por dicha autoridad de control. Las decisiones adoptadas por la Comisión en virtud del artículo 26, apartado 4, de la Directiva 95/46/CE permanecerán en vigor hasta que sean modificadas, sustituidas o derogadas, en caso necesario, por una decisión de la Comisión adoptada de conformidad con el apartado 2 del presente artículo.
129
Artículo 47 Normas corporativas vinculantes 1. La autoridad de control competente aprobará normas corporativas vinculantes de conformidad con el mecanismo de coherencia establecido en el artículo 63, siempre que estas: a)sean jurídicamente
vinculantes y se apliquen y sean cumplidas por todos los miembros correspondientes del grupo empresarial o de la unión de empresas dedicadas a una actividad económica conjunta, incluidos sus empleados;
b)confieran expresamente a los interesados derechos exigibles en relación con el tratamiento de sus datos personales, y
c)cumplan los requisitos establecidos en el apartado 2.
2. Las normas corporativas vinculantes mencionadas en el apartado 1 especificarán, como mínimo, los siguientes elementos: a) la estructura y los datos de
contacto del grupoempresarial o de la unión deempresas dedicadas a unaactividad económicaconjunta y de cada uno desus miembros;
b) las transferencias oconjuntos de transferenciasde datos, incluidas lascategorías de datospersonales, el tipo detratamientos y sus fines, eltipo de interesadosafectados y el nombre deltercer o los terceros paísesen cuestión;
c) su carácter jurídicamentevinculante, tanto a nivel
130
interno como externo;d) la aplicación de los
principios generales enmateria de protección dedatos, en particular lalimitación de la finalidad, laminimización de los datos,los periodos deconservación limitados, lacalidad de los datos, laprotección de los datosdesde el diseño y pordefecto, la base deltratamiento, el tratamientode categorías especiales dedatos personales, lasmedidas encaminadas agarantizar la seguridad delos datos y los requisitoscon respecto a lastransferencias ulteriores aorganismos no vinculadospor las normas corporativasvinculantes;
e) los derechos de losinteresados en relación conel tratamiento y los mediospara ejercerlos, en particularel derecho a no ser objetode decisiones basadasexclusivamente en untratamiento automatizado,incluida la elaboración deperfiles de conformidad conlo dispuesto en elartículo 22, el derecho apresentar una reclamaciónante la autoridad de controlcompetente y ante lostribunales competentes delos Estados miembros deconformidad con elartículo 79, y el derecho aobtener una reparación, y,cuando proceda, unaindemnización por violaciónde las normas corporativasvinculantes;
f) la aceptación por parte delresponsable o delencargado del tratamiento
131
establecidos en el territoriode un Estado miembro de laresponsabilidad porcualquier violación de lasnormas corporativasvinculantes por parte decualquier miembro de quese trate no establecido en laUnión; el responsable o elencargado solo seráexonerado, total oparcialmente, de dicharesponsabilidad sidemuestra que el acto queoriginó los daños yperjuicios no es imputable adicho miembro;
g) la forma en que se facilita alos interesados lainformación sobre lasnormas corporativasvinculantes, en particular enlo que respecta a lasdisposiciones contempladasen las letras d), e) y f) delpresente apartado, ademásde los artículos 13 y 14;
h) las funciones de tododelegado de protección dedatos designado deconformidad con elartículo 37, o de cualquierotra persona o entidadencargada de la supervisióndel cumplimiento de lasnormas corporativasvinculantes dentro del grupoempresarial o de la unión deempresas dedicadas a unaactividad económicaconjunta, así como de lasupervisión de la formacióny de la tramitación de lasreclamaciones;
i) los procedimientos dereclamación;
j) los mecanismosestablecidos dentro delgrupo empresarial o de launión de empresasdedicadas a una actividad
132
económica conjunta paragarantizar la verificación delcumplimiento de las normascorporativas vinculantes.Dichos mecanismosincluirán auditorías deprotección de datos ymétodos para garantizaracciones correctivas paraproteger los derechos delinteresado. Los resultadosde dicha verificacióndeberían comunicarse a lapersona o entidad a que serefiere la letra h) y alconsejo de administraciónde la empresa que controlaun grupo empresarial, o dela unión de empresasdedicadas a una actividadeconómica conjunta, yponerse a disposición de laautoridad de controlcompetente que lo solicite;
k) los mecanismosestablecidos paracomunicar y registrar lasmodificaciones introducidasen las normas y paranotificar esasmodificaciones a laautoridad de control;
l) el mecanismo decooperación con laautoridad de control paragarantizar el cumplimientopor parte de cualquiermiembro del grupoempresarial o de la unión deempresas dedicadas a unaactividad económicaconjunta, en particularponiendo a disposición de laautoridad de control losresultados de lasverificaciones de lasmedidas contempladas enla letra j);
m)los mecanismos parainformar a la autoridad decontrol competente de
133
cualquier requisito jurídicode aplicación en un paístercero a un miembro delgrupo empresarial o de launión de empresasdedicadas a una actividadeconómica conjunta, queprobablemente tengan unefecto adverso sobre lasgarantías establecidas enlas normas corporativasvinculantes, y
n) la formación en protecciónde datos pertinente para elpersonal que tenga accesopermanente o habitual adatos personales.
3. La Comisión podrá especificar el formato y los procedimientos para el intercambio de información entre los responsables, los encargados y las autoridades de control en relación con las normas corporativas vinculantes a tenor de lo dispuesto en el presente artículo. Dichos actos de ejecución se adoptarán con arreglo al procedimiento de examen a que se refiere el artículo 93, apartado 2. Artículo 48 Transferencias o comunicaciones no autorizadas por el Derecho de la Unión Cualquier sentencia de un órgano jurisdiccional o decisión de una autoridad administrativa de un tercer país que exijan que un responsable o encargado del tratamiento transfiera o comunique datos personales únicamente será reconocida o ejecutable en cualquier modo si se basa en un acuerdo internacional, como un tratado de asistencia jurídica mutua,
134
vigente entre el país tercero requirente y la Unión o un Estado miembro, sin perjuicio de otros motivos para la transferencia al amparo del presente capítulo. Artículo 49 Excepciones para situaciones específicas 1. En ausencia de una decisión de adecuación de conformidad con el artículo 45, apartado 3, o de garantías adecuadas de conformidad con el artículo 46, incluidas las normas corporativas vinculantes, una transferencia o un conjunto de transferencias de datos personales a un tercer país u organización internacional únicamente se realizará si se cumple alguna de las condiciones siguientes: a)el interesado haya dado
explícitamente su consentimiento a la transferencia propuesta, tras haber sido informado de los posibles riesgos para él de dichas transferencias debido a la ausencia de una decisión de adecuación y de garantías adecuadas;
b)la transferencia sea necesaria para la ejecución de un contrato entre el interesado y el responsable del tratamiento o para la ejecución de medidas precontractuales adoptadas a solicitud del interesado;
c)la transferencia sea necesaria para la celebración o ejecución de un contrato, en interés del interesado, entre el responsable del tratamiento y otra persona física o jurídica;
135
d)la transferencia sea necesaria por razones importantes de interés público;
e)la transferencia sea necesaria para la formulación, el ejercicio o la defensa de reclamaciones;
f) la transferencia sea necesaria para proteger los intereses vitales del interesado o de otras personas, cuando el interesado esté física o jurídicamente incapacitado para dar su consentimiento;
g)la transferencia se realice desde un registro público que, con arreglo al Derecho de la Unión o de los Estados miembros, tenga por objeto facilitar información al público y esté abierto a la consulta del público en general o de cualquier persona que pueda acreditar un interés legítimo, pero sólo en la medida en que se cumplan, en cada caso particular, las condiciones que establece el Derecho de la Unión o de los Estados miembros para la consulta.
Cuando una transferencia no pueda basarse en disposiciones de los artículos 45 o 46, incluidas las disposiciones sobre normas corporativas vinculantes, y no sea aplicable ninguna de las excepciones para situaciones específicas a que se refiere el párrafo primero del presente apartado, solo se podrá llevar a cabo si no es repetitiva, afecta solo a un número limitado de interesados, es necesaria a los fines de intereses legítimos imperiosos perseguidos por el responsable del tratamiento
136
sobre los que no prevalezcan los intereses o derechos y libertades del interesado, y el responsable del tratamiento evaluó todas las circunstancias concurrentes en la transferencia de datos y, basándose en esta evaluación, ofreció garantías apropiadas con respecto a la protección de datos personales. El responsable del tratamiento informará a la autoridad de control de la transferencia. Además de la información a que hacen referencia los artículos 13 y 14, el responsable del tratamiento informará al interesado de la transferencia y de los intereses legítimos imperiosos perseguidos. 2. Una transferencia efectuada de conformidad con el apartado 1, párrafo primero, letra g), no abarcará la totalidad de los datos personales ni categorías enteras de datos personales contenidos en el registro. Si la finalidad del registro es la consulta por parte de personas que tengan un interés legítimo, la transferencia solo se efectuará a solicitud de dichas personas o si estas han de ser las destinatarias. 3. En el apartado 1, el párrafo primero, letras a), b) y c), y el párrafo segundo no serán aplicables a las actividades llevadas a cabo por las autoridades públicas en el ejercicio de sus poderes públicos. 4. El interés público contemplado en el apartado 1, párrafo primero, letra d), será reconocido por el Derecho de la Unión o de los Estados miembros que se aplique al
137
responsable del tratamiento. 5. En ausencia de una decisión por la que se constate la adecuación de la protección de los datos, el Derecho de la Unión o de los Estados miembros podrá, por razones importantes de interés público, establecer expresamente límites a la transferencia de categorías específicas de datos a un tercer país u organización internacional. Los Estados miembros notificarán a la Comisión dichas disposiciones. 6. El responsable o el encargado del tratamiento documentarán en los registros indicados en el artículo 30 la evaluación y las garantías apropiadas a que se refiere el apartado 1, párrafo segundo, del presente artículo.
138
139
2. Ejemplos de principios de contenido adicionales que deben aplicarse a tipos específicos de tratamiento
A. Categorías especiales de datos La siguiente tabla presenta el análisis de la LGPDPPSO y los LGPDPSP a partir de la regulación existente para el tratamiento de categorías especiales de datos personales (datos personales sensibles), según se indica en el WP 254 que precisa lo siguiente:
“Deben existir salvaguardas específicas cuando se trate de categorías especiales de datos. Estas categorías deben reflejar las consagradas en los artículos 9 y 10 del RGPD. Esta protección debe aplicarse mediante requisitos más exigentes para el tratamiento de datos como, por ejemplo, que el interesado dé su consentimiento explícito para el tratamiento, o mediante medidas de seguridad adicionales.”
De esta manera, se presentan las disposiciones aplicables al tratamiento de categorías especiales de datos personales (datos personales sensibles) en la LGPDPPSO y los LGPDPSP. Lo anterior, sin dejar de lado la comparación con el RGPD, el C108 y el C108+.
140
Capítulo 3 del WP 254: Principios generales en materia de protección de datos para garantizar que el nivel de protección en un tercer país, territorio o uno o varios sectores específicos de ese tercer país, u organización internacional es sustancialmente equivalente al garantizado por la legislación de la UE
B. Ejemplos de principios de contenido adicionales que deben aplicarse a tipos específicos de tratamiento 1) Categorías especiales de datos
LGPDPPSO LGPDPSP RGPD C108 C108+ Comentarios Artículo 7. Por regla general no podrán tratarse datos personales sensibles, salvo que se cuente con el consentimiento expreso de su titular o en su defecto, se trate de los casos establecidos en el artículo 22 de esta Ley. En el tratamiento de datos personales de menores de edad se deberá privilegiar el interés superior de la niña, el niño y el adolescente, en términos de las disposiciones legales aplicables. Artículo 21. El consentimiento podrá manifestarse de forma expresa o tácita. Se deberá entender que el consentimiento es expreso cuando la voluntad del titular se manifieste verbalmente, por escrito, por medios electrónicos, ópticos, signos inequívocos o por cualquier otra tecnología. El consentimiento será tácito cuando habiéndose puesto a disposición del titular el aviso de privacidad, éste no manifieste su voluntad en sentido contrario. Por regla general será válido el consentimiento tácito, salvo que la ley o las disposiciones aplicables exijan que la voluntad del titular se manifieste expresamente. Tratándose de datos personales sensibles el responsable deberá obtener el consentimiento expreso y por escrito del titular para su tratamiento, a través de su firma autógrafa, firma electrónica o cualquier
Tratamiento de datos personales sensibles Artículo 53. El responsable no podrá� llevar acabo tratamientos de datos personales que tengan como efecto la discriminación de los titulares por su origen étnico o racial, su estado de salud presente, pasado o futuro, su información genética, sus opiniones políticas, su religión o creencias filosóficas o morales y su preferencia sexual, con especial énfasis en aquellos automatizados
Artículo 9 Tratamiento de categorías especiales de datos personales 1. Quedan prohibidos el tratamiento de datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida o las orientaciones sexuales de una persona física. 2. El apartado 1 no será de aplicación cuando concurra una de las circunstancias siguientes: a) el interesado dio su
consentimiento explícito para el tratamiento de dichos datos personales con uno o más de los fines especificados, excepto cuando el Derecho de la Unión o de los Estados miembros establezca que la prohibición mencionada en el apartado 1 no puede ser levantada por el interesado;
b) el tratamiento es necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito del Derecho laboral y de la seguridad y protección social, en la medida en que así lo autorice el Derecho de la Unión de los Estados miembros o un convenio colectivo con arreglo al Derecho de los
Artículo 6. Categorías particulares de datos Los datos de carácter personal que revelen el origen racial, las opiniones políticas, las convicciones religiosas u otras convicciones, así como los datos de carácter personal relativos a la salud o a la vida sexual, no podrán tratarse automáticamente a menos que el derecho interno prevea garantías apropiadas. La misma norma regirá en el caso de datos de carácter personal referentes a condenas penales.
Artículo 6 – Categorías particulares de datos 1. El procesamiento de: datos genéticos; datos personales relacionados a delitos, procedimientos en materia penal y compurgación de la pena, y medidas de seguridad relacionadas; datos biométricos que identifiquen de manera inequívoca a una persona; datos personales que revelen el origen étnico o racial, las opiniones políticas, la afiliación a sindicatos, creencias religiosas o de otro tipo, salud o vida sexual, solo debe ser autorizado cuando existan las garantías adecuadas en la ley, de manera complementaria a las de este Convenio. 2. Estas garantías debe proteger contra los riesgos que el procesamiento de datos sensibles pueda presentar para los intereses, derechos y libertades fundamentales de la persona concernida, en particular, los riesgos de sufrir algún tipo de discriminación.
La LGPDPPSO y los LGPDPSP no usan el término “categorías especiales” sino el de datos personales sensibles. La LGPDPPSO y los LGPDPSP no definen datos biométricos ni datos genéticos. La LGPDPPSO no incluye prescripciones relativos al tratamiento de datos relativos a condenas e infracciones penales como datos sensibles.
141
mecanismo de autenticación que al efecto se establezca, salvo en los casos previstos en el artículo 22 de esta Ley.
Estados miembros que establezca garantías adecuadas del respeto de los derechos fundamentales y de los intereses del interesado;
c) el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física, en el supuesto de que el interesado no esté capacitado, física o jurídicamente, para dar su consentimiento;
d) el tratamiento es efectuado, en el ámbito de sus actividadeslegítimas y con las debidas garantías, por una fundación, una asociación o cualquier otro organismo sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, siempre que el tratamiento se refiera exclusivamente a los miembros actuales o antiguos de tales organismos o a personas que mantengan contactos regulares con ellos en relación con sus fines y siempre que los datos personales no se comuniquen fuera de ellos sin el consentimiento de los interesados;
e) el tratamiento se refiere a datos personales que el interesado ha hecho manifiestamente públicos;
f) el tratamiento es necesario para la formulación, el ejercicio o la defensa de reclamaciones o cuando los tribunales actúen en ejercicio de su función judicial;
g) el tratamiento es necesario por razones de un interés público esencial, sobre la base del Derecho de la Unión o de los Estados miembros, que debe ser proporcional al objetivo perseguido, respetar en lo esencial el derecho a la protección de datos y establecer
142
medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del interesado;
h) el tratamiento es necesario para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social, o gestión de los sistemas y servicios de asistencia sanitaria y social, sobre la base del Derecho de la Unión o de los Estados miembros o en virtud de un contrato con un profesional sanitario y sin perjuicio de las condiciones y garantías contempladas en el apartado 3;
i) el tratamiento es necesario por razones de interés público en el ámbito de la salud pública, como la protección frente a amenazas transfronterizas graves para la salud, o para garantizar elevados niveles de calidad y de seguridad de la asistencia sanitaria y de los medicamentos o productos sanitarios, sobre la base del Derecho de la Unión o de los Estados miembros que establezca medidas adecuadas y específicas para proteger los derechos y libertades del interesado, en particular el secreto profesional,
j) el tratamiento es necesario con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, de conformidad con el artículo 89, apartado 1, sobre la base del Derecho de la Unión o de los Estados miembros, que debe ser proporcional al objetivo perseguido, respetar en lo esencial el derecho a la
143
protección de datos y establecer medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del interesado.
3. Los datos personales a que se refiere el apartado 1 podrán tratarse a los fines citados en el apartado 2, letra h), cuando su tratamiento sea realizado por un profesional sujeto a la obligación de secreto profesional, o bajo su responsabilidad, de acuerdo con el Derecho de la Unión o de los Estados miembros o con las normas establecidas por los organismos nacionales competentes, o por cualquier otra persona sujeta también a la obligación de secreto de acuerdo con el Derecho de la Unión o de los Estados miembros o de las normas establecidas por los organismos nacionales competentes. 4. Los Estados miembros podrán mantener o introducir condiciones adicionales, inclusive limitaciones, con respecto al tratamiento de datos genéticos, datos biométricos o datos relativos a la salud.
144
145
B. Mercadotecnia directa La siguiente tabla presenta el análisis de la LGPDPPSO y los LGPDPSP a partir de la regulación existente para garantizar el derecho del titular a oponerse al tratamiento de sus datos para fines de mercadotecnia directa, según se indica en el WP 254 que precisa lo siguiente: “Cuando los datos sean tratados con fines de mercadotecnia directa, el interesado debe poder oponerse sin coste alguno a que sus datos sean tratados para dichos fines en cualquier momento.” De esta manera, se presentan las disposiciones aplicables al tratamiento de datos personales para fines de mercadotecnia directa en la LGPDPPSO y los LGPDPSP. Lo anterior, sin dejar de lado la comparación con el RGPD, el C108 y el C108+.
146
Capítulo 3 del WP 254: Principios generales en materia de protección de datos para garantizar que el nivel de protección en un tercer país, territorio o uno o varios sectores específicos de ese tercer país, u organización internacional es sustancialmente equivalente al garantizado por la legislación de la UE
B. Ejemplos de principios de contenido adicionales que deben aplicarse a tipos específicos de tratamiento 2) Mercadotecnia directa
LGPDPPSO LGPDPSP RGPD C108 C108+ Comentarios ---
----
Derecho de oposición 1. El interesado tendrá derecho a oponerse en cualquier momento, por motivos relacionados con su situación particular, a que datos personales que le conciernan sean objeto de un tratamiento basado en lo dispuesto en el artículo 6, apartado 1, letras e) o f), incluida la elaboración de perfiles sobre la base de dichas disposiciones. El responsable del tratamiento dejará de tratar los datos personales, salvo que acredite motivos legítimos imperiosos para el tratamiento que prevalezcan sobre los intereses, los derechos y las libertades del interesado, o para la formulación, el ejercicio o la defensa de reclamaciones. 2. Cuando el tratamiento de datos personales tenga por objeto la mercadotecnia directa, el interesado tendrá derecho a oponerse en todo momento al tratamiento de los datos personales que le conciernan, incluida la elaboración de perfiles en la medida en que esté relacionada con la citada mercadotecnia. 3. Cuando el interesado se oponga al tratamiento con fines de mercadotecnia directa, los datos personales dejarán de ser tratados para dichos fines. 4. A más tardar en el momento de la primera comunicación con el interesado, el derecho indicado en los apartados 1 y 2 será mencionado explícitamente al interesado y será presentado claramente y al margen de cualquier otra información. 5. En el contexto de la utilización de servicios de la sociedad de la información, y no obstante lo dispuesto en la Directiva 2002/58/CE, el interesado podrá ejercer su derecho a oponerse por medios automatizados que apliquen especificaciones técnicas. 6. Cuando los datos personales se traten con fines de investigación científica o histórica o fines estadísticos de conformidad con el artículo 89, apartado 1, el interesado tendrá derecho, por motivos relacionados con su situación particular, a oponerse al tratamiento de datos personales que le conciernan, salvo que sea necesario para el cumplimiento de una misión realizada por razones de interés público.
--- Artículo 9 – Derechos del titular de los datos 1. Toda persona debe tener derecho a: a. no ser sujeto a una decisión que le afecte de manera significativa tomada únicamente con base en un proceso automatizado de datos, sin tomar su postura en consideración; b. obtener, mediante solicitud, a intervalos regulares y sin excesiva demora o costo, confirmación del procesamiento de sus datos personales, la comunicación en forma inteligible de los datos procesados, toda la información disponible sobre su origen, sobre el periodo de preservación, así como cualquier otra información que el responsable deberá establecer en aras de asegurar la transparencia del procesamiento, en concordancia con el Artículo 8, párrafo 1; c. obtener, bajo solicitud, conocimiento del razonamiento que subyace al tratamiento de sus datos cuando los resultados de dicho procesamiento le sean aplicados; d. objetar en cualquier momento, con base en sus circunstancias, al procesamiento de sus datos personales, a menos de que responsable demuestre contar con bases legítimas para el procesamiento tales que superen sus intereses, derechos y libertades fundamentales; e. obtener, bajo solicitud, sin costo y sin demora excesiva, la rectificación o supresión, según sea el caso, de sus datos si éstos son o han sido procesados de manera contraria a las disposiciones de este Convenio; f. tener un recurso en los términos del Artículo 12 cuando los derechos establecidos en este Convenio le han sido violados; g. a beneficiarse, sin importar su nacionalidad o residencia, de la asistencia de una Autoridad Supervisora en los términos establecidos en el Artículo 15, para el ejercicio de los derechos reconocidos en este Convenio. 2. El párrafo 1.a no aplicará si la decisión es autorizada por una ley a la que el Responsable está sujeto y que también establece medidas apropiadas para garantizar los derechos, libertades e intereses legítimos de las personas concernida.
Este derecho no está previsto de forma específica en la normatividad mexicana en materia de protección de datos personales.
147
C. Decisiones automatizadas y elaboración de perfiles La siguiente tabla presenta el análisis de la LGPDPPSO y los LGPDPSP para determinar la existencia de disposiciones que regulen decisiones basadas en tratamientos automatizados de datos personales, incluyendo la elaboración de perfiles, según se indica en el WP 254, que precisa lo siguiente: “Las decisiones basadas únicamente en el tratamiento automatizado (decisiones individuales automatizadas), incluida la elaboración de perfiles, que producen efectos legales o que afectan considerablemente al interesado, solo se pueden adoptar en determinadas condiciones establecidas en el marco jurídico del tercer país. En el marco europeo, estas condiciones incluyen, por ejemplo, la necesidad de obtener el consentimiento explícito del interesado o la necesidad de dicha decisión para la celebración de un contrato. Si la decisión no cumple las condiciones previstas por el marco jurídico del tercer país, el interesado tendrá derecho a no estar sujeto a ella. En cualquier caso, la legislación del tercer país debe ofrecer las garantías necesarias, incluido el derecho a ser informado sobre las razones específicas que sustentan la decisión y la lógica aplicada, a corregir información inexacta o incompleta, y a impugnar la decisión cuando esta haya sido adoptada sobre unos hechos incorrectos.” De esta manera, se presentan las disposiciones aplicables a la toma de decisiones basadas en tratamientos automatizados de datos personales, incluyendo la elaboración de perfiles en la LGPDPPSO y los LGPDPSP. Lo anterior, sin dejar de lado la comparación con el RGPD, el C108 y el C108+.
148
Capítulo 3 del WP 254: Principios generales en materia de protección de datos para garantizar que el nivel de protección en un tercer país, territorio o uno o varios sectores específicos de ese tercer país, u organización internacional es sustancialmente equivalente al garantizado por la legislación de la UE
B. Ejemplos de principios de contenido adicionales que deben aplicarse a tipos específicos de tratamiento 3) Decisiones automatizadas y elaboración de perfiles
LGPDPPSO LGPDPSP RGPD C108 C108+ Comentarios Artículo 47. El titular podrá oponerse al tratamiento de sus datos personales o exigir que se cese en el mismo, cuando: I. Aun siendo lícito el tratamiento, el mismo debe cesar para evitar que su persistencia cause un daño o perjuicio al titular, y II. Sus datos personales sean objeto de un tratamiento automatizado, el cual le produzca efectos jurídicos no deseados o afecte de manera significativa sus intereses, derechos o libertades, y estén destinados a evaluar, sin intervención humana, determinados aspectos personales del mismo o analizar o predecir, en particular, su rendimiento profesional, situación económica, estado de salud, preferencias sexuales, fiabilidad o comportamiento.
---- Decisiones individuales automatizadas, incluida la elaboración de perfiles 1. Todo interesado tendrá derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos en él o le afecte significativamente de modo similar. 2. El apartado 1 no se aplicará si la decisión: a)es necesaria para la celebración o la ejecución de un contrato
entre el interesado y un responsable del tratamiento; b)está autorizada por el Derecho de la Unión o de los Estados
miembros que se aplique al responsable del tratamiento y que establezca asimismo medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado, o
c) se basa en el consentimiento explícito del interesado. 3. En los casos a que se refiere el apartado 2, letras a) y c), el responsable del tratamiento adoptará las medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado, como mínimo el derecho a obtener intervención humana por parte del responsable, a expresar su punto de vista y a impugnar la decisión. 4. Las decisiones a que se refiere el apartado 2 no se basarán en las categorías especiales de datos personales contempladas en el artículo 9, apartado 1, salvo que se aplique el artículo 9, apartado 2, letra a) o g), y se hayan tomado medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado.
---- ---- Puede identificarse una equivalencia legal con el derecho de oposición previsto en la fracción II del artículo 47 de la LGPDPPSO con las previsiones del RGPD.
149
3. Mecanismos relativos al procedimiento y la ejecución
A. Autoridades de control independientes La siguiente tabla presenta el análisis de la LGPDPPSO y demás normatividad aplicable para identificar las disposiciones que regulan la independencia de la autoridad de control en México, según se indica en el WP 254 que precisa lo siguiente:
“Deben existir una o más autoridades de control independientes, encargadas de supervisar, garantizar y hacer cumplir las disposiciones de protección de datos y privacidad en el tercer país. La autoridad de control deberá actuar con completa independencia e imparcialidad al desempeñar sus obligaciones y ejercer sus poderes y, al hacerlo, no solicitará ni aceptará instrucciones. En dicho contexto, la autoridad de control dispondrá de todos los poderes y misiones necesarios y disponibles para garantizar el cumplimiento de los derechos de protección de datos y fomentar la sensibilización. Asimismo, se debe tener en cuenta el personal y presupuesto de la autoridad de control. Esta también podrá llevar a cabo investigaciones por iniciativa propia.”
De esta manera, se presentan las disposiciones aplicables a la autoridad de control en México partiendo de la CPEUM, la LGPDPPSO y demás normatividad aplicable. Lo anterior, sin dejar de lado la comparación con el RGPD, el C108 y el C108+.
150
Capítulo 3 del WP 254: Principios generales en materia de protección de datos para garantizar que el nivel de protección en un tercer país, territorio o uno o varios sectores específicos de ese tercer país, u organización internacional es sustancialmente equivalente al garantizado por la legislación de la UE
C. Medios relativos al procedimiento y la ejecución 1. Autoridades de control competentes independientes
CPEUM LGPDPPSO EO-INAI RGPD C108 C108+ Comentarios Artículo 6o. La manifestación de las ideas no será objeto de ninguna inquisición judicial o administrativa, sino en el caso de que ataque a la moral, la vida privada o los derechos de terceros, provoque algún delito, o perturbe el orden público; el derecho de réplica será ejercido en los términos dispuestos por la ley. El derecho a la información será garantizado por el Estado. Toda persona tiene derecho al libre acceso a información plural y oportuna, así como a buscar, recibir y difundir información e ideas de toda índole por cualquier medio de expresión. El Estado garantizará el derecho de acceso a las tecnologías de la información y comunicación, así como a los servicios de radiodifusión y telecomunicaciones, incluido el de banda ancha e internet. Para tales efectos, el Estado establecerá condiciones de competencia efectiva en la prestación de dichos servicios. Para efectos de lo dispuesto en el presente artículo se observará lo siguiente: A. Para el ejercicio del derecho de acceso a la
Artículo 89. Además de las facultades que le son conferidas en la Ley General de Transparencia y Acceso a la Información Pública, la Ley Federal de Transparencia y Acceso a la Información Pública y demás normatividad que le resulte aplicable, el Instituto tendrá las siguientes atribuciones: I. Garantizar el ejercicio del derecho a la protección de datos personales en posesión de sujetos obligados; II. Interpretar la presente Ley en el ámbito administrativo; III. Conocer y resolver los recursos de revisión que interpongan los titulares, en términos de lo dispuesto en la presente Ley y demás disposiciones que resulten aplicables en la materia; IV. Conocer y resolver, de oficio o a petición fundada por los organismos garantes, los recursos de revisión que por su interés y trascendencia así lo ameriten, en términos de lo dispuesto en la presente Ley y demás disposiciones que resulten aplicables en la materia; V.Conocer y resolver los recursos de inconformidad que interpongan los titulares, en contra de las resoluciones emitidas por los organismos
Artículo 2. El Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales es un organismo autónomo, especializado, imparcial, colegiado, con personalidad jurídica y patrimonio propio, con plena autonomía técnica, de gestión, capacidad para decidir sobre el ejercicio de su presupuesto y determinar su organización interna, responsable de garantizar el cumplimiento de los derechos de acceso a la información pública y de protección de datos personales, en los términos establecidos en la Constitución Política de los Estados Unidos Mexicanos y las leyes respectivas, con domicilio legal en la Ciudad de México. CAPÍTULO OCTAVO De la Secretaría de Protección de Datos Personales Artículo 25. La Secretaría de Protección de Datos Personales tendrá las siguientes funciones: I. Auxiliar al Comisionado Presidente en los asuntos que en general les competan conforme a sus funciones; II. Coordinar y supervisar la elaboración, difusión e implementación de políticas, modelos y estrategias, en materia de
CAPÍTULO VI Autoridades de control independientes Sección 1 Independencia Artículo 51 Autoridad de control 1. Cada Estado miembro establecerá que sea responsabilidad de una o varias autoridades públicas independientes (en adelante «autoridad de control») supervisar la aplicación del presente Reglamento, con el fin de proteger los derechos y las libertades fundamentales de las personas físicas en lo que respecta al tratamiento y de facilitar la libre circulación de datos personales en la Unión. 2. Cada autoridad de control contribuirá a la aplicación coherente del presente Reglamento en toda la Unión. A tal fin, las autoridades de control cooperarán entre sí y con la Comisión con arreglo a lo dispuesto en el capítulo VII. 3. Cuando haya varias autoridades de control en un Estado miembro, este designará la autoridad de control que representará a dichas autoridades en el Comité, y establecerá el mecanismo que garantice el cumplimiento por las
Capitulo IV – Ayuda mutua�Artículo 13. Cooperación entre las Partes 1. Las Partes se obligan a concederse mutuamente asistencia para el cumplimiento del presente Convenio. 2. A tal fin, a. cada Parte designará a una o más autoridades cuya denominación y dirección comunicará al Secretario general del Consejo de Europa; b. cada Parte que haya designado a varias autoridades indicará en la comunicación a que se refiere el apartado anterior la competencia de cada una de dichas autoridades. 3. Una autoridad designada por una Parte, a petición de una autoridad designada por otra Parte: a. Facilitará informaciones acerca de su derecho y su práctica administrativa en materia de protección de datos; b. tomará toda clase de medidas apropiadas, con arreglo a su derecho interno y solamente a los efectos de la protección de la vida privada, para facilitar informaciones fácticas relativas a un
Capítulo IV – Autoridades de Supervisión Artículo 15 – Autoridades supervisoras 1. Cada Parte debe establecer una o más autoridades responsables del cumplimiento de las disposiciones de este Convenio. 2. Para esta finalidad, dichas autoridades: a. deben contar con poderes de investigación e intervención; b. debe llevar a cabo las funciones relacionadas a las transferencias de datos establecidas en el Artículo 14, de manera particular, la aprobación de garantías estandarizadas; c. debe tener poderes para emitir decisiones respecto de las violaciones de las disposiciones de Convenio y podrá, en particular, imponer sanciones administrativas; d. debe tener el poder de entablar procedimientos legales o presentar ante las autoridades judiciales competentes las violaciones a las disposiciones de ese Convenio; e. debe promover: i. el conocimiento del público de sus funciones y facultades, así como de sus actividades; ii. el conocimiento público
La composición, funciones y atribuciones del INAI como autoridad garante federal en materia de protección de datos permiten garantizar la efectiva tutela del derecho a la protección de datos personales. Al nivel local los organismos garantes locales cumplen con las funciones de protección de datos personales como autoridades independientes.
151
información, la Federación y las entidades federativas, en el ámbito de sus respectivas competencias, se regirán por los siguientes principios y bases: …. VIII. La Federación contará con un organismo autónomo, especializado, imparcial, colegiado, con personalidad jurídica y patrimonio propio, con plena autonomía técnica, de gestión, capacidad para decidir sobre el ejercicio de su presupuesto y determinar su organización interna, responsable de garantizar el cumplimiento del derecho de acceso a la información pública y a la protección de datos personales en posesión de los sujetos obligados en los términos que establezca la ley. El organismo autónomo previsto en esta fracción se regirá por la ley en materia de transparencia y acceso a la información pública y protección de datos personales en posesión de sujetos obligados, en los términos que establezca la ley general que emita el Congreso de la Unión para establecer las bases, principios generales y procedimientos del ejercicio de este derecho. En su funcionamiento se regirá por los principios de certeza, legalidad, independencia, imparcialidad, eficacia, objetividad,
garantes, de conformidad con lo dispuesto en la presente Ley y demás disposiciones que resulten aplicables en la materia; VI. Conocer, sustanciar y resolver los procedimientos de verificación; VII. Establecer y ejecutar las medidas de apremio previstas en términos de lo dispuesto por la presente Ley y demás disposiciones que resulten aplicables en la materia; VIII. Denunciar ante las autoridades competentes las presuntas infracciones a la presente Ley y, en su caso, aportar las pruebas con las que cuente; IX. Coordinarse con las autoridades competentes para que las solicitudes para el ejercicio de los derechos ARCO y los recursos de revisión que se presenten en lengua indígena, sean atendidos en la misma lengua; X. Garantizar, en el ámbito de su respectiva competencia, condiciones de accesibilidad para que los titulares que pertenecen a grupos vulnerables puedan ejercer, en igualdad de circunstancias, su derecho a la protección de datos personales; XI. Elaborar y publicar estudios e investigaciones para difundir y ampliar el conocimiento sobre la materia de la presente Ley; XII. Proporcionar apoyo técnico a los responsables para el cumplimiento de las
protección de datos personales, en el marco de la normativa aplicable; así como de las actividades, planes, programas y acciones que desarrollen las Direcciones Generales a su cargo; III. Coordinar y supervisar la elaboración de opiniones técnicas para atender las consultas que formulen tanto los sujetos obligados como los particulares en materia de protección de datos personales; IV. Proponer al Pleno la interpretación de la Ley General, la Ley de Protección de Datos Personales y de la Ley Federal, en materia de protección de datos personales; V. Proponer al Pleno, en conjunto con la Secretaría competente, las políticas, estrategias y criterios para impulsar el derecho a la protección de datos personales entre los sujetos obligados del sector público y sujetos regulados del sector privado, así como entre los titulares de los datos personales, y coadyuvar en las acciones de capacitación, promoción, difusión, educación cívica y cultura que tengan esta finalidad; así como colaborar con las demás áreas del Instituto para la implementación de las herramientas tecnológicas que correspondan, en el ámbito de su competencia; VI. Proporcionar a los Comisionados el apoyo técnico necesario durante la
demás autoridades de las normas relativas al mecanismo de coherencia a que se refiere el artículo 63. 4. Cada Estado miembro notificará a la Comisión las disposiciones legales que adopte de conformidad con el presente capítulo a más tardar el 25 de mayo de 2018 y, sin dilación, cualquier modificación posterior que afecte a dichas disposiciones. Artículo 52 Independencia 1. Cada autoridad de control actuará con total independencia en el desempeño de sus funciones y en el ejercicio de sus poderes de conformidad con el presente Reglamento. 2. El miembro o los miembros de cada autoridad de control serán ajenos, en el desempeño de sus funciones y en el ejercicio de sus poderes de conformidad con el presente Reglamento, a toda influencia externa, ya sea directa o indirecta, y no solicitarán ni admitirán ninguna instrucción. 3. El miembro o los miembros de cada autoridad de control se abstendrán de cualquier acción que sea incompatible con sus funciones y no participarán, mientras dure su mandato, en ninguna actividad profesional que sea incompatible,
tratamiento automatizado determinado efectuado en su territorio con excepción, sin embargo, de los datos de carácter personal que sean objeto de dicho tratamiento.
de los derechos en materia de datos personales, así como su ejercicio; iii. el conocimiento de los Responsables y de los procesadores de datos de sus responsabilidades bajo este Convenio; deberá darse atención específica a la protección de datos personales de niños y otros individuos vulnerables. 3. Las Autoridades Supervisoras competentes deberán ser consultadas en cualquier propuesta de medida legislativa o administrativa que se establezca para el procesamiento de datos personales. 4. Cada Autoridad Supervisora competente debe tratar las solicitudes y quejas presentadas por las personas concernidas relacionadas con sus derechos a la protección de datos personales y debe mantenerlas informadas de su progreso. 5. Las Autoridades Supervisoras deben actuar con completa independencia e imparcialidad en el desempeño de sus deberes y el ejercicio de sus poderes; al hacerlo, no deben buscar ni aceptar instrucciones. 6. Cada Parte debe garantizar que las Autoridades Supervisoras son establecidas con los recursos necesarios para que el desempeño de sus funciones y el ejercicio de sus funciones sea efectivo.
152
profesionalismo, transparencia y máxima publicidad. El organismo garante tiene competencia para conocer de los asuntos relacionados con el acceso a la información pública y la protección de datos personales de cualquier autoridad, entidad, órgano u organismo que forme parte de alguno de los Poderes Legislativo, Ejecutivo y Judicial, órganos autónomos, partidos políticos, fideicomisos y fondos públicos, así como de cualquier persona física, moral o sindicatos que reciba y ejerza recursos públicos o realice actos de autoridad en el ámbito federal; con excepción de aquellos asuntos jurisdiccionales que correspondan a la Suprema Corte de Justicia de la Nación, en cuyo caso resolverá un comité integrado por tres ministros. También conocerá de los recursos que interpongan los particulares respecto de las resoluciones de los organismos autónomos especializados de las entidades federativas que determinen la reserva, confidencialidad, inexistencia o negativa de la información, en los términos que establezca la ley. Párrafo reformado DOF 29-01-2016 El organismo garante federal, de oficio o a petición fundada del organismo garante equivalente de las entidades
obligaciones establecidas en la presente Ley; XIII. Divulgar y emitir recomendaciones, estándares y mejores prácticas en las materias reguladas por la presente Ley; XIV. Vigilar y verificar el cumplimiento de las disposiciones contenidas en la presente Ley; XV. Administrar el registro de esquemas de mejores prácticas a que se refiere la presente Ley y emitir sus reglas de operación; XVI. Emitir, en su caso, las recomendaciones no vinculantes correspondientes a la Evaluación de impacto en la protección de datos personales que le sean presentadas; XVII. Emitir disposiciones generales para el desarrollo del procedimiento de verificación; XVIII. Realizar las evaluaciones correspondientes a los esquemas de mejores prácticas que les sean notificados, a fin de resolver sobre la procedencia de su reconocimiento o validación e inscripción en el registro de esquemas de mejores prácticas, así como promover la adopción de los mismos; XIX. Emitir, en el ámbito de su competencia, las disposiciones administrativas de carácter general para el debido cumplimiento de los principios, deberes y obligaciones que establece la presente Ley, así como para
sustanciación de los procedimientos previstos en la Ley Federal, la Ley de Protección de Datos Personales y demás normatividad aplicable en materia de protección de datos personales; VII. Coordinar y determinar la realización de estudios e investigaciones en materia de protección y seguridad de datos personales, que propicien la correcta aplicación de la normativa en la materia, incluida la información y elementos estadísticos que reflejen el estado de las funciones del Instituto, en el ámbito de su competencia; VIII. Colaborar con la Secretaría Ejecutiva en la supervisión de las estrategias de mediano y largo plazos del Instituto en el ámbito internacional, respecto a los planes y programas en materia de protección de datos personales; IX. Coordinar y supervisar la elaboración y actualización de los instrumentos jurídicos en materia de protección de datos personales; X. Determinar la elaboración de estudios jurídicos, opiniones de proyectos de leyes, reglamentos y demás disposiciones jurídicas en materia de protección de datos personales; XI. Coordinar la orientación y asesoría al público de conformidad con la normatividad aplicable en
remunerada o no. 4. Cada Estado miembro garantizará que cada autoridad de control disponga en todo momento de los recursos humanos, técnicos y financieros, así como de los locales y las infraestructuras necesarios para el cumplimiento efectivo de sus funciones y el ejercicio de sus poderes, incluidos aquellos que haya de ejercer en el marco de la asistencia mutua, la cooperación y la participación en el Comité. 5. Cada Estado miembro garantizará que cada autoridad de control elija y disponga de su propio personal, que estará sujeto a la autoridad exclusiva del miembro o miembros de la autoridad de control interesada. 6. Cada Estado miembro garantizará que cada autoridad de control esté sujeta a un control financiero que no afecte a su independencia y que disponga de un presupuesto anual, público e independiente, que podrá formar parte del presupuesto general del Estado o de otro ámbito nacional. Artículo 53
7. Cada Autoridad Supervisora debe preparar y publicar un reporte periódico de sus actividades. 8. Los Miembros y el personal de las Autoridades Supervisoras deberán estar sujetos a las obligaciones de confidencialidad respecto de la información confidencial a la que tienen acceso, o han tenido acceso, en el desempeño de sus funciones y el ejercicio de sus poderes. 9. Las decisiones de las Autoridades Supervisoras podrán ser sujetas a la revisión judicial. 10. Las Autoridades Supervisoras no deberán ser competentes respecto del procesamiento llevado a cabo por organismos con facultades jurisdiccionales.
153
federativas, podrá conocer de los recursos de revisión que por su interés y trascendencia así lo ameriten. Párrafo reformado DOF 29-01-2016 La ley establecerá aquella información que se considere reservada o confidencial. Las resoluciones del organismo garante son vinculatorias, definitivas e inatacables para los sujetos obligados. El Consejero Jurídico del Gobierno podrá interponer recurso de revisión ante la Suprema Corte de Justicia de la Nación en los términos que establezca la ley, sólo en el caso que dichas resoluciones puedan poner en peligro la seguridad nacional conforme a la ley de la materia. El organismo garante se integra por siete comisionados. Para su nombramiento, la Cámara de Senadores, previa realización de una amplia consulta a la sociedad, a propuesta de los grupos parlamentarios, con el voto de las dos terceras partes de los miembros presentes, nombrará al comisionado que deba cubrir la vacante, siguiendo el proceso establecido en la ley. El nombramiento podrá ser objetado por el Presidente de la República en un plazo de diez días hábiles. Si el Presidente de la República no objetara el nombramiento
el ejercicio de los derechos de los titulares; XX. Celebrar convenios con los responsables para desarrollar programas que tengan por objeto homologar tratamientos de datos personales en sectores específicos, elevar la protección de los datos personales y realizar cualquier mejora a las prácticas en la materia; XXI. Definir y desarrollar el sistema de certificación en materia de protección de datos personales, de conformidad con lo que se establezca en los parámetros a que se refiere la presente Ley; XXII. Presidir el Sistema Nacional a que se refiere el artículo 10 de la presente Ley; XXIII. Celebrar convenios con los organismos garantes que coadyuven al cumplimiento de los objetivos previstos en la presente Ley y demás disposiciones que resulten aplicables en la materia; XXIV. Llevar a cabo acciones y actividades que promuevan el conocimiento del derecho a la protección de datos personales, así como de sus prerrogativas; XXV. Diseñar y aplicar indicadores y criterios para evaluar el desempeño de los responsables respecto al cumplimiento de la presente Ley y demás disposiciones que resulten aplicables en la materia;
materia de datos personales; XII. Asesorar en la elaboración y ejecución de planes y programas de los sujetos obligados del sector público, en materia de protección de datos personales; XIII. Promover, coordinar y supervisar la elaboración de evaluaciones de impacto a la protección de datos personales; XIV. Coordinar el diseño, operación, vigilancia y mejora del sistema de autorregulación en materia de protección de datos personales; así como promoverlo y definir incentivos para la autorregulación; XV. Dirigir el Registro de Esquemas de Autorregulación Vinculante, determinar procedente la difusión de información en el mismo, y establecer las características y reglas de uso de distintivos oficiales que denoten el reconocimiento o validación de los esquemas de autorregulación vinculante en materia de protección de datos personales; XVI. Conocer, sustanciar, resolver y realizar todos los trámites y procedimientos previstos en los Parámetros de Autorregulación en materia de Protección de Datos Personales, las Reglas de Operación del Registro de Autorregulación Vinculante y demás normativa en materia de autorregulación que otorgue atribuciones al Instituto;
154
dentro de dicho plazo, ocupará el cargo de comisionado la persona nombrada por el Senado de la República. En caso de que el Presidente de la República objetara el nombramiento, la Cámara de Senadores nombrará una nueva propuesta, en los términos del párrafo anterior, pero con una votación de las tres quintas partes de los miembros presentes. Si este segundo nombramiento fuera objetado, la Cámara de Senadores, en los términos del párrafo anterior, con la votación de las tres quintas partes de los miembros presentes, designará al comisionado que ocupará la vacante. Los comisionados durarán en su encargo siete años y deberán cumplir con los requisitos previstos en las fracciones I, II, IV, V y VI del artículo 95 de esta Constitución, no podrán tener otro empleo, cargo o comisión, con excepción de los no remunerados en instituciones docentes, científicas o de beneficencia, sólo podrán ser removidos de su cargo en los términos del Título Cuarto de esta Constitución y serán sujetos de juicio político. En la conformación del organismo garante se procurará la equidad de género.
XXVI. Promover la capacitación y actualización en materia de protección de datos personales entre los responsables; XXVII. Emitir lineamientos generales para el debido tratamiento de los datos personales; XXVIII. Emitir lineamientos para homologar el ejercicio de los derechos ARCO; XXIX. Emitir criterios generales de interpretación para garantizar el derecho a la protección de datos personales; XXX. Cooperar con otras autoridades de supervisión y organismos nacionales e internacionales, a efecto de coadyuvar en materia de protección de datos personales, de conformidad con las disposiciones previstas en la presente Ley y demás normativa aplicable; XXXI. Promover e impulsar el ejercicio y tutela del derecho a la protección de datos personales a través de la implementación y administración de la Plataforma Nacional, a que se refiere la Ley General de Transparencia y Acceso a la Información Pública y demás normativa aplicable; XXXII. Interponer, cuando así lo aprueben la mayoría de sus Comisionados, acciones de inconstitucionalidad en contra de leyes de carácter federal o estatal, así como de los Tratados Internacionales celebrados por el Ejecutivo Federal y aprobados por el Senado de la República, que
XVII. Coordinar en la vigilancia del sistema de certificación en materia de protección de datos personales y ejercer las atribuciones que otorga al Instituto el artículo 59 de los Parámetros de Autorregulación en materia de Protección de Datos Personales; o bien, instruir a la Dirección General de Prevención y Autorregulación sobre el ejercicio de dichas funciones; XVIII. Conocer, tramitar y resolver sobre las solicitudes de autorización para la implementación de medidas compensatorias, así como aquéllas relativas al uso de hipervínculos o hiperenlaces en una página de Internet del Instituto para difundir avisos de privacidad a través de medidas compensatorias; XIX. Coordinar las acciones para el desarrollo de criterios, estándares y mejores prácticas en materia de protección y seguridad de los datos personales, así como de recomendaciones, modelos y herramientas que faciliten el cumplimiento de las obligaciones previstas en la normatividad que regule la protección de datos personales, entre ellas las medidas de seguridad para la protección de los datos personales, para el sector público y privado; XX. Acordar conjuntamente con el Director General de Investigación y Verificación, el inicio del procedimiento de verificación
155
El comisionado presidente será designado por los propios comisionados, mediante voto secreto, por un periodo de tres años, con posibilidad de ser reelecto por un periodo igual; estará obligado a rendir un informe anual ante el Senado, en la fecha y en los términos que disponga la ley. El organismo garante tendrá un Consejo Consultivo, integrado por diez consejeros, que serán elegidos por el voto de las dos terceras partes de los miembros presentes de la Cámara de Senadores. La ley determinará los procedimientos a seguir para la presentación de las propuestas por la propia Cámara. Anualmente serán sustituidos los dos consejeros de mayor antigüedad en el cargo, salvo que fuesen propuestos y ratificados para un segundo periodo. La ley establecerá las medidas de apremio que podrá imponer el organismo garante para asegurar el cumplimiento de sus decisiones. Toda autoridad y servidor público estará obligado a coadyuvar con el organismo garante y sus integrantes para el buen desempeño de sus funciones. El organismo garante coordinará sus acciones con la Auditoría Superior de la
vulneren el derecho a la protección de datos personales; XXXIII. Promover, cuando así lo aprueben la mayoría de sus Comisionados, las controversias constitucionales en términos del artículo 105, fracción I, inciso l), de la Constitución Política de los Estados Unidos Mexicanos; XXXIV. Cooperar con otras autoridades nacionales o internacionales para combatir conductas relacionadas con el indebido tratamiento de datos personales; XXXV. Diseñar, vigilar y, en su caso, operar el sistema de buenas prácticas en materia de protección de datos personales, así como el sistema de certificación en la materia, a través de normativa que el Instituto emita para tales fines; XXXVI. Celebrar convenios con los organismos garantes y responsables que coadyuven al cumplimiento de los objetivos previstos en la presente Ley y demás disposiciones que resulten aplicables en la materia, y XXXVII. Las demás que le confiera la presente Ley y demás ordenamientos aplicables. Capítulo II De los Organismos Garantes Artículo 90. En la integración, procedimiento de designación y funcionamiento de los organismos garantes se estará a lo dispuesto por la Ley General de
de oficio o a petición de parte, así como la ampliación del periodo de resolución definitiva del procedimiento de verificación hasta por un plazo de ciento ochenta días a que se refiere el artículo 132 del Reglamento de la Ley de Protección de Datos Personales, sin perjuicio de su ejercicio directo por el Pleno del Instituto; XXI. Ejecutar las instrucciones que dicte el Pleno del Instituto respecto del procedimiento de verificación previsto en la Ley de Protección de Datos Personales; emitir las órdenes de verificación y suscribir los oficios de comisión para la sustanciación del procedimiento de verificación conforme al ordenamiento legal citado y a las demás disposiciones aplicables; así como expedir las credenciales de verificador a los servidores públicos que ejerzan tales funciones; XXII. Coordinar y supervisar los procedimientos de protección de derechos, verificación e imposición de sanciones, en términos de lo previsto por la normatividad aplicable; XXIII. Acordar conjuntamente con el Director General de Protección de Derechos y Sanción, la ampliación del plazo de resolución definitiva de los procedimientos de protección de derechos y de imposición de sanciones en el sector privado, en términos de la Ley de Protección de Datos
156
Federación, con la entidad especializada en materia de archivos y con el organismo encargado de regular la captación, procesamiento y publicación de la información estadística y geográfica, así como con los organismos garantes de las entidades federativas, con el objeto de fortalecer la rendición de cuentas del Estado Mexicano.
Transparencia y Acceso a la Información Pública y demás normativa aplicable. Artículo 91. Para los efectos de la presente Ley y sin perjuicio de otras atribuciones que les sean conferidas en la normatividad que les resulte aplicable, los organismos garantes tendrán las siguientes atribuciones: I. Conocer, sustanciar y resolver, en el ámbito de sus respectivas competencias, de los recursos de revisión interpuestos por los titulares, en términos de lo dispuesto en la presente Ley y demás disposiciones que resulten aplicables en la materia; II. Presentar petición fundada al Instituto, para que conozca de los recursos de revisión que por su interés y trascendencia así lo ameriten, en términos de lo previsto en la presente Ley y demás disposiciones que resulten aplicables en la materia; III. Imponer las medidas de apremio para asegurar el cumplimiento de sus resoluciones; …
Personales sin perjuicio de su ejercicio directo por el Pleno de este Instituto; XXIV. Resolver conjuntamente con el Director General de Protección de Derechos y Sanción, sobre el desechamiento y sobreseimiento de las solicitudes de protección de derechos del sector privado, en términos de lo dispuesto por la Ley de Protección de Datos Personales, sin perjuicio de su ejercicio directo por el Pleno de este Instituto; XXV. Coordinar la elaboración de los anteproyectos de criterios en materia de protección de datos personales, y XXVI. Las demás que le confieran las disposiciones legales y administrativas aplicables, así como las que le encomiende el Pleno y el Comisionado Presidente. Para el ejercicio de sus funciones, la Secretaría de Protección de Datos Personales se auxiliará de las Direcciones Generales de Investigación y Verificación; de Normatividad y Consulta; de Prevención y Autorregulación; y de Protección de Derechos y Sanción; así como de una Dirección de Coordinación y Seguimiento.
157
B. El sistema de protección de datos debe garantizar un buen nivel de cumplimiento
La siguiente tabla presenta el análisis de la LGPDPPSO y demás normatividad aplicable para identificar las disposiciones que regulan la independencia de la autoridad de control en México, según se indica en el WP 254 que precisa lo siguiente:
El sistema del tercer país debe garantizar un elevado grado de responsabilidad proactiva y sensibilización entre los responsables del tratamiento y aquellos que llevan a cabo el tratamiento de datos personales en su nombre respecto a sus obligaciones, tareas y responsabilidades, y entre los interesados respecto a sus derechos y los medios para ejercerlos. La existencia de sanciones efectivas y disuasorias puede desempeñar un papel importante a la hora de asegurar el respeto de las normas, como, por supuesto, lo pueden hacer los sistemas de verificación directa por parte de autoridades, auditores y responsables independientes de la protección de datos.
De esta manera, se presentan las disposiciones aplicables a los siguientes supuestos concretos:
1. Mecanismos de sensibilización 2. Procedimientos 3. Sanciones
Lo anterior partiendo de la LGPDPPSO y demás normatividad aplicable sin dejar de lado la comparación con el RGPD, el C108 y el C108+.
158
Capítulo 3 del WP 254: Principios generales en materia de protección de datos para garantizar que el nivel de protección en un tercer país, territorio o uno o varios sectores específicos de ese tercer país, u
organización internacional es sustancialmente equivalente al garantizado por la legislación de la UE C. Medios relativos al procedimiento y la ejecución
2.A. Mecanismos de sensibilización LGPDPPSO LGPDPSP RGPD C108 C108+ Comentarios
Capítulo II Del Sistema Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales Artículo 10. El Sistema Nacional se conformará de acuerdo con lo establecido en la Ley General de Transparencia y Acceso a la Información Pública. En materia de protección de datos personales, dicho Sistema tiene como función coordinar y evaluar las acciones relativas a la política pública transversal de protección de datos personales, así como establecer e implementar criterios y lineamientos en la materia, de conformidad con lo señalado en la presente Ley, la Ley General de Transparencia y Acceso a la Información Pública y demás normatividad aplicable. Artículo 11. El Sistema Nacional contribuirá a mantener la plena vigencia del derecho a la protección de datos personales a nivel nacional, en los tres órdenes de gobierno. Este esfuerzo conjunto e integral, aportará a la implementación de políticas públicas con estricto apego a la normatividad aplicable en la materia; el ejercicio pleno y respeto del derecho a la protección de datos personales y la difusión de una cultura de este derecho y su accesibilidad. Artículo 12. Además de los objetivos previstos en la Ley General de Transparencia y Acceso a la Información Pública, el Sistema Nacional tendrá como objetivo diseñar, ejecutar y evaluar un Programa Nacional de Protección de Datos Personales que defina la política pública y establezca, como mínimo, objetivos,
Políticas y programas de protección de datos personales Articulo 47. Con relación al articulo 30, fracciones I y 11 de la Ley General, el responsable deberá� elaborar e implementar políticas y programas de protección de datos personales que tengan por objeto establecer los elementos y actividades de dirección, operación y control de todos sus procesos que, en el ejercicio de sus funciones y atribuciones, impliquen un tratamiento de datos personales a efecto de proteger éstos de manera sistemática y continua. Las políticas y programas de protección de datos personales a que se refiere el párrafo anterior del presente artículo, deberán ser aprobados, coordinados y supervisados por su Comité� de Transparencia. El responsable deberá� prever y autorizar recursos, de conformidad con la normatividad que resulte aplicable, para la implementación y cumplimiento de éstos. Capacitación Articulo 48. Con relación al articulo 30, fracción 111 de la Ley General, el responsable deberá� establecer anualmente un programa de capacitación y actualización en materia de protección de datos personales dirigido a su personal y a encargados, el cual deberá� ser aprobado, coordinado y supervisado por su Comité� de Transparencia. Sistemas de supervisión y vigilancia Artículo 49. Con relación al articulo 30,
Artículo 57 Funciones 1. Sin perjuicio de otras funciones en virtud del presente Reglamento, incumbirá a cada autoridad de control, en su territorio: a) controlar la aplicación del presente
Reglamento y hacerlo aplicar; b) promover la sensibilización del
público y su comprensión de losriesgos, normas, garantías yderechos en relación con eltratamiento. Las actividadesdirigidas específicamente a losniños deberán ser objeto deespecial atención;
c) asesorar, con arreglo al Derecho
de los Estados miembros, alParlamento nacional, al Gobierno ya otras instituciones y organismossobre las medidas legislativas yadministrativas relativas a laprotección de los derechos ylibertades de las personas físicascon respecto al tratamiento;
d) promover la sensibilización de los
responsables y encargados deltratamiento acerca de lasobligaciones que les incumben envirtud del presente Reglamento;
e) previa solicitud, facilitar
información a cualquier interesadoen relación con el ejercicio de susderechos en virtud del presenteReglamento y, en su caso,cooperar a tal fin con lasautoridades de control de otros
Capitulo IV – Ayuda mutua�Artículo 13. Cooperación entre las Partes 1. Las Partes se obligan a concederse mutuamente asistencia para el cumplimiento del presente Convenio. 2. A tal fin, a. cada Parte designará a una o más autoridades cuya denominación y dirección comunicará al Secretario general del Consejo de Europa; b. cada Parte que haya designado a varias autoridades indicará en la comunicación a que se refiere el apartado anterior la competencia de cada una de dichas autoridades. 3. Una autoridad designada por una Parte, a petición de una autoridad designada por otra Parte: a. Facilitará informaciones acerca de su derecho y su práctica administrativa en materia de protección de datos; b. tomará toda clase de medidas apropiadas, con arreglo a su derecho interno y solamente a los efectos de la protección de la vida privada, para facilitar informaciones fácticas relativas a un tratamiento automatizado determinado efectuado en su territorio con excepción, sin
Capítulo IV – Autoridades de Supervisión Artículo 15 – Autoridades supervisoras 1. Cada Parte debe establecer una o más autoridades responsables del cumplimiento de las disposiciones de este Convenio. 2. Para esta finalidad, dichas autoridades: a. deben contar con poderes de investigación e intervención; b. debe llevar a cabo las funciones relacionadas a las transferencias de datos establecidas en el Artículo 14, de manera particular, la aprobación de garantías estandarizadas; c. debe tener poderes para emitir decisiones respecto de las violaciones de las disposiciones de Convenio y podrá, en particular, imponer sanciones administrativas; d. debe tener el poder de entablar procedimientos legales o presentar ante las autoridades judiciales competentes las violaciones a las disposiciones de ese Convenio; e. debe promover: i. el conocimiento del público de sus funciones y facultades, así como de sus actividades; ii. el conocimiento público de
Las facultades del INAI y las acciones que este realiza permite acreditar la existencia de mecanismos de sensibilización adecuados.
159
estrategias, acciones y metas para: I. Promover la educación y una cultura de protección de datos personales entre la sociedad mexicana; II. Fomentar el ejercicio de los derechos de acceso, rectificación, cancelación y oposición; III. Capacitar a los sujetos obligados en materia de protección de datos personales; IV. Impulsar la implementación y mantenimiento de un sistema de gestión de seguridad a que se refiere el artículo 34 de la presente Ley, así como promover la adopción de estándares nacionales e internacionales y buenas prácticas en la materia, y V. Prever los mecanismos que permitan medir, reportar y verificar las metas establecidas. El Programa Nacional de Protección de Datos Personales, se constituirá como un instrumento rector para la integración y coordinación del Sistema Nacional, y deberá determinar y jerarquizar los objetivos y metas que éste debe cumplir, así como definir las líneas de acción generales que resulten necesarias. El Programa Nacional de Protección de Datos Personales deberá evaluarse y actualizarse al final de cada ejercicio anual y definirá el conjunto de actividades y proyectos que deberán ser ejecutados durante el siguiente ejercicio. […] Artículo 14. El Sistema Nacional, además de lo previsto en la Ley General de Transparencia y Acceso a la Información Pública y demás normativa aplicable, tendrá las siguientes funciones en materia de
fracciones IV y V de la Ley General, por regla general, el responsable deberá� revisar las políticas y programas de seguridad y el sistema de supervisión y vigilancia implementado, al menos, cada dos años, salvo que realice modificaciones sustanciales a los tratamientos de datos personales que lleve a cabo y, en consecuencia, amerite una actualización previa al plazo establecido en el presente articulo. Atención de dudas y quejas Articulo 50. Con relación al artículo 30, fracción VI de la Ley General, el procedimiento que el responsable determine para recibir y responder dudas y quejas de los titulares en materia de protección de datos deberá� ser de fácil acceso y con la mayor cobertura posible; considerando el perfil de los titulares y la forma en que se mantiene contacto o comunicación directa o cotidiana con ellos, así� como estar, en todo momento, habilitado. Protección de datos personales por diseño Articulo 51. Para el cumplimiento de lo dispuesto en el articulo 30, fracción VII de la Ley General, el responsable deberá� aplicar medidas de carácter administrativo, técnico, físico u otras de cualquier naturaleza que, desde el diseño, le permitan aplicar de forma efectiva el cumplimiento de los principios, deberes y demás obligaciones previstas en la Ley General y los presentes Lineamientos generales, en sus políticas, programas, servicios, sistemas o plataformas informáticas, aplicaciones electrónicas o cualquier otra tecnología que implique el tratamiento de datos personales. Lo anterior, considerando los avances tecnológicos, los costos de implementación, la naturaleza, el ámbito, el contexto y los fines del tratamiento de
Estados miembros; f)tratar las reclamaciones
presentadas por un interesado o por un organismo, organización o asociación de conformidad con el artículo 80, e investigar, en la medida oportuna, el motivo de la reclamación e informar al reclamante sobre el curso y el resultado de la investigación en un plazo razonable, en particular si fueran necesarias nuevas investigaciones o una coordinación más estrecha con otra autoridad de control;
g) cooperar, en particular
compartiendo información, conotras autoridades de control yprestar asistencia mutua con el finde garantizar la coherencia en laaplicación y ejecución del presenteReglamento;
h) llevar a cabo investigaciones sobre
la aplicación del presenteReglamento, en particularbasándose en información recibidade otra autoridad de control u otraautoridad pública;
i)hacer un seguimiento de cambios
que sean de interés, en la medida en que tengan incidencia en la protección de datos personales, en particular el desarrollo de las tecnologías de la información y la comunicación y las prácticas comerciales;
j)adoptar las cláusulas contractuales
tipo a que se refieren el artículo 28, apartado 8, y el artículo 46, apartado 2, letra d);
k) elaborar y mantener una lista
relativa al requisito de la
embargo, de los datos de carácter personal que sean objeto de dicho tratamiento.
los derechos en materia de datos personales, así como su ejercicio; iii. el conocimiento de los Responsables y de los procesadores de datos de sus responsabilidades bajo este Convenio; deberá darse atención específica a la protección de datos personales de niños y otros individuos vulnerables. 3. Las Autoridades Supervisoras competentes deberán ser consultadas en cualquier propuesta de medida legislativa o administrativa que se establezca para el procesamiento de datos personales. 4. Cada Autoridad Supervisora competente debe tratar las solicitudes y quejas presentadas por las personas concernidas relacionadas con sus derechos a la protección de datos personales y debe mantenerlas informadas de su progreso. 5. Las Autoridades Supervisoras deben actuar con completa independencia e imparcialidad en el desempeño de sus deberes y el ejercicio de sus poderes; al hacerlo, no deben buscar ni aceptar instrucciones. 6. Cada Parte debe garantizar que las Autoridades Supervisoras son establecidas con los recursos necesarios para que el desempeño de sus funciones y el ejercicio de sus funciones sea efectivo. 7. Cada Autoridad Supervisora debe preparar y
160
protección de datos personales: I. Promover el ejercicio del derecho a la protección de datos personales en toda la República Mexicana; II. Fomentar entre la sociedad una cultura de protección de los datos personales; […] XIII. Promover e implementar acciones para garantizar condiciones de accesibilidad para que los grupos vulnerables puedan ejercer, en igualdad de circunstancias, su derecho a la protección de datos personales; XIV. Proponer códigos de buenas prácticas o modelos en materia de protección de datos personales; XV. Promover la comunicación y coordinación con autoridades nacionales, federales, de los Estados, municipales, autoridades y organismos internacionales, con la finalidad de impulsar y fomentar los objetivos de la presente Ley; XVI. Proponer acciones para vincular el Sistema Nacional con otros sistemas y programas nacionales, regionales o locales; XVII. Promover e impulsar el ejercicio y tutela del derecho a la protección de datos personales, a través de la implementación, organización y operación de la Plataforma Nacional, a que se refiere la Ley General de Transparencia y Acceso a la Información Pública y demás normativa aplicable; XVIII. Aprobar el Programa Nacional de Protección de Datos Personales al que se refiere el artículo 12 de esta Ley; Artículo 89. Además de las facultades que le son conferidas en la Ley General de Transparencia y Acceso a la Información
los datos personales, los riesgos de diversa probabilidad y gravedad que entraña éste para el derecho a la protección de datos personales de los titulares, así como otros factores que considere relevantes el responsable. Emisión de recomendaciones no vinculantes Artículo 70. El Instituto podrá� publicar directrices, recomendaciones y mejores prácticas en materia de seguridad de los datos personales, de acuerdo con los estándares nacionales e internacionales actuales en la materia, con la finalidad de proveer de mecanismos y herramientas que orienten y faciliten al responsable el cumplimiento del deber de seguridad previsto en la Ley General y los presentes Lineamientos generales.
evaluación de impacto relativa a laprotección de datos, en virtud delartículo 35, apartado 4;
l)ofrecer asesoramiento sobre las
operaciones de tratamiento contempladas en el artículo 36, apartado 2;
m)alentar la elaboración de códigos
de conducta con arreglo al artículo 40, apartado 1, y dictaminar y aprobar los códigos de conducta que den suficientes garantías con arreglo al artículo 40, apartado 5;
n) fomentar la creación de
mecanismos de certificación de laprotección de datos y de sellos ymarcas de protección de datos conarreglo al artículo 42, apartado 1, yaprobar los criterios decertificación de conformidad con elartículo 42, apartado 5;
o) llevar a cabo, si procede, una
revisión periódica de lascertificaciones expedidas en virtuddel artículo 42, apartado 7;
p) elaborar y publicar los criterios
para la acreditación de organismosde supervisión de los códigos deconducta con arreglo al artículo 41y de organismos de certificacióncon arreglo al artículo 43;
q) efectuar la acreditación de
organismos de supervisión de loscódigos de conducta con arreglo alartículo 41 y de organismos decertificación con arreglo alartículo 43;
r)autorizar las cláusulas
contractuales y disposiciones a que se refiere el artículo 46, apartado 3;
publicar un reporte periódico de sus actividades. 8. Los Miembros y el personal de las Autoridades Supervisoras deberán estar sujetos a las obligaciones de confidencialidad respecto de la información confidencial a la que tienen acceso, o han tenido acceso, en el desempeño de sus funciones y el ejercicio de sus poderes. 9. Las decisiones de las Autoridades Supervisoras podrán ser sujetas a la revisión judicial. 10. Las Autoridades Supervisoras no deberán ser competentes respecto del procesamiento llevado a cabo por organismos con facultades jurisdiccionales.
161
Pública, la Ley Federal de Transparencia y Acceso a la Información Pública y demás normatividad que le resulte aplicable, el Instituto tendrá las siguientes atribuciones: I. Garantizar el ejercicio del derecho a la protección de datos personales en posesión de sujetos obligados; II. Interpretar la presente Ley en el ámbito administrativo; III. Conocer y resolver los recursos de revisión que interpongan los titulares, en términos de lo dispuesto en la presente Ley y demás disposiciones que resulten aplicables en la materia; IV. Conocer y resolver, de oficio o a petición fundada por los organismos garantes, los recursos de revisión que por su interés y trascendencia así lo ameriten, en términos de lo dispuesto en la presente Ley y demás disposiciones que resulten aplicables en la materia; V. Conocer y resolver los recursos de inconformidad que interpongan los titulares, en contra de las resoluciones emitidas por los organismos garantes, de conformidad con lo dispuesto en la presente Ley y demás disposiciones que resulten aplicables en la materia; VI. Conocer, sustanciar y resolver los procedimientos de verificación; VII. Establecer y ejecutar las medidas de apremio previstas en términos de lo dispuesto por la presente Ley y demás disposiciones que resulten aplicables en la materia; VIII. Denunciar ante las autoridades competentes las presuntas infracciones a la presente Ley y, en su caso, aportar las pruebas con las que cuente; IX. Coordinarse con las autoridades competentes para que las solicitudes para el ejercicio de los derechos ARCO y los recursos de revisión que se presenten en lengua indígena, sean atendidos en la misma lengua; X. Garantizar, en el ámbito de su respectiva competencia, condiciones de
s) aprobar normas corporativas
vinculantes de conformidad con lodispuesto en el artículo 47;
t)contribuir a las actividades del
Comité; u) llevar registros internos de las
infracciones del presenteReglamento y de las medidasadoptadas de conformidad con elartículo 58, apartado 2, y
v) desempeñar cualquier otra función
relacionada con la protección delos datos personales.
2. Cada autoridad de control facilitará la presentación de las reclamaciones contempladas en el apartado 1, letra f), mediante medidas como un formulario de presentación de reclamaciones que pueda cumplimentarse también por medios electrónicos, sin excluir otros medios de comunicación. 3. El desempeño de las funciones de cada autoridad de control será gratuito para el interesado y, en su caso, para el delegado de protección de datos. 4. Cuando las solicitudes sean manifiestamente infundadas o excesivas, especialmente debido a su carácter repetitivo, la autoridad de control podrá establecer una tasa razonable basada en los costes administrativos o negarse a actuar respecto de la solicitud. La carga de demostrar el carácter manifiestamente infundado o excesivo de la solicitud recaerá en la autoridad de control.
162
accesibilidad para que los titulares que pertenecen a grupos vulnerables puedan ejercer, en igualdad de circunstancias, su derecho a la protección de datos personales; XI. Elaborar y publicar estudios e investigaciones para difundir y ampliar el conocimiento sobre la materia de la presente Ley; XII. Proporcionar apoyo técnico a los responsables para el cumplimiento de las obligaciones establecidas en la presente Ley; XIII. Divulgar y emitir recomendaciones, estándares y mejores prácticas en las materias reguladas por la presente Ley; XIV. Vigilar y verificar el cumplimiento de las disposiciones contenidas en la presente Ley; XV. Administrar el registro de esquemas de mejores prácticas a que se refiere la presente Ley y emitir sus reglas de operación; XVI. Emitir, en su caso, las recomendaciones no vinculantes correspondientes a la Evaluación de impacto en la protección de datos personales que le sean presentadas; XVII. Emitir disposiciones generales para el desarrollo del procedimiento de verificación; XVIII. Realizar las evaluaciones correspondientes a los esquemas de mejores prácticas que les sean notificados, a fin de resolver sobre la procedencia de su reconocimiento o validación e inscripción en el registro de esquemas de mejores prácticas, así como promover la adopción de los mismos; XIX. Emitir, en el ámbito de su competencia, las disposiciones administrativas de carácter general para el debido cumplimiento de los principios, deberes y obligaciones que establece la presente Ley, así como para el ejercicio de los derechos de los titulares; XX. Celebrar convenios con los responsables para desarrollar programas que tengan por objeto homologar
163
tratamientos de datos personales en sectores específicos, elevar la protección de los datos personales y realizar cualquier mejora a las prácticas en la materia; XXI. Definir y desarrollar el sistema de certificación en materia de protección de datos personales, de conformidad con lo que se establezca en los parámetros a que se refiere la presente Ley; XXII. Presidir el Sistema Nacional a que se refiere el artículo 10 de la presente Ley; XXIII. Celebrar convenios con los organismos garantes que coadyuven al cumplimiento de los objetivos previstos en la presente Ley y demás disposiciones que resulten aplicables en la materia; XXIV. Llevar a cabo acciones y actividades que promuevan el conocimiento del derecho a la protección de datos personales, así como de sus prerrogativas; XXV. Diseñar y aplicar indicadores y criterios para evaluar el desempeño de los responsables respecto al cumplimiento de la presente Ley y demás disposiciones que resulten aplicables en la materia; XXVI. Promover la capacitación y actualización en materia de protección de datos personales entre los responsables; XXVII. Emitir lineamientos generales para el debido tratamiento de los datos personales; XXVIII. Emitir lineamientos para homologar el ejercicio de los derechos ARCO; XXIX. Emitir criterios generales de interpretación para garantizar el derecho a la protección de datos personales; XXX. Cooperar con otras autoridades de supervisión y organismos nacionales e internacionales, a efecto de coadyuvar en materia de protección de datos personales, de conformidad con las disposiciones previstas en la presente Ley y demás normativa aplicable; XXXI. Promover e impulsar el ejercicio y tutela del derecho a la protección de datos personales a través de la implementación y administración de la Plataforma Nacional, a que se refiere la Ley General de
164
Transparencia y Acceso a la Información Pública y demás normativa aplicable; XXXII. Interponer, cuando así lo aprueben la mayoría de sus Comisionados, acciones de inconstitucionalidad en contra de leyes de carácter federal o estatal, así como de los Tratados Internacionales celebrados por el Ejecutivo Federal y aprobados por el Senado de la República, que vulneren el derecho a la protección de datos personales; XXXIII. Promover, cuando así lo aprueben la mayoría de sus Comisionados, las controversias constitucionales en términos del artículo 105, fracción I, inciso l), de la Constitución Política de los Estados Unidos Mexicanos; XXXIV. Cooperar con otras autoridades nacionales o internacionales para combatir conductas relacionadas con el indebido tratamiento de datos personales; XXXV. Diseñar, vigilar y, en su caso, operar el sistema de buenas prácticas en materia de protección de datos personales, así como el sistema de certificación en la materia, a través de normativa que el Instituto emita para tales fines; XXXVI. Celebrar convenios con los organismos garantes y responsables que coadyuven al cumplimiento de los objetivos previstos en la presente Ley y demás disposiciones que resulten aplicables en la materia, y XXXVII. Las demás que le confiera la presente Ley y demás ordenamientos aplicables. Capítulo III De la Coordinación y Promoción del Derecho a la Protección de Datos Personales Artículo 92. Los responsables deberán colaborar con el Instituto y los organismos garantes, según corresponda, para capacitar y actualizar de forma permanente a todos sus servidores públicos en materia de
165
protección de datos personales, a través de la impartición de cursos, seminarios, talleres y cualquier otra forma de enseñanza y entrenamiento que se considere pertinente. Artículo 93. El Instituto y los Organismos garantes, en el ámbito de sus respectivas competencias, deberán: I. Promover que en los programas y planes de estudio, libros y materiales que se utilicen en las instituciones educativas de todos los niveles y modalidades del Estado, se incluyan contenidos sobre el derecho a la protección de datos personales, así como una cultura sobre el ejercicio y respeto de éste; II. Impulsar en conjunto con instituciones de educación superior, la integración de centros de investigación, difusión y docencia sobre el derecho a la protección de datos personales que promuevan el conocimiento sobre este tema y coadyuven con el Instituto y los Organismos garantes en sus tareas sustantivas, y III. Fomentar la creación de espacios de participación social y ciudadana que estimulen el intercambio de ideas entre la sociedad, los órganos de representación ciudadana y los responsables.
166
Capítulo 3 del WP 254: Principios generales en materia de protección de datos para garantizar que el nivel de protección en un tercer país, territorio o uno o varios sectores específicos de ese tercer país, u organización internacional es sustancialmente equivalente al garantizado por la legislación de la UE
C. Medios relativos al procedimiento y la ejecución 2.B. Procedimientos
LGPDPPSO LGPDPSP Otras disposiciones RGPD C108 C108+ Comentarios TÍTULO DÉCIMO FACULTAD DE VERIFICACIÓN DEL INSTITUTO Y LOS ORGANISMOS GARANTES Capítulo Único Del Procedimiento de Verificación Artículo 146. El Instituto y los Organismos garantes, en el ámbito de sus respectivas competencias, tendrán la atribución de vigilar y verificar el cumplimiento de las disposiciones contenidas en la presente Ley y demás ordenamientos que se deriven de ésta. En el ejercicio de las funciones de vigilancia y verificación, el personal del Instituto o, en su caso, de los Organismos garantes estarán obligados a guardar confidencialidad sobre la información a la que tengan acceso en virtud de la verificación correspondiente. El responsable no podrá negar el acceso a la documentación solicitada con motivo de una verificación, o a sus bases de datos personales, ni podrá invocar la reserva o la confidencialidad de la información. Artículo 147. La verificación podrá iniciarse: I. De oficio cuando el Instituto o los Organismos
Título Octavo Facultad de Verificación del Instituto Capítulo I De las disposiciones generales de las investigaciones previas y del procedimiento de verificación Facultad de vigilancia y verificación Artículo 181. De conformidad con lo previsto en el artículo 146 de la Ley General, el Instituto, a través de la unidad administrativa competente conforme a su Estatuto Orgánico vigente, tendrá� la atribución de vigilar y verificar el cumplimiento de las disposiciones contenidas en dicho ordenamiento y los presentes Artículo 182. En el ejercicio de las funciones de investigación y verificación, el personal del Instituto estará� dotado de fe publica para constar la veracidad de los hechos con relación a las actuaciones a que se refiere el presente Título. Principios rectores Artículo 183. Las investigaciones previas y el procedimiento de verificación deberán desarrollarse bajo los principios de legalidad,
-Artículos 41 Bis del Estatuto Orgánico del Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales publicado el 17 de enero de 2017.
Artículo 57 Funciones 1. Sin perjuicio de otras funciones en virtud del presente Reglamento, incumbirá a cada autoridad de control, en su territorio: a) controlar la aplicación del
presente Reglamento y hacerlo aplicar;
b) promover la
sensibilización del público y su comprensión de los riesgos, normas, garantías y derechos en relación con el tratamiento. Las actividades dirigidas específicamente a los niños deberán ser objeto de especial atención;
c) asesorar, con arreglo al
Derecho de los Estados miembros, al Parlamento nacional, al Gobierno y a otras instituciones y organismos sobre las medidas legislativas y administrativas relativas a la protección de los derechos y libertades de las personas físicas con respecto al tratamiento;
d) promover la
sensibilización de los responsables y encargados del tratamiento acerca de las obligaciones que les
Capitulo IV – Ayuda mutua�Artículo 13. Cooperación entre las Partes 1. Las Partes se obligan a concederse mutuamente asistencia para el cumplimiento del presente Convenio. 2. A tal fin, a. cada Parte designará a una o más autoridades cuya denominación y dirección comunicará al Secretario general del Consejo de Europa; b. cada Parte que haya designado a varias autoridades indicará en la comunicación a que se refiere el apartado anterior la competencia de cada una de dichas autoridades. 3. Una autoridad designada por una Parte, a petición de una autoridad designada por otra Parte: a. Facilitará informaciones acerca de su derecho y su práctica administrativa en materia de protección de datos; b. tomará toda clase de medidas apropiadas, con arreglo a su derecho interno y solamente a los efectos de la protección de la vida privada, para facilitar informaciones fácticas relativas a un tratamiento automatizado determinado efectuado en su territorio
Capítulo IV – Autoridades de Supervisión Artículo 15 – Autoridades supervisoras 1. Cada Parte debe establecer una o más autoridades responsables del cumplimiento de las disposiciones de este Convenio. 2. Para esta finalidad, dichas autoridades: a. deben contar con poderes de investigación e intervención; b. debe llevar a cabo las funciones relacionadas a las transferencias de datos establecidas en el Artículo 14, de manera particular, la aprobación de garantías estandarizadas; c. debe tener poderes para emitir decisiones respecto de las violaciones de las disposiciones de Convenio y podrá, en particular, imponer sanciones administrativas; d. debe tener el poder de entablar procedimientos legales o presentar ante las autoridades judiciales competentes las violaciones a las disposiciones de ese Convenio; e. debe promover: i. el conocimiento del público de sus funciones y facultades, así como de sus actividades; ii. el conocimiento público
Las disposiciones de la LGPDPPSO y los LGPDPSP sobre el procedimiento de verificación permiten acreditar que los titulares disponen de mecanismos adecuados para la protección de sus derechos.
167
garantes cuenten con indicios que hagan presumir fundada y motivada la existencia de violaciones a las leyes correspondientes, o II. Por denuncia del titular cuando considere que ha sido afectado por actos del responsable que puedan ser contrarios a lo dispuesto por la presente Ley y demás normativa aplicable, o en su caso, por cualquier persona cuando tenga conocimiento de presuntos incumplimientos a las obligaciones previstas en la presente Ley y demás disposiciones que resulten aplicables en la materia. El derecho a presentar una denuncia precluye en el término de un año contado a partir del día siguiente en que se realicen los hechos u omisiones materia de la misma. Cuando los hechos u omisiones sean de tracto sucesivo, el término empezará a contar a partir del día hábil siguiente al último hecho realizado. La verificación no procederá en los supuestos de procedencia del recurso de revisión o inconformidad previstos en la presente Ley. La verificación no se admitirá en los supuestos de procedencia del recurso de revisión o inconformidad, previstos en la presente Ley. Previo a la verificación respectiva, el Instituto o los Organismos garantes
certeza jurídica, independencia, imparcialidad, eficacia, objetividad, profesionalismo y transparencia que rigen la actuación del Instituto, cumpliendo con los requisitos de fundamentación y motivación. Deber de confidencialidad Artículo 184. De conformidad con lo previsto en el artículo 146, segundo párrafo de la Ley General, en el ejercicio de las funciones de investigación, vigilancia y verificación, el personal del Instituto estará� obligado a guardar confidencialidad sobre la información a la que tengan acceso en virtud de la investigación previa y, en su caso, el procedimiento de verificación correspondiente. Constancia de las actuaciones Artículo 186. Las actuaciones que lleve a cabo el personal del Instituto durante la sustanciación de las investigaciones previas o, en su caso, del procedimiento de verificación, deberán hacerse constar en el expediente en que se tramita. Notificaciones Artículo 186. Durante la realización de investigaciones previas, así� como el desarrollo del procedimiento de
incumben en virtud del presente Reglamento;
e) previa solicitud, facilitar
información a cualquier interesado en relación con el ejercicio de sus derechos en virtud del presente Reglamento y, en su caso, cooperar a tal fin con las autoridades de control de otros Estados miembros;
f) tratar las reclamaciones
presentadas por un interesado o por un organismo, organización o asociación de conformidad con el artículo 80, e investigar, en la medida oportuna, el motivo de la reclamación e informar al reclamante sobre el curso y el resultado de la investigación en un plazo razonable, en particular si fueran necesarias nuevas investigaciones o una coordinación más estrecha con otra autoridad de control;
g) cooperar, en particular
compartiendo información, con otras autoridades de control y prestar asistencia mutua con el fin de garantizar la coherencia en la aplicación y ejecución del presente Reglamento;
h) llevar a cabo
investigaciones sobre la aplicación del presente Reglamento, en particular basándose en
con excepción, sin embargo, de los datos de carácter personal que sean objeto de dicho tratamiento.
de los derechos en materia de datos personales, así como su ejercicio; iii. el conocimiento de los Responsables y de los procesadores de datos de sus responsabilidades bajo este Convenio; deberá darse atención específica a la protección de datos personales de niños y otros individuos vulnerables. 3. Las Autoridades Supervisoras competentes deberán ser consultadas en cualquier propuesta de medida legislativa o administrativa que se establezca para el procesamiento de datos personales. 4. Cada Autoridad Supervisora competente debe tratar las solicitudes y quejas presentadas por las personas concernidas relacionadas con sus derechos a la protección de datos personales y debe mantenerlas informadas de su progreso. 5. Las Autoridades Supervisoras deben actuar con completa independencia e imparcialidad en el desempeño de sus deberes y el ejercicio de sus poderes; al hacerlo, no deben buscar ni aceptar instrucciones. 6. Cada Parte debe garantizar que las Autoridades Supervisoras son establecidas con los recursos necesarios para que el desempeño de sus funciones y el ejercicio de sus funciones sea efectivo.
168
podrán desarrollar investigaciones previas, con el fin de contar con elementos para fundar y motivar el acuerdo de inicio respectivo. Artículo 148. Para la presentación de una denuncia no podrán solicitarse mayores requisitos que los que a continuación se describen: I. El nombre de la persona que denuncia, o en su caso, de su representante; II. El domicilio o medio para recibir notificaciones de la persona que denuncia; III. La relación de hechos en que se basa la denuncia y los elementos con los que cuente para probar su dicho; IV. El responsable denunciado y su domicilio, o en su caso, los datos para su identificación y/o ubicación; V. La firma del denunciante, o en su caso, de su representante. En caso de no saber firmar, bastará la huella digital. La denuncia podrá presentarse por escrito libre, o a través de los formatos, medios electrónicos o cualquier otro medio que al efecto establezca el Instituto o los Organismos garantes, según corresponda. Una vez recibida la denuncia, el Instituto y los Organismos garantes, según corresponda, deberán acusar recibo de la misma. El acuerdo
verificación, las notificaciones, citatorios, emplazamientos, requerimientos, solicitud de informes o documentos y resoluciones definitivas podrán realizarse: I. Personalmente con quien deba entenderse la diligencia en el domicilio del interesado; II. Mediante oficio entregado por mensajería o correo certificado con acuse de recibo; III. A través de medios de comunicación electrónica o cualquier otro medio, cuando así� lo hubiere aceptado expresamente el interesado y siempre que pueda comprobarse fehacientemente la recepción de las mismas; IV.Por edictos, cuando se desconozca el domicilio del interesado o en el caso de que la persona a quien deba notificarse haya desaparecido o no tenga domicilio fijo, o V. estrados, fijándose durante quince días el documento que se pretenda notificar, en un sitio abierto al público ubicado en las oficinas del Instituto. Tratándose de denuncias presentadas a través del sistema electrónico habilitado por este Instituto o cualquier otro medio que para tal fin establezca, se entenderá� que el promovente acepta que las notificaciones le sean efectuadas por dichos sistemas o mediante otros
información recibida de otra autoridad de control u otra autoridad pública;
i) hacer un seguimiento de
cambios que sean de interés, en la medida en que tengan incidencia en la protección de datos personales, en particular el desarrollo de las tecnologías de la información y la comunicación y las prácticas comerciales;
j) adoptar las cláusulas
contractuales tipo a que se refieren el artículo 28, apartado 8, y el artículo 46, apartado 2, letra d);
k) elaborar y mantener una
lista relativa al requisito de la evaluación de impacto relativa a la protección de datos, en virtud del artículo 35, apartado 4;
l) ofrecer asesoramiento
sobre las operaciones de tratamiento contempladas en el artículo 36, apartado 2;
m) alentar la elaboración de
códigos de conducta con arreglo al artículo 40, apartado 1, y dictaminar y aprobar los códigos de conducta que den suficientes garantías con arreglo al artículo 40, apartado 5;
n) fomentar la creación de
7. Cada Autoridad Supervisora debe preparar y publicar un reporte periódico de sus actividades. 8. Los Miembros y el personal de las Autoridades Supervisoras deberán estar sujetos a las obligaciones de confidencialidad respecto de la información confidencial a la que tienen acceso, o han tenido acceso, en el desempeño de sus funciones y el ejercicio de sus poderes. 9. Las decisiones de las Autoridades Supervisoras podrán ser sujetas a la revisión judicial. 10. Las Autoridades Supervisoras no deberán ser competentes respecto del procesamiento llevado a cabo por organismos con facultades jurisdiccionales.
169
correspondiente se notificará al denunciante. Artículo 149. La verificación iniciará mediante una orden escrita que funde y motive la procedencia de la actuación por parte del Instituto o de los Organismos garantes, la cual tiene por objeto requerir al responsable la documentación e información necesaria vinculada con la presunta violación y/o realizar visitas a las oficinas o instalaciones del responsable, o en su caso, en el lugar donde estén ubicadas las bases de datos personales respectivas. Para la verificación en instancias de seguridad nacional y seguridad pública, se requerirá en la resolución, la aprobación del Pleno del Instituto, por mayoría calificada de sus Comisionados, o de los integrantes de los Organismos garantes de las Entidades Federativas, según corresponda; así como de una fundamentación y motivación reforzada de la causa del procedimiento, debiéndose asegurar la información sólo para uso exclusivo de la autoridad y para los fines establecidos en el artículo 150. El procedimiento de verificación deberá tener una duración máxima de cincuenta días. El Instituto o los organismos garantes podrán ordenar medidas cautelares, si del
medios electrónicos generados por éstos, salvo que señale expresamente un medio distinto para tales efectos. Notificaciones personales Artículo 187. De conformidad con lo previsto en la fracción I del artículo anterior de los presentes Lineamientos generales, las notificaciones personales se llevarán a cabo de la siguiente manera: I.Se harán en el domicilio del interesado o en el último domicilio del que se tenga constancia de la persona a quien se deba notificar. En todo caso, el servidor público del Instituto deberá� cerciorarse del domicilio y deberá� entregar el documento original del acto que se notifique, así como señalar la fecha y hora en que la notificación se efectúa, recabando el nombre y firma de la persona con quien se entienda la diligencia. Si éste se niega, se hará� constar en el acta de notificación sin que ello afecte su validez; II.Las notificaciones personales se entenderán con la persona que deba ser notificada o su representante; a falta de ambos se dejará citatorio con cualquier persona que se encuentre en el domicilio para que el interesado espere a una hora fija del día siguiente. Si el domicilio se encontrare cerrado o la
mecanismos de certificación de la protección de datos y de sellos y marcas de protección de datos con arreglo al artículo 42, apartado 1, y aprobar los criterios de certificación de conformidad con el artículo 42, apartado 5;
o) llevar a cabo, si procede,
una revisión periódica de las certificaciones expedidas en virtud del artículo 42, apartado 7;
p) elaborar y publicar los
criterios para la acreditación de organismos de supervisión de los códigos de conducta con arreglo al artículo 41 y de organismos de certificación con arreglo al artículo 43;
q) efectuar la acreditación
de organismos de supervisión de los códigos de conducta con arreglo al artículo 41 y de organismos de certificación con arreglo al artículo 43;
r) autorizar las cláusulas
contractuales y disposiciones a que se refiere el artículo 46, apartado 3;
s) aprobar normas
corporativas vinculantes de conformidad con lo dispuesto en el artículo 47;
170
desahogo de la verificación advierten un daño inminente o irreparable en materia de protección de datos personales, siempre y cuando no impidan el cumplimiento de las funciones ni el aseguramiento de bases de datos de los sujetos obligados. Estas medidas sólo podrán tener una finalidad correctiva y será temporal hasta entonces los sujetos obligados lleven a cabo las recomendaciones hechas por el Instituto o los Organismos garantes según corresponda. Artículo 150. El procedimiento de verificación concluirá con la resolución que emita el Instituto o los Organismos garantes, en la cual, se establecerán las medidas que deberá adoptar el responsable en el plazo que la misma determine. Artículo 151. Los responsables podrán voluntariamente someterse a la realización de auditorías por parte del Instituto o los Organismos garantes, según corresponda, que tengan por objeto verificar la adaptación, adecuación y eficacia de los controles, medidas y mecanismos implementados para el cumplimiento de las disposiciones previstas en la presente Ley y demás normativa que resulte aplicable. El informe de auditoría
persona con que se entiende la diligencia se niegue a recibir o firmar el citatorio, se dejará con el vecino más próximo guardando la confidencialidad de los datos personales; III.Si la persona a quien hubiera que notificarse no atendiere el citatorio, la notificación se entenderá� con cualquier persona que se encuentre en el domicilio en que se realice la diligencia y, de negarse a recibirla o en caso de encontrarse cerrado el domicilio, se realizará por instructivo que se fijará en un lugar visible del domicilio; IV.De las diligencias en que conste el citatorio y la notificación, el servidor público tomará razón por escrito; En el caso de los responsables, las notificaciones se deberán realizar, en todos los casos, por oficio, en cuyo caso no será� necesario tomar razón por escrito ni levantar acta de notificación; sin embargo, deberá� recabarse el acuse de recibo correspondiente en el que se plasme el nombre del responsable, la fecha, hora y firma o rúbrica de con quien se entendió� la diligencia; V.Las notificaciones surtirán sus efectos el día en que hubieren sido realizadas. Los plazos empezarán a correr a partir del día siguiente a aquél en que haya surtido sus efectos la
t) contribuir a las actividades
del Comité; u) llevar registros internos
de las infracciones del presente Reglamento y de las medidas adoptadas de conformidad con el artículo 58, apartado 2, y
v) desempeñar cualquier
otra función relacionada con la protección de los datos personales.
2. Cada autoridad de control facilitará la presentación de las reclamaciones contempladas en el apartado 1, letra f), mediante medidas como un formulario de presentación de reclamaciones que pueda cumplimentarse también por medios electrónicos, sin excluir otros medios de comunicación. 3. El desempeño de las funciones de cada autoridad de control será gratuito para el interesado y, en su caso, para el delegado de protección de datos. 4. Cuando las solicitudes sean manifiestamente infundadas o excesivas, especialmente debido a su carácter repetitivo, la autoridad de control podrá establecer una tasa razonable basada en los costes administrativos o negarse a actuar respecto de la solicitud. La carga de demostrar el carácter
171
deberá dictaminar sobre la adecuación de las medidas y controles implementados por el responsable, identificar sus deficiencias, así como proponer acciones correctivas complementarias, o bien, recomendaciones que en su caso correspondan.
notificación; VI.Se tendrá� como fecha de notificación por mensajería o correo certificado la que conste en el acuse de recibo, y VII.Toda notificación deberá� efectuarse dentro del plazo máximo de diez días, contados a partir de la fecha de emisión de la resolución o acto que se notifique. Improcedencia del procedimiento de verificación y de las investigaciones previas Articulo 188. De conformidad con lo previsto en el articulo 147 de la Ley General, las investigaciones previas y el procedimiento de verificación no procederán en aquellos supuestos de procedencia del recurso de revisión o del recurso de inconformidad, según corresponda. Capítulo II De las investigaciones previas Inicio de las investigaciones previas Artículo 189. De acuerdo con el artículo 147, último párrafo de la Ley General, previo a dar inicio al procedimiento de verificación, el Instituto, a través de la unidad administrativa competente conforme a su Estatuto Orgánico vigente, podrá� desarrollar investigaciones previas con el fin de contar con elementos suficientes a efecto de dilucidar sobre los
manifiestamente infundado o excesivo de la solicitud recaerá en la autoridad de control. CAPÍTULO VIII Recursos, responsabilidad y sanciones Artículo 77 Derecho a presentar una reclamación ante una autoridad de control 1. Sin perjuicio de cualquier otro recurso administrativo o acción judicial, todo interesado tendrá derecho a presentar una reclamación ante una autoridad de control, en particular en el Estado miembro en el que tenga su residencia habitual, lugar de trabajo o lugar de la supuesta infracción, si considera que el tratamiento de datos personales que le conciernen infringe el presente Reglamento. 2. La autoridad de control ante la que se haya presentado la reclamación informará al reclamante sobre el curso y el resultado de la reclamación, inclusive sobre la posibilidad de acceder a la tutela judicial en virtud del artículo 78. Artículo 78 Derecho a la tutela judicial efectiva contra una autoridad de control 1. Sin perjuicio de cualquier otro recurso administrativo o extrajudicial, toda persona física o jurídica tendrá derecho a la tutela judicial efectiva contra una decisión jurídicamente vinculante de una autoridad de control que
172
hechos que presuntamente podrían constituir un incumplimiento a la Ley General y los presentes Lineamientos generales. Lo anterior, para fundar y motivar el acuerdo de inicio a que hace referencia el articulo 201 de los presentes Lineamientos generales. Las investigaciones previas podrán iniciar: I. De oficio: cuando el Instituto cuente con indicios que hagan presumir, de manera fundada y motivada, la existencia de violaciones a la Ley General y los presentes Lineamientos generales, o II. A petición de parte: cuando el titular o cualquier persona presente una denuncia, en la que se considere que ha sido afectado por actos del responsable que puedan ser contrarios a lo dispuesto por la Ley General y los presentes Lineamientos generales, o bien, al tener conocimiento de presuntos incumplimientos a las obligaciones previstas en dichos ordenamientos. Presentación de la denuncia Articulo 190. De conformidad con lo previsto en la fracción 11 del articulo anterior, la presentación de las denuncias ante el Instituto podrá� realizarse a través de los siguientes medios: I. Por escrito libre: a través de documento presentado
le concierna. 2. Sin perjuicio de cualquier otro recurso administrativo o extrajudicial, todo interesado tendrá derecho a la tutela judicial efectiva en caso de que la autoridad de control que sea competente en virtud de los artículos 55 y 56 no dé curso a una reclamación o no informe al interesado en el plazo de tres meses sobre el curso o el resultado de la reclamación presentada en virtud del artículo 77. 3. Las acciones contra una autoridad de control deberán ejercitarse ante los tribunales del Estado miembro en que esté establecida la autoridad de control. 4. Cuando se ejerciten acciones contra una decisión de una autoridad de control que haya sido precedida de un dictamen o una decisión del Comité en el marco del mecanismo de coherencia, la autoridad de control remitirá al tribunal dicho dictamen o decisión. Artículo 79 Derecho a la tutela judicial efectiva contra un responsable o encargado del tratamiento 1. Sin perjuicio de los recursos administrativos o extrajudiciales disponibles, incluido el derecho a presentar una reclamación ante una autoridad de control en virtud del artículo 77, todo interesado tendrá derecho a la tutela
173
de manera personal o mediante correo certificado en el domicilio del Instituto, o II. Por medios electrónicos: a través de correo electrónico, o bien, mediante el sistema electrónico que para tal efecto establezca el Instituto. Horarios y días de recepción de la denuncia Articulo 191. El Instituto recibirá� las denuncias, por escrito y medios electrónicos, en días y horas hábiles. Las denuncias recibidas en horas y días inhábiles se tendrán por presentadas el día hábil siguiente al de su recepción. Contenido de la denuncia Articulo 192. La denuncia a que hace referencia el articulo 189, fracción 11 de los presentes Lineamientos generales, no deberá� contener mayores requisitos de los previstos en el articulo 148 de la Ley General. Si las denuncias se presentaron por escrito o medios electrónicos, se deberá� observar lo siguiente: I. Si la denuncia se presentó por escrito, ésta deberá� contener la firma autógrafa del denunciante, a menos que no sepa o no pueda firmar, en cuyo caso se imprimirá� su huella digital, o II. Si la denuncia se
judicial efectiva cuando considere que sus derechos en virtud del presente Reglamento han sido vulnerados como consecuencia de un tratamiento de sus datos personales. 2. Las acciones contra un responsable o encargado del tratamiento deberán ejercitarse ante los tribunales del Estado miembro en el que el responsable o encargado tenga un establecimiento. Alternativamente, tales acciones podrán ejercitarse ante los tribunales del Estado miembro en que el interesado tenga su residencia habitual, a menos que el responsable o el encargado sea una autoridad pública de un Estado miembro que actúe en ejercicio de sus poderes públicos.
174
presentó por medios electrónicos, ésta deberá� incluir el documento digitalizado que contenga la firma autógrafa, o bien, la firma electrónica avanzada del denunciante o del instrumento que lo sustituya. Asignación de número de expediente y notificación al denunciante Articulo 193. Una vez que da inicio la investigación previa ya sea de oficio, o bien, a petición de parte, se asignará un número de expediente para su identificación y, en su caso, se acusará recibo de la denuncia respectiva, debiendo notificarse al denunciante a través del medio señalado para tal efecto, en términos de lo previsto por el artículo 148, último párrafo de la Ley General. Estudio y análisis de la denuncia Artículo 194. Derivado del estudio y análisis de la descripción de los hechos manifestados en la denuncia, así� como a partir de la información presentada por el denunciante, el lnstiluto, a través de la unidad administrativa competente conforme a su Estatuto Orgánico vigente, podrá�: l. Reconducir la denuncia, si se ubica en alguno de los supuestos de procedencia de los recursos de revisión o de inconformidad señalados
175
en los artículos 104 Y 118 de la Ley General, en un plazo no mayor a cinco días contados a partir de que se tuvo por presentada la denuncia; II. Orientar al denunciante sobre las instancias legales a las que puede acudir en defensa de sus derechos, en caso de no resultar competente el Instituto, en un plazo no mayor a diez días contados a partir de que se tuvo por presentada la denuncia, o III. Prevenir al denunciante, en caso de que su denuncia no sea clara, o bien, no cumpla con los requisitos que señala los artículos 148 de la Ley General y 192 de los presentes Lineamientos generales, en un plazo no mayor a cinco días contados a partir de que se tuvo por presentada la denuncia. En el caso de la fracción 111 del presente artículo, si el denunciante no diera contestación a la prevención de referencia en un término no mayor a cinco días, contados a partir de que surta efectos la notificación respectiva, se desechará la denuncia. Requerimientos del Instituto Artículo 195. Cumplidos los requisitos que debe contener la denuncia, o bien, una vez iniciado de oficio la investigación previa, el Instituto, a través de la unidad administrativa competente conforme a su Estatuto Orgánico vigente,
176
podrá�: l. Expedir requerimientos de información dirigido al responsable, al encargado o a cualquier tercero, solicitando que se proporcione la información y documentación que se estime oportuna; II. Que se manifieste respecto de los hechos vertidos en la denuncia, y III. Que aporte la información y documentación que acredite su dicho, dentro de un plazo máximo de cinco días contados a partir de que surta efectos la notificación de dicho requerimiento. Contenido de las respuestas a los requerimientos Artículo 196. Conforme a lo previsto en el artículo anterior de los presentes Lineamientos generales, las respuestas a los requerimientos formulados por el Instituto, a través de la unidad administrativa competente conforme a su Estatuto Orgánico vigente, deberán contener, por lo menos, lo siguiente: I. El nombre completo y cargo del servidor público que promueve, así� como la denominación de la unidad administrativa y del responsable al que se encuentra adscrito. En caso de actuar en representación de alguna persona moral, con el carácter de encargado o de tercero, deberá� adjuntarse el documento, en original o
177
copia certificada, que acredite su identidad y personalidad; II. El medio para recibir notificaciones, y III. Las documentales que acrediten su dicho, así como la precisión de cualquier información que considere necesaria para la atención del requerimiento formulado. Requerimientos adicionales Articulo 197. Cuando se cuente con información suficiente proporcionada por las partes conforme a lo dispuesto en la Ley General y los presentes Lineamientos generales, el Instituto, a través de la unidad administrativa competente conforme a su Estatuto Orgánico vigente, deberá� realizar el análisis y estudio de cada asunto. Si existiera información que no sea del todo clara o precisa, el Instituto, a través de la unidad administrativa competente conforme a su Estatuto Orgánico vigente, podrá� requerir nuevamente al denunciante, al responsable denunciado, al encargado o a cualquier tercero que proporcione la información solicitada, dentro de un plazo máximo de cinco días contados a partir de que surta efectos la notificación del requerimiento respectivo. En caso de considerarse necesario, el Instituto, a través de la unidad
178
administrativa competente conforme a su Estatuto Orgánico vigente, podrá� dar vista al denunciante para que manifieste lo que a su derecho convenga y, en su caso, aporte información y documentación adicional, respecto de la respuesta proporcionada por el responsable denunciado, el encargado o cualquier tercero, dentro de un plazo máximo de cinco días contados a partir de que surta efectos la notificación correspondiente. Conclusión de las investigaciones previas Articulo 198. Una vez concluida la investigación previa, el Instituto, a través de la unidad administrativa competente conforme a su Estatuto Orgánico vigente, deberá� emitir un acuerdo de: I. Determinación: cuando, de manera fundada y motivada, no cuente con elementos suficientes para acreditar actos u omisiones que presuntamente constituyan un incumplimiento a lo establecido por la Ley General y los presentes Lineamientos generales, o II. Inicio del procedimiento de verificación: cuando, de manera fundada y motivada, se presuma que el responsable incurrió� en acciones u omisiones que constituyen un probable incumplimiento a la Ley General y los presentes
179
Lineamientos generales. Duración de las investigaciones previas Artículo 199. Las investigaciones previas tendrán una duración máxima de cincuenta días, contados a partir de la fecha en que se hubiere emitido el acuse de recibo de la denuncia correspondiente, o bien, a partir de la fecha en que se hubiere dictado el acuerdo de inicio respectivo. Las investigaciones previas se tendrán por concluidas en la fecha en que se emita el acuerdo de determinación o, en su caso, el acuerdo de inicio del procedimiento de verificación respectivo a que se refieren el artículo anterior. Las constancias del expediente de investigaciones previas deberán formar parte del expediente de investigación que, en su caso, se dé inicio conforme al siguiente Capitulo del presente Titulo. Capítulo III Del procedimiento de verificación Procedencia del procedimiento de verificación Articulo 200. El procedimiento de verificación se podrá� iniciar: l. De oficio cuando el Instituto, a través de la unidad administrativa competente conforme a su Estatuto Orgánico vigente, cuente con indicios que
180
hagan presumir, de manera fundada y motivada, la existencia de violaciones a la Ley General y los presentes Lineamientos generales, o II. Derivado de una investigación previa. Acuerdo de inicio Articulo 201. El procedimiento de verificación iniciará con la emisión del acuerdo de inicio a que hace referencia el articulo 198, fracción 11 de los presentes Lineamientos generales, el cual constituye una orden escrita que funda y motiva la procedencia de la actuación por parte del Instituto, a través de la unidad administrativa competente conforme a su Estatuto Orgánico vigente, y tiene por objeto establecer las bases para requerir al responsable la documentación e información necesaria vinculada con la presunta violación y/o realizar visitas a las oficinas o instalaciones del responsable, o en su caso, en el lugar donde estén ubicadas las bases de datos personales respectivas. El acuerdo de inicio del procedimiento de verificación podrá� ser emitido por el Pleno del Instituto, o bien, por las unidades administrativas del Instituto competentes de conformidad con lo dispuesto en el Estatuto
181
Orgánico vigente al momento de emitirse el acuerdo a que se refiere el presente artículo. Procedimiento de verificación en instancias de seguridad Articulo 202. Para el caso de los procedimientos de verificación relacionados con instancias de seguridad nacional y seguridad publica, en términos de lo dispuesto en el articulo 149, segundo párrafo de la Ley General, se requerirá� en la resolución la aprobación del Pleno del Instituto por mayoría calificada de sus Comisionados, es decir, el voto a favor de por lo menos cinco de éstos; así como de una fundamentación y motivación reforzada de la causa del procedimiento, debiéndose asegurar la información sólo para uso exclusivo del Instituto y para los fines previstos en el articulo 150 de la Ley General. Notificación del acuerdo de inicio del procedimiento de verificación Articulo 203. El acuerdo de inicio del procedimiento de verificación se deberá� notificar personalmente al responsable en el domicilio que hubiere señalado para tal efecto y, en los casos en que el procedimiento hubiera iniciado por medio de una denuncia, también se deberá� notificar al denunciante en el medio
182
que, para el caso concreto, hubiera designado. Sustanciación del procedimiento de verificación Articulo 204. El procedimiento de verificación se sustanciará de la siguiente manera: l. Requerimientos de información: el Instituto deberá� emitir los oficios correspondientes dirigidos al responsable o a cualquier tercero para que, en un plazo máximo de cinco días, contados a partir del día siguiente a que surta efectos la notificación, realice lo siguiente: a) Presente las pruebas que considere pertinentes sobre el tratamiento que brinda a los datos personales, y b) Manifieste lo que a su derecho convenga respecto de los hechos materia de la verificación y el procedimiento instaurado en su contra, y/o II. Visitas de verificación: el Instituto deberá� realizar aquéllas que sean necesarias en las oficinas o instalaciones del responsable o, en su caso, en el lugar donde estén ubicadas las bases de datos personales o se realice el tratamiento de los datos personales objeto del procedimiento de verificación, teniendo una duración máxima de cinco días hábiles cada una, con la finalidad de que se allegue de la documentación
183
e información necesaria sobre el tratamiento que el responsable lleva acabo. El responsable no podrá� negar el acceso a la documentación solicitada con motivo de un procedimiento de verificación, a sus bases de datos personales o tratamientos de éstos, ni podrá� invocar la reserva o la confidencialidad de la información. Desarrollo de las visitas de verificación Artículo 205. Las visitas de verificación que lleve a cabo el personal del Instituto se deberán realizar conforme a lo siguiente: I. El personal del Instituto deberá� presentarse en las oficinas o instalaciones del responsable o, en su caso, en el lugar donde estén ubicadas las bases de datos personales respectivas o se realicen tratamientos de los datos personales objeto del procedimiento de verificación, con el oficio de comisión y la orden de verificación debidamente fundados y motivados, documentos que estarán firmados por el titular de la unidad administrativa del Instituto que resulte competente para tal efecto de conformidad con lo dispuesto en el Estatuto Orgánico vigente al momento de emitirse el acuerdo de inicio del procedimiento de verificación yen los que
184
deberá� precisar el domicilio del responsable o el lugar donde deba de practicarse la visita, así como el objeto y alcance de la misma; II. El personal del Instituto tendrá� acceso a las instalaciones del responsable y podrá� solicitar la información y documentación que estime necesaria para llevar a cabo la visita de verificación. Al iniciar la visita, el personal verificador del Instituto que desarrolle la diligencia deberá� exhibir la credencial con fotografía vigente, expedida por el Instituto, que lo acredite para desempeñar dicha función, así� como dejar un ejemplar en original de la orden de verificación y del oficio de comisión con quien se entienda la visita, y III. Las visilas de verificación concluirán con el levantamiento del acta correspondiente, en la que quedará constancia de las actuaciones practicadas durante la visita o visitas de verificación. Dicha acta se levantará en presencia de dos testigos propuestos por la persona con quien se hubiera entendido la diligencia o por quien la practique si aquélla se hubiera negado a proponerlos. Tratándose de la fracción III del presente artículo, el acta se deberá� emitir por duplicado y ser firmada por el personal del Instituto y por la persona con quien se
185
hubiere entendido la diligencia, quien podrá� formular observaciones en el acto de la visita de verificación y manifestar lo que a su derecho convenga en relación a los hechos contenidos en ella, o bien, por escrito dentro del término de los cinco días siguientes a la fecha en que se hubiera realizado la visita en cuestión. En caso de que el verificado se niegue a firmar el acta, se hará� constar expresamente dicha circunstancia en la misma. Dicha negativa no afectará la validez de las actuaciones o de la propia acta. La firma del verificado supondrá� sólo la recepción de la misma. Se entregará al verificado uno de los originales del acta de verificación, incorporándose el otro a las actuaciones. Contenido del acta de verificación Articulo 206. En el acta de verificación a que se refiere la fracción III del articulo anterior de los presentes Lineamientos generales, se hará� constar: I. La denominación del responsable; II. La hora, día, mes y año en que se inicie y concluya la visita de verificación; III. Los datos que identifiquen plenamente el domicilio, tales como calle, número, población o colonia, municipio o
186
delegación, código postal y entidad federativa en que se encuentre ubicado el lugar donde se practique la visita de verificación, así como número telefónico u otra forma de comunicación disponible con el responsable; IV. El número y fecha del oficio de comisión y la orden de verificación que la motivó; V. El nombre completo y cargo de la persona con quien se entendió� la visita de verificación, así� como copia del documento que acredite su identidad; VI. El nombre completo y domicilio de las personas que fungieron como testigos, así� como copia del documento que acredite su identidad; VII. Los datos relativos a la actuación; VIII. La declaración del verificado, si quisiera hacerla, y IX. El nombre y firma de quienes intervinieron en la visita de verificación, incluyendo los de quienes la hubieran llevado a cabo. Si se negara a firmar el verificado, su representante legal o la persona con quien se entendió� la visita de verificación, ello no afectará la validez del acta, debiendo el personal verificador asentar la razón relativa. Medidas cautelares Artículo 207. De conformidad con el articulo 149, párrafos cuarto y quinto
187
de la Ley General, el Instituto podrá� ordenar medidas cautelares si del desahogo de la verificación advierte un daño inminente o irreparable en materia de protección de datos personales, siempre y cuando no impidan el cumplimiento de las funciones ni el aseguramiento de bases de datos de los responsables. Estas medidas sólo podrán tener una finalidad correctiva y serán temporales hasta entonces los responsables lleven a cabo las recomendaciones hechas por el Instituto. Solicitud de medidas cautelares por parte del titular Artículo 208. El titular podrá� solicitar al Instituto la aplicación de medidas cautelares cuando considere que el presunto incumplimiento del responsable a las disposiciones previstas en la Ley General y los presentes Lineamientos generales, le causa un daño inminente o irreparable a su derecho a la protección de datos personales. Para tal efecto, el Instituto, a través de la unidad administrativa competente conforme a su Estatuto Orgánico vigente, deberá� considerar los elementos ofrecidos por el titular, en su caso, así� como aquéllos que tenga conocimiento durante la sustanciación del
188
procedimiento de verificación para determinar la procedencia de la solicitud del titular. Improcedencia de las medidas cautelares Artículo 209. La aplicación de medidas cautelares será� improcedente cuando: I. Tengan por efecto dejar sin materia el procedimiento de verificación; II. Eximan al responsable del cumplimiento de las obligaciones previstas en la Ley General y los presentes Lineamientos generales, o III. Impidan el cumplimiento de las atribuciones y funciones de las responsables conferidas por la normatividad que les resulte aplicable o impliquen el aseguramiento de sus bases de datos. Tipos de medidas cautelares Artículo 210. Las medidas cautelares que puede ordenar el Instituto podrán consistir en lo siguiente: I. El cese inmediato del tratamiento, de los actos o las actividades que estén ocasionando o puedan ocasionar un daño inminente o irreparable en materia de protección de datos personales; II. La realización de actos o acciones cuya omisión hayan causado o puedan causar un daño inminente o irreparable en materia de protección de datos personales;
189
III. El bloqueo de los datos personales en posesión del responsable y cuyo tratamiento esté provocando o pueda provocar un daño inminente o irreparable a sus titulares, y IV. Cualquier otra medida, de acción o de omisión que el Instituto considere pertinente dirigida a proteger el derecho a la protección de los datos personales de los titulares. Reconsideración de la aplicación de medidas cautelares Articulo 211. Si durante el procedimiento de verificación, el Instituto, a través de la unidad administrativa competente conforme a su Estatuto Orgánico vigente, advierte nuevos elementos que pudieran modificar la medida cautelar previamente impuesta, éste deberá� notificar al responsable, al menos, con veinticuatro horas de anticipación, la modificación a que haya lugar fundando y motivando su actuación. Conclusión del procedimiento de verificación Articulo 212. El procedimiento de verificación concluirá� con la resolución que emita el Instituto, en la cual se establecerán las medidas que deberá� adoptar el responsable en el plazo que
190
la misma determine. La resolución del procedimiento de verificación será� notificada personalmente, mediante oficio, al responsable y al denunciante a través del medio que hubiera proporcionado para tal efecto. Duración del procedimiento de verificación Artículo 213. El procedimiento de verificación deberá� tener una duración máxima de cincuenta días hábiles, contados a partir de la fecha en que se haya dictado el acuerdo de inicio respectivo, en términos del articulo 149, párrafo tercero, de la Ley General, el cual no podrá� ser prorrogable. Impugnación de las resoluciones del procedimiento de verificación Artículo 214. Las resoluciones dictadas por el Instituto en el procedimiento de verificación serán vinculantes, definitivas e inatacables para los responsables, los titulares podrán impugnar dichas resoluciones ante el Poder Judicial de la Federación mediante juicio de amparo. Capítulo IV Del cumplimiento de las resoluciones recaídas a los procedimientos de verificación Cumplimiento de las resoluciones de los
191
procedimientos de verificación Artículo 215. El responsable, a través del Comité� de Transparencia, dará� estricto cumplimiento a las resoluciones del Instituto recaídas a los procedimientos de verificación, de conformidad con lo previsto en el articulo 150 de la Ley General. Excepcionalmente, considerando las circunstancias especiales del caso, el responsable podrá� solicitar al Instituto, de manera fundada y motivada, una ampliación del plazo para el cumplimiento de las resoluciones a que se refiere el párrafo anterior del presente artículo. Dicha solicitud deberá� presentarse, a más tardar, dentro de los primeros tres días del plazo otorgado al responsable para el cumplimiento de la resolución, a efecto de que el Instituto resuelva sobre la procedencia de la misma dentro de los cinco días siguientes. Rendición de informe de cumplimiento de las resoluciones de los procedimientos de verificación Artículo 216. Transcurrido el plazo señalado en el articulo anterior, el responsable deberá� entregar un informe al Instituto a través del cual señale las acciones y gestiones realizadas para
192
dar cumplimiento a la resolución derivada de un procedimiento de verificación, acompañando la documentación que acredite sus manifestaciones y declaraciones. Procedimiento de verificación del cumplimiento Artículo 217. El Instituto, a través de la unidad administrativa competente conforme a su Estatuto Orgánico vigente, deberá� pronunciarse, en un plazo no mayor a quince días contados a partir del día siguiente a aquél en que se hubiere tenido por presentado el informe de cumplimiento a que se refiere el artículo anterior de los presentes Lineamientos generales, sobre el cumplimiento de la resolución. Si el Instituto, a través de la unidad administrativa competente conforme a su Estatuto Orgánico vigente, considera que se dio cumplimiento a la resolución recaída a un procedimiento de verificación, deberá� emitir un acuerdo de cumplimiento y ordenar el archivo del expediente. En caso contrario, el Instituto deberá�: I. Emitir un acuerdo de incumplimiento; II. Notificar al superior jerárquico del servidor público encargado de dar
193
cumplimiento, para que en un plazo no mayor a diez días contados a partir del día siguiente que surta efectos la notificación, se dé cumplimiento a la resolución bajo el apercibimiento que de no demostrar que dio la orden, se le impondrá� una medida de apremio en los términos señalados en la Ley General y los presentes Lineamientos generales, además de que incurrirá� en las mismas responsabilidades administrativas del servidor público inferior, y III. Determinar las medidas de apremio que deberán imponerse o las acciones procedentes que deberán aplicarse, de conformidad con lo señalado en el siguiente Titulo de los presentes Lineamientos generales.
Capítulo II Del Recurso de Revisión ante el Instituto y los Organismos Garantes Artículo 103. El titular, por sí mismo o a través de su representante, podrán interponer un recurso de revisión ante el Instituto o, en su caso, ante los Organismos garantes o la Unidad de Transparencia del responsable que haya conocido de la solicitud para el ejercicio de los derechos ARCO, dentro de un plazo que no podrá exceder de quince días contados a partir del siguiente a la
Causales de procedencia Articulo 136. El titular o su representante podrán interponer un recurso de revisión cuando se actualice alguna de las causales previstas en el articulo 104 de la Ley General. Escrito del recurso de revisión Articulo 137. Tratándose del articulo 105, fracción 11 de la Ley General, en caso de que el titular no señale de manera expresa su domicilio o cualquier otro medio para oír y recibir notificaciones, se presumirá que acepta que las notificaciones le
Artículos 12, 27, 28, 41 Bis y 49 del Estatuto Orgánico del Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales publicado el 17 de enero de 2017.
Artículo 57 Funciones 1. Sin perjuicio de otras funciones en virtud del presente Reglamento, incumbirá a cada autoridad de control, en su territorio: a) controlar la aplicación
del presente Reglamento y hacerlo aplicar;
b) promover la sensibilización del público y su comprensión de los riesgos, normas, garantías y derechos en relación con el tratamiento. Las actividades dirigidas
Capitulo IV – Ayuda mutua�Artículo 13. Cooperación entre las Partes 1. Las Partes se obligan a concederse mutuamente asistencia para el cumplimiento del presente Convenio. 2. A tal fin, a. cada Parte designará a una o más autoridades cuya denominación y dirección comunicará al Secretario general del Consejo de Europa; b. cada Parte que haya designado a varias autoridades indicará en la
Capítulo IV – Autoridades de Supervisión Artículo 15 – Autoridades supervisoras 1. Cada Parte debe establecer una o más autoridades responsables del cumplimiento de las disposiciones de este Convenio. 2. Para esta finalidad, dichas autoridades: a. deben contar con poderes de investigación e intervención; b. debe llevar a cabo las funciones relacionadas a las transferencias de datos establecidas en el Artículo
Las disposiciones de la LGPDPPSO y los LGPDPSP sobre el recurso de revisión permiten acreditar que los titulares disponen de mecanismos adecuados para la protección de sus derechos.
194
fecha de la notificación de la respuesta. Transcurrido el plazo previsto para dar respuesta a una solicitud para el ejercicio de los derechos ARCO sin que se haya emitido ésta, el titular o, en su caso, su representante podrá interponer el recurso de revisión dentro de los quince días siguientes al que haya vencido el plazo para dar respuesta. Artículo 104. El recurso de revisión procederá en los siguientes supuestos: I. Se clasifiquen como confidenciales los datos personales sin que se cumplan las características señaladas en las leyes que resulten aplicables; II. Se declare la inexistencia de los datos personales; III. Se declare la incompetencia por el responsable; IV. Se entreguen datos personales incompletos; V. Se entreguen datos personales que no correspondan con lo solicitado; VI. Se niegue el acceso, rectificación, cancelación u oposición de datos personales; VII. No se dé respuesta a una solicitud para el ejercicio de los derechos ARCO dentro de los plazos establecidos en la presente Ley y demás disposiciones que resulten aplicables en la materia; VIII. Se entregue o ponga a disposición datos
sean efectuadas por el mismo medio a través del cual presentó su recurso de revisión o través de los estrados del Instituto. En su escrito de recurso de revisión, el titular podrá� exhibir copia de su solicitud para el ejercicio de los derechos ARCO que presentó ante el responsable y los documentos anexos a la misma con su correspondiente acuse de recepción, así como las pruebas y demás elementos que considere procedentes someter aconsideración del Instituto. Presentación del recurso de revisión ante la Unidad de Transparencia del responsable Artículo 138. Cuando el titular o su representante presenten el recurso de revisión ante la Unidad de Transparencia del responsable que conoció de su solicitud para el ejercicio de los derechos ARCO, ésta deberá� remitir el recurso de revisión al Instituto a más tardar al día siguiente de haberlo recibido. En caso de que el recurso de revisión se presente mediante escrito físico, la Unidad de Transparencia del responsable deberá� remilirlo a través de correo postal. Recepción y turno del recurso de revisión Artículo 139. Interpuesto un recurso de revisión ante el Instituto, o bien, recibido por
específicamente a los niños deberán ser objeto de especial atención;
c) asesorar, con arreglo al Derecho de los Estados miembros, al Parlamento nacional, al Gobierno y a otras instituciones y organismos sobre las medidas legislativas y administrativas relativas a la protección de los derechos y libertades de las personas físicas con respecto al tratamiento;
d) promover la sensibilización de los responsables y encargados del tratamiento acerca de las obligaciones que les incumben en virtud del presente Reglamento;
e) previa solicitud, facilitar información a cualquier interesado en relación con el ejercicio de sus derechos en virtud del presente Reglamento y, en su caso, cooperar a tal fin con las autoridades de control de otros Estados miembros;
f) tratar las reclamaciones presentadas por un interesado o por un organismo, organización o asociación de conformidad con el artículo 80, e investigar, en la medida oportuna, el motivo de la reclamación e informar al reclamante sobre el curso y el resultado de la investigación en un plazo razonable, en particular
comunicación a que se refiere el apartado anterior la competencia de cada una de dichas autoridades. 3. Una autoridad designada por una Parte, a petición de una autoridad designada por otra Parte: a. Facilitará informaciones acerca de su derecho y su práctica administrativa en materia de protección de datos; b. tomará toda clase de medidas apropiadas, con arreglo a su derecho interno y solamente a los efectos de la protección de la vida privada, para facilitar informaciones fácticas relativas a un tratamiento automatizado determinado efectuado en su territorio con excepción, sin embargo, de los datos de carácter personal que sean objeto de dicho tratamiento.
14, de manera particular, la aprobación de garantías estandarizadas; c. debe tener poderes para emitir decisiones respecto de las violaciones de las disposiciones de Convenio y podrá, en particular, imponer sanciones administrativas; d. debe tener el poder de entablar procedimientos legales o presentar ante las autoridades judiciales competentes las violaciones a las disposiciones de ese Convenio; e. debe promover: i. el conocimiento del público de sus funciones y facultades, así como de sus actividades; ii. el conocimiento público de los derechos en materia de datos personales, así como su ejercicio; iii. el conocimiento de los Responsables y de los procesadores de datos de sus responsabilidades bajo este Convenio; deberá darse atención específica a la protección de datos personales de niños y otros individuos vulnerables. 3. Las Autoridades Supervisoras competentes deberán ser consultadas en cualquier propuesta de medida legislativa o administrativa que se establezca para el procesamiento de datos personales. 4. Cada Autoridad Supervisora competente debe tratar las solicitudes y quejas presentadas por las
195
personales en una modalidad o formato distinto al solicitado, o en un formato incomprensible; IX. El titular se inconforme con los costos de reproducción, envío o tiempos de entrega de los datos personales; X. Se obstaculice el ejercicio de los derechos ARCO, a pesar de que fue notificada la procedencia de los mismos; XI. No se dé trámite a una solicitud para el ejercicio de los derechos ARCO, y XII. En los demás casos que dispongan las leyes. Artículo 105. Los únicos requisitos exigibles en el escrito de interposición del recurso de revisión serán los siguientes: I. El área responsable ante quien se presentó la solicitud para el ejercicio de los derechos ARCO; II. El nombre del titular que recurre o su representante y, en su caso, del tercero interesado, así como el domicilio o medio que señale para recibir notificaciones; III. La fecha en que fue notificada la respuesta al titular, o bien, en caso de falta de respuesta la fecha de la presentación de la solicitud para el ejercicio de los derechos ARCO; IV. El acto que se recurre y los puntos petitorios, así como las razones o motivos de inconformidad; V. En su caso, copia de la respuesta que se impugna y
la Unidad de Transparencia del responsable que conoció de la solicitud para el ejercicio de los derechos ARCO, el Comisionado Presidente del Instituto deberá� turnarlo al Comisionado ponente que corresponda en estricto orden cronológico y por orden alfabético conforme al primer apellido de los Comisionados, a más tardar al día siguiente de su recepción. Para efectos del presente Capítulo, las funciones conferidas al Comisionado ponente podrán ser realizadas por los servidores públicos que cuenten con facultades conforme a la normatividad que al efecto emita el Pleno del Instituto y que resulte vigente al momento de la sustanciación del recurso de revisión. Momento de acreditación de la identidad del titular Articulo 140. El Instituto deberá acreditar la identidad del titular y, en su caso, la identidad y personalidad de su representante al momento de interponer el recurso de revisión, para lo cual el titular podrá enviar copia simple de su identificación oficial a través de medios electrónicos. Acuerdo de admisión o prevención Artículo 141. Recibido el recurso de revisión, el Comisionado ponente deberá: l. Integrar un expediente del
si fueran necesarias nuevas investigaciones o una coordinación más estrecha con otra autoridad de control;
g) cooperar, en particular compartiendo información, con otras autoridades de control y prestar asistencia mutua con el fin de garantizar la coherencia en la aplicación y ejecución del presente Reglamento;
h) llevar a cabo investigaciones sobre la aplicación del presente Reglamento, en particular basándose en información recibida de otra autoridad de control u otra autoridad pública;
i) hacer un seguimiento de cambios que sean de interés, en la medida en que tengan incidencia en la protección de datos personales, en particular el desarrollo de las tecnologías de la información y la comunicación y las prácticas comerciales;
j) adoptar las cláusulas contractuales tipo a que se refieren el artículo 28, apartado 8, y el artículo 46, apartado 2, letra d);
k) elaborar y mantener una lista relativa al requisito de la evaluación de impacto relativa a la protección de datos, en virtud del artículo 35, apartado 4;
l) ofrecer asesoramiento
personas concernidas relacionadas con sus derechos a la protección de datos personales y debe mantenerlas informadas de su progreso. 5. Las Autoridades Supervisoras deben actuar con completa independencia e imparcialidad en el desempeño de sus deberes y el ejercicio de sus poderes; al hacerlo, no deben buscar ni aceptar instrucciones. 6. Cada Parte debe garantizar que las Autoridades Supervisoras son establecidas con los recursos necesarios para que el desempeño de sus funciones y el ejercicio de sus funciones sea efectivo. 7. Cada Autoridad Supervisora debe preparar y publicar un reporte periódico de sus actividades. 8. Los Miembros y el personal de las Autoridades Supervisoras deberán estar sujetos a las obligaciones de confidencialidad respecto de la información confidencial a la que tienen acceso, o han tenido acceso, en el desempeño de sus funciones y el ejercicio de sus poderes. 9. Las decisiones de las Autoridades Supervisoras podrán ser sujetas a la revisión judicial. 10. Las Autoridades Supervisoras no deberán ser competentes respecto del procesamiento llevado a cabo por organismos con facultades jurisdiccionales.
196
de la notificación correspondiente, y VI. Los documentos que acrediten la identidad del titular y, en su caso, la personalidad e identidad de su representante. Al recurso de revisión se podrán acompañar las pruebas y demás elementos que considere el titular procedente someter a juicio del Instituto o, en su caso, de los Organismos garantes. En ningún caso será necesario que el titular ratifique el recurso de revisión interpuesto. Artículo 106. Una vez admitido el recurso de revisión, el Instituto o, en su caso, los Organismos garantes podrán buscar una conciliación entre el titular y el responsable. De llegar a un acuerdo, éste se hará constar por escrito y tendrá efectos vinculantes. El recurso de revisión quedará sin materia y el Instituto, o en su caso, los Organismos garantes, deberán verificar el cumplimiento del acuerdo respectivo. Artículo 107. Admitido el recurso de revisión y sin perjuicio de lo dispuesto por el artículo 65 de la presente Ley, el Instituto promoverá la conciliación entre las partes, de conformidad con el siguiente procedimiento: I. El Instituto y los Organismos garantes, según corresponda,
recurso de revisión; II. Proceder al estudio y análisis del recurso de revisión con las pruebas y demás elementos manifestados y presentados por el titular, y III. Emitir un acuerdo fundando y motivando cualquiera de las siguientes determinaciones: a) Requiriendoaltitularinformaciónadicionalentérminosdelosarticulas110delaLeyGeneral y del artículo síguiente de los presentes Lineamientos generales, o . b) Admitiendo el recurso de revisión. El Comisionado ponente deberá emítir el acuerdo a que se refiere la fracción III del presente artículo dentro de los cinco días siguientes, contados a partir del día siguiente de recibir el recurso de revisión, el cual deberá ser notificado al titular, responsable y, en su caso, tercero interesado dentro de los tres días siguientes. Acuerdo de prevención al titular Artículo 142. El acuerdo de prevención se emitirá en aquellos casos en que el escrito de interposición del recurso de revisión no cumpla con alguno de los requisitos previstos en el artículo 105 de la Ley General y el Comisionado ponente no cuente con elementos para subsanarlos.
sobre las operaciones de tratamiento contempladas en el artículo 36, apartado 2;
m) alentar la elaboración de códigos de conducta con arreglo al artículo 40, apartado 1, y dictaminar y aprobar los códigos de conducta que den suficientes garantías con arreglo al artículo 40, apartado 5;
n) fomentar la creación de mecanismos de certificación de la protección de datos y de sellos y marcas de protección de datos con arreglo al artículo 42, apartado 1, y aprobar los criterios de certificación de conformidad con el artículo 42, apartado 5;
o) llevar a cabo, si procede, una revisión periódica de las certificaciones expedidas en virtud del artículo 42, apartado 7;
p) elaborar y publicar los criterios para la acreditación de organismos de supervisión de los códigos de conducta con arreglo al artículo 41 y de organismos de certificación con arreglo al artículo 43;
q) efectuar la acreditación de organismos de supervisión de los códigos de conducta con arreglo al artículo 41 y de organismos de certificación con arreglo al artículo 43;
r) autorizar las cláusulas
197
requerirán a las partes que manifiesten, por cualquier medio, su voluntad de conciliar, en un plazo no mayor a siete días, contados a partir de la notificación de dicho acuerdo, mismo que contendrá un resumen del recurso de revisión y de la respuesta del responsable si la hubiere, señalando los elementos comunes y los puntos de controversia. La conciliación podrá celebrarse presencialmente, por medios remotos o locales de comunicación electrónica o por cualquier otro medio que determine el Instituto o los Organismos garantes, según corresponda. En cualquier caso, la conciliación habrá de hacerse constar por el medio que permita acreditar su existencia. Queda exceptuado de la etapa de conciliación, cuando el titular sea menor de edad y se haya vulnerado alguno de los derechos contemplados en la Ley para la Protección de los Derechos de Niñas, Niños y Adolescentes, vinculados con la Ley y el Reglamento, salvo que cuente con representación legal debidamente acreditada; II. Aceptada la posibilidad de conciliar por ambas partes, el Instituto y los Organismos garantes, según correspondan, señalarán el lugar o medio, día y hora para la
En este caso, el acuerdo de prevención deberá requerir al titular, por una sola ocasión, la información necesaria para subsanar las omisiones de su escrito de recurso de revisión con el apercibimiento de que, en caso de no cumplir con el requerimiento, en un plazo máximo de cinco días contados a partír del dia siguiente al de la notificación del acuerdo, se desechará el recurso de revisión de conformidad con el artículo 110 de la Ley General. Acuerdo de admísíón del recurso de revisión Articulo 143. Además de lo previsto en el artículo 107, fracción II de la Ley General, en el acuerdo de admisión del recurso de revisión, el Comisionado ponente deberá promover la conciliación entre el titular y el responsable, así como poner a disposición de éstos el expediente respectivo del recurso de revisión para que en un plazo máximo de siete días contados a partir de la notificación de dícho acuerdo: I. Manifiesten por cualquíer medio su voluntad de conciliar; II. Señalen lo que a su derecho convenga; III. Ofrezcan las pruebas que consideren pertinentes en términos de lo dispuesto en los artículos 102 de la Ley General y 131 de los presentes Lineamientos generales, y
contractuales y disposiciones a que se refiere el artículo 46, apartado 3;
s) aprobar normas corporativas vinculantes de conformidad con lo dispuesto en el artículo 47;
t) contribuir a las actividades del Comité;
u) llevar registros internos de las infracciones del presente Reglamento y de las medidas adoptadas de conformidad con el artículo 58, apartado 2, y
v) desempeñar cualquier otra función relacionada con la protección de los datos personales.
2. Cada autoridad de control facilitará la presentación de las reclamaciones contempladas en el apartado 1, letra f), mediante medidas como un formulario de presentación de reclamaciones que pueda cumplimentarse también por medios electrónicos, sin excluir otros medios de comunicación. 3. El desempeño de las funciones de cada autoridad de control será gratuito para el interesado y, en su caso, para el delegado de protección de datos. 4. Cuando las solicitudes sean manifiestamente infundadas o excesivas, especialmente debido a su carácter repetitivo, la autoridad de control podrá
198
celebración de una audiencia de conciliación, la cual deberá realizarse dentro de los diez días siguientes en que el Instituto o los Organismos garantes, según corresponda, hayan recibido la manifestación de la voluntad de conciliar de ambas partes, en la que se procurará avenir los intereses entre el titular y el responsable. El conciliador podrá, en todo momento en la etapa de conciliación, requerir a las partes que presenten en un plazo máximo de cinco días, los elementos de convicción que estime necesarios para la conciliación. El conciliador podrá suspender cuando lo estime pertinente o a instancia de ambas partes la audiencia por una ocasión. En caso de que se suspenda la audiencia, el conciliador señalará día y hora para su reanudación dentro de los cinco días siguientes. De toda audiencia de conciliación se levantará el acta respectiva, en la que conste el resultado de la misma. En caso de que el responsable o el titular o sus respectivos representantes no firmen el acta, ello no afectará su validez, debiéndose hacer constar dicha negativa; III. Si alguna de las partes no acude a la audiencia de conciliación y justifica su ausencia en un plazo de tres días, será convocado a una segunda audiencia de
IV. Presenten alegatos. En caso de existir tercero interesado, deberá acreditar su identidad y su carácter como tal, alegar lo que a su derecho convenga y aportar las pruebas que estime pertinentes en ,el plazo señalado en el primer párrafo del presente artículo. El titular, responsable y/o personas autorizadas podrán consultar los expedientes de los recursos de revisión en horarios y durante todos los días hábiles del año que determine el Instituto. Etapa de conciliación Articulo 144. El Comisionado ponente deberá promover, privilegiar y buscar la conciliación entre el titular y responsable. La etapa de conciliación sólo será posible cuando el titular y el responsable acuerden someterse a dicho procedimiento, la cual, de acuerdo con el articulo 107, fracción I de la Ley General, podrá celebrarse por cualquiera de los siguientes medios: l. Presencialmente; II. Por medios remotos o locales de comunicación electrónica, o III. Cualquier otro medio que determine el Comisionado ponente. En cualquiera de los medios señalados en las fracciones anteriores del presente articulo, el Comisíonado
establecer una tasa razonable basada en los costes administrativos o negarse a actuar respecto de la solicitud. La carga de demostrar el carácter manifiestamente infundado o excesivo de la solicitud recaerá en la autoridad de control. CAPÍTULO VIII Recursos, responsabilidad y sanciones Artículo 77 Derecho a presentar una reclamación ante una autoridad de control 1. Sin perjuicio de cualquier otro recurso administrativo o acción judicial, todo interesado tendrá derecho a presentar una reclamación ante una autoridad de control, en particular en el Estado miembro en el que tenga su residencia habitual, lugar de trabajo o lugar de la supuesta infracción, si considera que el tratamiento de datos personales que le conciernen infringe el presente Reglamento. 2. La autoridad de control ante la que se haya presentado la reclamación informará al reclamante sobre el curso y el resultado de la reclamación, inclusive sobre la posibilidad de acceder a la tutela judicial en virtud del artículo 78. Artículo 78 Derecho a la tutela judicial efectiva contra una autoridad de control 1. Sin perjuicio de cualquier
199
conciliación, en el plazo de cinco días; en caso de que no acuda a esta última, se continuará con el recurso de revisión. Cuando alguna de las partes no acuda a la audiencia de conciliación sin justificación alguna, se continuará con el procedimiento; IV. De no existir acuerdo en la audiencia de conciliación, se continuará con el recurso de revisión; V. De llegar a un acuerdo, éste se hará constar por escrito y tendrá efectos vinculantes. El recurso de revisión quedará sin materia y el Instituto, o en su caso, los Organismos garantes, deberán verificar el cumplimiento del acuerdo respectivo, y VI. El cumplimiento del acuerdo dará por concluido la sustanciación del recurso de revisión, en caso contrario, el Instituto reanudará el procedimiento. El plazo al que se refiere el artículo siguiente de la presente Ley será suspendido durante el periodo de cumplimiento del acuerdo de conciliación. Artículo 108. El Instituto y los Organismos garantes resolverán el recurso de revisión en un plazo que no podrá exceder de cuarenta días, el cual podrá ampliarse hasta por veinte días por una sola vez. Artículo 109. Durante el procedimiento a que se
ponente deberá dejar constancia de la existencia de la conciliación para efectos de acreditación. En la etapa de conciliación deberán observarse los principios de voluntariedad, confidencialidad, neutralidad, imparcialidad, equidad, flexibilidad y economía. Conciliación en recursos de revísión de menores de edad Artículo 145. De conformidad con el articulo 107, fracción I de la Ley General y el artículo anterior, la conciliación no será� procedente cuando el titular sea menor de edad y se hubiere vulnerado alguno de los derechos contemplados en la Ley General de los Derechos de Niñas, Niños y Adolescentes vinculados con la Ley General, salvo que el menor cuente con representación legal debidamente acreditada. Audiencia de conciliación Articulo 146. Aceptada la conciliación por el titular y el responsable, en términos del articulo 107 de la Ley General, el Comisionado ponente deberá� emitir un acuerdo a través del cual señale el lugar o medio, día y hora para la celebración de la audiencia de conciliación y solicite a éstos los elementos de convicción que consideren pertinentes presentar
otro recurso administrativo o extrajudicial, toda persona física o jurídica tendrá derecho a la tutela judicial efectiva contra una decisión jurídicamente vinculante de una autoridad de control que le concierna. 2. Sin perjuicio de cualquier otro recurso administrativo o extrajudicial, todo interesado tendrá derecho a la tutela judicial efectiva en caso de que la autoridad de control que sea competente en virtud de los artículos 55 y 56 no dé curso a una reclamación o no informe al interesado en el plazo de tres meses sobre el curso o el resultado de la reclamación presentada en virtud del artículo 77. 3. Las acciones contra una autoridad de control deberán ejercitarse ante los tribunales del Estado miembro en que esté establecida la autoridad de control. 4. Cuando se ejerciten acciones contra una decisión de una autoridad de control que haya sido precedida de un dictamen o una decisión del Comité en el marco del mecanismo de coherencia, la autoridad de control remitirá al tribunal dicho dictamen o decisión. Artículo 79 Derecho a la tutela judicial efectiva contra un responsable o encargado del tratamiento 1. Sin perjuicio de los recursos administrativos o
200
refiere el presente Capítulo, el Instituto y los Organismos garantes, según corresponda, deberán aplicar la suplencia de la queja a favor del titular, siempre y cuando no altere el contenido original del recurso de revisión, ni modifique los hechos o peticiones expuestas en el mismo, así como garantizar que las partes puedan presentar los argumentos y constancias que funden y motiven sus pretensiones. Artículo 110. Si en el escrito de interposición del recurso de revisión el titular no cumple con alguno de los requisitos previstos en el artículo 105 de la presente Ley y el Instituto y los Organismos garantes, según corresponda, no cuenten con elementos para subsanarlos, éstos deberán requerir al titular, por una sola ocasión, la información que subsane las omisiones en un plazo que no podrá exceder de cinco días, contados a partir del día siguiente de la presentación del escrito. El titular contará con un plazo que no podrá exceder de cinco días, contados a partir del día siguiente al de la notificación de la prevención, para subsanar las omisiones, con el apercibimiento de que en caso de no cumplir con el requerimiento, se desechará el recurso de revisión. La prevención tendrá el
durante el desarrollo de la audiencia, dentro de los tres días siguientes contados a partir del día siguiente que tenga conocimiento de que el titular y el responsable aceptan someterse a la etapa de conciliación. La audiencia de conciliación deberá� realizarse en un plazo máximo de diez días siguientes en que el Comisionado ponente recibió� la manifestación de voluntad del titular y el responsable para conciliar. La audiencia de conciliación podrá� llevarse a cabo con el representante del titular, siempre y cuando, el titular haya manifestado su voluntad para tales efectos. Ausencia de alguna de las partes a la audiencia de conciliación con justificación Articulo 147. De acuerdo con el articulo 107, fracción III de la Ley General, si el titular o el responsable no acuden a la audiencia de conciliación y justifican su ausencia dentro de los tres días, contados a partir del día siguiente de la fecha señalada para la celebración de la audiencia de conciliación, serán convocados por el Comisionado ponente a una segunda audiencia en el plazo de cinco días, contados a partir del día siguiente de la recepción de su justificación. En caso de que el titular o el responsable no acudan a esta segunda audiencia, el Comisionado ponente
extrajudiciales disponibles, incluido el derecho a presentar una reclamación ante una autoridad de control en virtud del artículo 77, todo interesado tendrá derecho a la tutela judicial efectiva cuando considere que sus derechos en virtud del presente Reglamento han sido vulnerados como consecuencia de un tratamiento de sus datos personales. 2. Las acciones contra un responsable o encargado del tratamiento deberán ejercitarse ante los tribunales del Estado miembro en el que el responsable o encargado tenga un establecimiento. Alternativamente, tales acciones podrán ejercitarse ante los tribunales del Estado miembro en que el interesado tenga su residencia habitual, a menos que el responsable o el encargado sea una autoridad pública de un Estado miembro que actúe en ejercicio de sus poderes públicos.
201
efecto de interrumpir el plazo que tienen el Instituto y los Organismos garantes para resolver el recurso, por lo que comenzará a computarse a partir del día siguiente a su desahogo. Artículo 111. Las resoluciones del Instituto o, en su caso, de los Organismos garantes podrán: I.Sobreseer o desechar el recurso de revisión por improcedente; II.Confirmar la respuesta del responsable; III.Revocar o modificar la respuesta del responsable, o IV.Ordenar la entrega de los datos personales, en caso de omisión del responsable. Las resoluciones establecerán, en su caso, los plazos y términos para su cumplimiento y los procedimientos para asegurar su ejecución. Los responsables deberán informar al Instituto o, en su caso, a los Organismos garantes el cumplimiento de sus resoluciones. Ante la falta de resolución por parte del Instituto, o en su caso, de los Organismos garantes, se entenderá confirmada la respuesta del responsable. Cuando el Instituto, o en su caso, los Organismos garantes, determinen durante la sustanciación del recurso de revisión que se pudo haber incurrido en una probable responsabilidad
deberá� continuar con la siguiente etapa de sustanciación del procedimiento del recurso de revisión conforme lo dispuesto en la Ley General y los presentes Lineamientos generales. Ausencia de alguna de las partes a la audiencia de conciliación sin justificación Articulo 148. De conformidad con el articulo 107, fracción III de la Ley General, cuando el titular o el responsable no acudan a la audiencia de conciliación y no justifiquen su ausencia, el Comisionado ponente deberá� continuar con la siguiente etapa de sustanciación del procedimiento del recurso de revisión en términos de la Ley General y los presentes Lineamientos generales. Acta de la audiencia de conciliación Articulo 149. De conformidad con lo señalado en el articulo 107, fracción II de la Ley General, de toda audiencia de conciliación se deberá� levantar el acta respectiva, en la cual deberá� constar, al menos, lo siguiente: I El número de expediente del recurso de revisión; II. El lugar, fecha y hora de celebración de la audiencia de conciliación; III. Los fundamentos legales para llevar a cabo la audiencia;
202
por el incumplimiento a las obligaciones previstas en la presente Ley y demás disposiciones que resulten aplicables en la materia, deberán hacerlo del conocimiento del órgano interno de control o de la instancia competente para que ésta inicie, en su caso, el procedimiento de responsabilidad respectivo. Artículo 112. El recurso de revisión podrá ser desechado por improcedente cuando: I. Sea extemporáneo por haber transcurrido el plazo establecido en el artículo 103 de la presente Ley; II.El titular o su representante no acrediten debidamente su identidad y personalidad de este último; III. El Instituto o, en su caso, los Organismos garantes hayan resuelto anteriormente en definitiva sobre la materia del mismo; IV.No se actualice alguna de las causales del recurso de revisión previstas en el artículo 104 de la presente Ley; V. Se esté tramitando ante los tribunales competentes algún recurso o medio de defensa interpuesto por el recurrente, o en su caso, por el tercero interesado, en contra del acto recurrido ante el Instituto o los Organismos garantes, según corresponda; VI. El recurrente modifique o amplíe su petición en el recurso de revisión, únicamente respecto de los
El nombre completo del titular o su representante, ambos debidamente acreditados; La denominación del responsable y el servidor público que haya designado como su representante, este último debidamente acreditado; El nombre o los nombres de los servidores públicos del Instituto que asistieron a la audiencia de conciliación; La manifestación de la voluntad del titular y responsable de dirimir sus controversias mediante la celebración de un acuerdo de conciliación; La narración circunstanciada de los hechos ocurridos durante la audiencia de conciliación; Los acuerdos adoptados por las partes, en su caso; El plazo para el cumplimiento de los acuerdos, en su caso, y El nombre y firma del conciliador, servidores públicos designados por el Comisionado ponente, titular o su representante, representante del responsable y de todas aquellas personas que intervinieron en la audiencia de conciliación. En caso de que el titular o su representante o el representante del responsable no firmen el acta se hará� constar tal negativa, cuestión que no deberá� afectar la validez de la misma ni el carácter vinculante de los acuerdos
203
nuevos contenidos, o VII. El recurrente no acredite interés jurídico. El desechamiento no implica la preclusión del derecho del titular para interponer ante el Instituto o los Organismos garantes, según corresponda, un nuevo recurso de revisión. Artículo 113. El recurso de revisión solo podrá ser sobreseído cuando: I. El recurrente se desista expresamente; II. El recurrente fallezca; III. Admitido el recurso de revisión, se actualice alguna causal de improcedencia en los términos de la presente Ley; IV.El responsable modifique o revoque su respuesta de tal manera que el recurso de revisión quede sin materia, o V. Quede sin materia el recurso de revisión. Artículo 114. El Instituto y los Organismos garantes deberán notificar a las partes y publicar las resoluciones, en versión pública, a más tardar, al tercer día siguiente de su aprobación. Artículo 115. Las resoluciones del Instituto y de los Organismos garantes serán vinculantes, definitivas e inatacables para los responsables. Los titulares podrán impugnar dichas resoluciones ante el Poder
adoptados, en su caso. Cuando la audiencia de conciliación se realice por medios remotos, el conciliador deberá� hacer del conocimiento de titular y responsable que la misma será� grabada por el medio que a juicio del conciliador considere conveniente para el único efecto de acreditar la existencia de ésta. Acuerdo de conciliación Artículo 150. En términos de los artículos 106 y 107, fracción V de la Ley General, si el titular y el responsable llegan a un acuerdo en la etapa de conciliación, éste deberá� constar por escrito en el acta de la audiencia de conciliación y tendrá� efectos vinculantes. Cumplimiento del acuerdo de conciliación Articulo 151. El responsable deberá� cumplir el acuerdo de conciliación en el plazo establecido en el acta, el cual se definirá� en función del derecho ARCO a ejercer y de la complejidad técnica, operativa o demás cuestiones involucradas para hacer efectivo el derecho que se trate. Para tal efecto, el responsable deberá� hacer del conocimiento del Comisionado ponente el cumplimiento del acuerdo a que se refiere el párrafo anterior del presente articulo a más tardar al día siguiente de que concluya el plazo
204
Judicial de la Federación mediante el Juicio de Amparo. Artículo 116. Tratándose de las resoluciones a los recursos de revisión de los Organismos garantes de las Entidades Federativas, los particulares podrán optar por acudir ante el Instituto interponiendo el recurso de inconformidad previsto en esta Ley o ante el Poder Judicial de la Federación mediante el Juicio de Amparo.
fijado para cumplir el acuerdo de conciliación. En caso de que el responsable no informe sobre el cumplimiento del acuerdo de conciliación en el plazo establecido en el párrafo anterior, se tendrá� por incumplido y se reanudará la sustanciación del recurso de revisión. Efecto del cumplimiento del acuerdo de conciliación Artículo 152. Cuando el responsable cumpla con el acuerdo de conciliación, el Comisionado ponente deberá� emitir un acuerdo de cumplimiento, dentro de los tres días siguientes contados a partir del día siguiente de la recepción de la notificación del responsable sobre el cumplimiento del acuerdo de conciliación. El cumplimiento del acuerdo de conciliación dará� por concluida la sustanciación del recurso de revisión y el Comisionado ponente deberá� someter a consideración del Pleno del Instituto el proyecto de resolución en la que se proponga el sobreseimiento del recurso de revisión, en términos de lo dispuesto en el artículo 113, fracción V de la Ley General. En caso contrario, el Comisionado ponente deberá� reanudar el procedimiento. Acuerdo de admisión o desechamiento de pruebas
205
Articulo 153. Si el titular o responsable no hubieren manifestado su voluntad para conciliar, o bien, en la audiencia de conciliación no llegan a un acuerdo, se deberá� dar por concluida la etapa de conciliación y el Comisionado ponente deberá� dictar un acuerdo de admisión o desechamiento de las pruebas que en su caso hubieren ofrecido, el cual señalará� lugar y hora para el desahogo de aquellas pruebas que por su propia naturaleza requieran ser desahogadas en audiencia, y, en su caso, citar a las personas señaladas como testigos. El acuerdo a que se refiere el párrafo anterior deberá� ser emitido en un plazo de tres días contados a partir del día siguiente de la conclusión de la etapa de conciliación, o bien, del plazo que tiene el titular y el responsable para manifestar su voluntad de conciliar. Para la admisión de las pruebas ofrecidas por el titular, responsable y, en su caso, tercero interesado, el Comisionado ponente deberá� observar lo dispuesto en el artículo 132 de los presentes Lineamientos generales. Pruebas supervenientes Artículo 154. Una vez emitido el acuerdo a que se refiere el artículo anterior de los presentes Lineamientos generales, el Comisionado
206
ponente sólo admitirá� pruebas supervenientes. Audiencia de desahogo de pruebas Articulo 155. En la audiencia de desahogo de pruebas a que se refiere el artículo 153 de los presentes Lineamientos generales y la valoración de las mismas, el Comisionado ponente deberá� observar lo dispuesto en el articulo 133 del mismo ordenamiento. Ampliación del plazo de resolución del recurso de revisión Artículo 156. Cuando el Comisionado ponente determine ampliar el plazo a que se refiere el artículo 108 de la Ley General, deberá� emitir un acuerdo que funde y motive la causa de la ampliación de dicho plazo dentro de los cuarenta días que tiene el Instituto para resolver el recurso de revisión, el cual deberá� ser notificado al titular, responsable y, en su caso, tercero interesado. Resolución del recurso de revisión Artículo 157. El Instituto en sus resoluciones establecerá� los plazos y términos para su cumplimiento y los procedimientos para asegurar su ejecución, los cuales no podrán exceder de diez días para el acceso, rectificación, cancelación u oposición al tratamiento de
207
los datos personales. Excepcionalmente, el Instituto, previa fundamentación y motivación, podrá� ampliar estos plazos cuando el asunto así� lo requiera. Ante la falta de resolución por parte del Instituto se entenderá� confirmada la respuesta del responsable. Manifestación del desistimiento Artículo 158. Para el caso de que el titular se desista del recurso de revisión deberá� manifestar su voluntad de manera expresa, clara e inequívoca de no continuar con la sustanciación y resolución del mismo conforme lo siguiente: I. Cuando se hubiere presentado por escrito ante el Instituto, el desistimiento deberá� promoverse por escrito con la firma autógrafa del titular; II. Cuando el recurso de revisión hubiere sido presentado por correo electrónico, el desistimiento deberá� de ser presentado a través de la misma cuenta de correo electrónico por la cual se presentó, de alguna de las cuentas de correo electrónico autorizadas para recibir notificaciones; III. Cuando la presentación del recurso de revisión se hubiere efectuado a través del sistema electrónico, el desistimiento deberá� presentarse por alguna de las cuentas de correo
208
electrónico autorizadas para recibir notificaciones, o IV. Cuando el titular comparezca personalmente ante el Instituto, con independencia del medio a través del cual hubiere presentado el recurso de revisión. En caso de que la manifestación de su voluntad no se advierta clara e inequívoca, el Comisionado ponente podrá� requerir al titular que precise su intención de no continuar con la sustanciación y resolución del mismo. Medios de impugnación de las resoluciones Artículo 159. De conformidad con el artículo 115 de la Ley General, las resoluciones del Instituto serán vinculantes, definitivas e inatacables para el responsable, salvo la interposición del recurso de revisión en materia de seguridad nacional por parte de la Consejería Jurídica del Ejecutivo Federal ante la Suprema Corte de Justicia de la Nación, en términos de lo dispuesto en los artículos 139, 140, 141, 142 Y143 de la Ley General. El titular podrá� impugnar dichas resoluciones ante el Poder Judicial de la Federación mediante el juicio de amparo, de conformidad con la normatividad aplicable en la materia.
209
Capítulo III Del cumplimiento de las resoluciones recaídas a los recursos de revisión Plazo de cumplimiento y prórroga de las resoluciones de los recursos de revisión Artículo 160. El responsable, a través de la Unidad de Transparencia, dará� estricto cumplimiento a las resoluciones del Instituto. Excepcionalmente, considerando las circunstancias especiales del caso, el responsable podrá� solicitar al Instituto, de manera fundada y motivada, una ampliación del plazo para el cumplimiento de la resolución. Dicha solicitud deberá� presentarse, a más tardar, dentro de los primeros tres días del plazo otorgado para el cumplimiento, a efecto de que el Instituto resuelva sobre la procedencia de la misma dentro de los cinco días siguientes. Durante este periodo, se suspenderá� el plazo que tiene el responsable para dar cumplimiento a la resolución, el cual se reanudará a partir del día siguiente a aquél que el Instituto le notifique su determinación. Rendición de informe de cumplimiento de las resoluciones de los recursos de revisión Articulo 161. Transcurrido el plazo señalado en el articulo
210
anterior, el responsable deberá� informar al Instituto sobre el cumplimento de la resolución. El Instituto, a través de la unidad administrativa competente conforme a su Estatuto Orgánico vigente, deberá� verificar de oficio el cumplimiento de la resolución del recurso de revisión y, a más tardar al día siguiente de recibir el informe, dar vista al titular para que, dentro de los cinco días siguientes manifieste lo que a su derecho convenga. Si dentro del plazo señalado el titular manifiesta que el cumplimiento no corresponde a lo ordenado por el Instituto, deberá� expresar las causas especificas por las cuales así� lo considera. Procedimiento de verificación del cumplimiento de las resoluciones de los recursos de revisión Articulo 162. El Instituto, a través de la unidad administrativa competente conforme a su Estatuto Orgánico vigente, deberá� pronunciarse, en un plazo no mayor a cinco días contados a partir del día siguiente de la recepción de las manifestaciones del titular, sobre todas las causas que éste manifieste, así como del resultado de la verificación que hubiere realizado. Si el Instituto, a través de la
211
unidad administrativa competente conforme a su Estatuto Orgánico vigente, considera que se dio cumplimiento a la resolución deberá� emitir un acuerdo de cumplimiento y ordenar el archivo del expediente. En caso contrario, el Instituto deberá�: l. Emitir un acuerdo de incumplimiento; ii. Notificar al superior jerárquico del servidor público encargado de dar cumplimiento, para que en un plazo no mayor a cinco días contados q partir del día siguiente que surta efectos la notificación, se dé cumplimiento a la resolución bajo el apercibimiento que de no demostrar que dio la orden, se le impondrá� una medida de apremio en los términos señalados en la Ley General y los presentes Lineamientos generales, además de que incurrirá� en las mismas responsabilidades administrativas del servidor público inferior, y iii. Determinar las medidas de apremio que deberán imponerse o las acciones procedentes que deberán aplicarse, de conformidad con lo señalado en el siguiente Titulo de los presentes Lineamientos generales.
Capítulo III Del Recurso de Inconformidad ante el Instituto
Plazo de interposición del recurso de inconformidad Articulo 163. De conformidad con lo previsto
-Artículos 12, 27, 28, 41 Bis y 49 del Estatuto Orgánico del Instituto Nacional de Transparencia, Acceso a la
Artículo 57 Funciones 1. Sin perjuicio de otras funciones en virtud del
Capitulo IV – Ayuda mutua�Artículo 13. Cooperación entre las Partes
Capítulo IV – Autoridades de Supervisión Artículo 15 – Autoridades supervisoras
Las disposiciones de la LGPDPPSO y los LGPDPSP sobre el recurso de inconformidad permiten
212
Artículo 117. El titular, por sí mismo o a través de su representante, podrá impugnar la resolución del recurso de revisión emitido por el organismo garante ante el Instituto, mediante el recurso de inconformidad. El recurso de inconformidad se podrá presentar ante el organismo garante que haya emitido la resolución o ante el Instituto, dentro de un plazo de quince días contados a partir del siguiente a la fecha de la notificación de la resolución impugnada. Los Organismos garantes deberán remitir el recurso de inconformidad al Instituto al día siguiente de haberlo recibido; así como las constancias que integren el procedimiento que haya dado origen a la resolución impugnada, el cual resolverá allegándose de los elementos que estime convenientes. Artículo 118. El recurso de inconformidad procederá contra las resoluciones emitidas por los Organismos garantes de las Entidades Federativas que: I. Clasifiquen los datos personales sin que se cumplan las características señaladas en las leyes que resulten aplicables; II. Determinen la inexistencia de datos personales, o III. Declaren la negativa de datos personales, es decir: a) Se entreguen datos
en el articulo 117 de la Ley General, el titular o su representante podrán interponer el recurso de inconformidad ante el Instituto, o bien, ante el organismo garante que hubiere emitido la resolución, dentro de los quince días contados a partir del siguiente a la fecha de la notificación de la resolución impugnada. Causales de procedencia del recurso de inconformidad Articulo 164. El titular o su representante podrán interponer un recurso de inconformidad cuando se actualice alguna de las causales previstas en el articulo 118 de la Ley General. Requisitos del escrito de recurso de inconformidad Artículo 165. En términos del articulo 119 de la Ley General, el titular deberá� señalar en el recurso de inconformidad lo siguiente: l. Su nombre completo y, en su caso, el de su representante, así� como su domicilio o cualquier otro medio para oír y recibir notificaciones; II. La denominación del responsable ante el cual se presentó la solicitud para el ejercicio de los derechos ARCO; III. La denominación del organismo garante que emitió� la resolución impugnada; El nombre completo del
Información y Protección de Datos Personales publicado el 17 de enero de 2017.
presente Reglamento, incumbirá a cada autoridad de control, en su territorio: a) controlar la aplicación del
presente Reglamento y hacerlo aplicar;
b) promover la
sensibilización del público y su comprensión de los riesgos, normas, garantías y derechos en relación con el tratamiento. Las actividades dirigidas específicamente a los niños deberán ser objeto de especial atención;
c) asesorar, con arreglo al
Derecho de los Estados miembros, al Parlamento nacional, al Gobierno y a otras instituciones y organismos sobre las medidas legislativas y administrativas relativas a la protección de los derechos y libertades de las personas físicas con respecto al tratamiento;
d) promover la
sensibilización de los responsables y encargados del tratamiento acerca de las obligaciones que les incumben en virtud del presente Reglamento;
e) previa solicitud, facilitar
información a cualquier interesado en relación con el ejercicio de sus derechos en virtud del presente Reglamento y, en su caso, cooperar a tal
1. Las Partes se obligan a concederse mutuamente asistencia para el cumplimiento del presente Convenio. 2. A tal fin, a. cada Parte designará a una o más autoridades cuya denominación y dirección comunicará al Secretario general del Consejo de Europa; b. cada Parte que haya designado a varias autoridades indicará en la comunicación a que se refiere el apartado anterior la competencia de cada una de dichas autoridades. 3. Una autoridad designada por una Parte, a petición de una autoridad designada por otra Parte: a. Facilitará informaciones acerca de su derecho y su práctica administrativa en materia de protección de datos; b. tomará toda clase de medidas apropiadas, con arreglo a su derecho interno y solamente a los efectos de la protección de la vida privada, para facilitar informaciones fácticas relativas a un tratamiento automatizado determinado efectuado en su territorio con excepción, sin embargo, de los datos de carácter personal que sean objeto de dicho tratamiento.
1. Cada Parte debe establecer una o más autoridades responsables del cumplimiento de las disposiciones de este Convenio. 2. Para esta finalidad, dichas autoridades: a. deben contar con poderes de investigación e intervención; b. debe llevar a cabo las funciones relacionadas a las transferencias de datos establecidas en el Artículo 14, de manera particular, la aprobación de garantías estandarizadas; c. debe tener poderes para emitir decisiones respecto de las violaciones de las disposiciones de Convenio y podrá, en particular, imponer sanciones administrativas; d. debe tener el poder de entablar procedimientos legales o presentar ante las autoridades judiciales competentes las violaciones a las disposiciones de ese Convenio; e. debe promover: i. el conocimiento del público de sus funciones y facultades, así como de sus actividades; ii. el conocimiento público de los derechos en materia de datos personales, así como su ejercicio; iii. el conocimiento de los Responsables y de los procesadores de datos de sus responsabilidades bajo este Convenio; deberá darse atención específica a la protección de
acreditar que los titulares disponen de mecanismos adecuados para la protección de sus derechos.
213
personales incompletos; b) Se entreguen datos personales que no correspondan con los solicitados; c) Se niegue el acceso, rectificación, cancelación u oposición de datos personales; d) Se entregue o ponga a disposición datos personales en un formato incomprensible; e) El titular se inconforme con los costos de reproducción, envío, o tiempos de entrega de los datos personales, o f) Se oriente a un trámite específico que contravenga lo dispuesto por el artículo 54 de la presente Ley. Artículo 119. Los únicos requisitos exigibles e indispensables en el escrito de interposición del recurso de inconformidad son: I. El área responsable ante la cual se presentó la solicitud para el ejercicio de los derechos ARCO; II. El organismo garante que emitió la resolución impugnada; III. El nombre del titular que recurre o de su representante y, en su caso, del tercero interesado, así como su domicilio o el medio que señale para recibir notificaciones; IV. La fecha en que fue notificada la resolución al titular; V. El acto que se recurre y los puntos petitorios, así como las razones o motivos de inconformidad;
tercero interesado, en su caso; La fecha en que le fue notificada la resolución del organismo garante, y El acto que se recurre y los puntos petitorios, así como las razones o motivos de su inconformidad. Documentos que deberán acompañarse al escrito de recurso de inconformidad Articulo 166. En términos de lo dispuesto en el articulo 119 de la Ley General, el titular deberá� acompañar a su escrito de recurso de inconformidad lo siguiente: I Los documentos que acrediten su identidad y, en su caso, la de su representante; II. El documento que acredite la personalidad de su representante, en su caso, y III. La copia de resolución que se impugna y su notificación correspondiente, en su caso. El titular podrá� acompañar su escrito con las pruebas y demás elementos que considere procedente someter ajuicio del Instituto. Presentación del recurso de inconformidad ante el organismo garante Artículo 167. En términos del articulo 117 de la Ley General, cuando el titular o su representante presenten el recurso de inconformidad ante el organismo garante que emitió� la resolución, éste de considerarlo necesario, podrá� remitir
fin con las autoridades de control de otros Estados miembros;
f) tratar las reclamaciones
presentadas por un interesado o por un organismo, organización o asociación de conformidad con el artículo 80, e investigar, en la medida oportuna, el motivo de la reclamación e informar al reclamante sobre el curso y el resultado de la investigación en un plazo razonable, en particular si fueran necesarias nuevas investigaciones o una coordinación más estrecha con otra autoridad de control;
g) cooperar, en particular
compartiendo información, con otras autoridades de control y prestar asistencia mutua con el fin de garantizar la coherencia en la aplicación y ejecución del presente Reglamento;
h) llevar a cabo
investigaciones sobre la aplicación del presente Reglamento, en particular basándose en información recibida de otra autoridad de control u otra autoridad pública;
i) hacer un seguimiento de
cambios que sean de interés, en la medida en que tengan incidencia en la protección de datos personales, en particular el
datos personales de niños y otros individuos vulnerables. 3. Las Autoridades Supervisoras competentes deberán ser consultadas en cualquier propuesta de medida legislativa o administrativa que se establezca para el procesamiento de datos personales. 4. Cada Autoridad Supervisora competente debe tratar las solicitudes y quejas presentadas por las personas concernidas relacionadas con sus derechos a la protección de datos personales y debe mantenerlas informadas de su progreso. 5. Las Autoridades Supervisoras deben actuar con completa independencia e imparcialidad en el desempeño de sus deberes y el ejercicio de sus poderes; al hacerlo, no deben buscar ni aceptar instrucciones. 6. Cada Parte debe garantizar que las Autoridades Supervisoras son establecidas con los recursos necesarios para que el desempeño de sus funciones y el ejercicio de sus funciones sea efectivo. 7. Cada Autoridad Supervisora debe preparar y publicar un reporte periódico de sus actividades. 8. Los Miembros y el personal de las Autoridades Supervisoras deberán estar sujetos a las obligaciones de confidencialidad respecto de la información
214
VI. En su caso, copia de la resolución que se impugna y de la notificación correspondiente, y VII. Los documentos que acrediten la identidad del titular y, en su caso, la personalidad e identidad de su representante. El promovente podrá acompañar su escrito con las pruebas y demás elementos que considere procedentes someter a juicio del Instituto. Artículo 120. El Instituto resolverá el recurso de inconformidad en un plazo que no podrá exceder de treinta días contados a partir del día siguiente de la interposición del recurso de inconformidad, plazo que podrá ampliarse por una sola vez y hasta por un periodo igual. Artículo 121. Durante el procedimiento a que se refiere el presente Capítulo, el Instituto deberá aplicar la suplencia de la queja a favor del titular, siempre y cuando no altere el contenido original del recurso de inconformidad, ni modifique los hechos o peticiones expuestas en el mismo, así como garantizar que las partes puedan presentar los argumentos y constancias que funden y motiven sus pretensiones. Artículo 122. Si en el escrito de interposición del recurso de inconformidad el titular no cumple con alguno de los requisitos previstos en el artículo 119 de la presente
junto con el recurso de inconformidad un informe justificado para acreditar la legalidad de su resolución. Ratificación del recurso de inconformidad Artículo 168. En ningún caso, será� necesario que el titular ratifique el recurso de inconformidad interpuesto ante el Instituto. Recepción y turno del recurso de inconformidad Artículo 169. Interpuesto un recurso de inconformidad ante el Instituto, o bien, recibido por el organismo garante que emitió� la resolución impugnada, el Comisionado Presidente del Instituto deberá� turnarlo al Comisionado ponente que corresponda en estricto orden cronológico y por orden alfabético conforme al primer apellido de los Comisionados, a más tardar al día siguiente de su recepción. Para efectos del presente Capitulo, las funciones conferidas al Comisionado ponente podrán ser realizadas por los servidores públicos que para tal efecto designe, de conformidad con la normatividad que resulte vigente al momento de la sustanciación del recurso de inconformidad. Momento de acreditación de la identidad del titular en el recurso de inconformidad Artículo 170. El Instituto deberá� acreditar la identidad del titular y, en su
desarrollo de las tecnologías de la información y la comunicación y las prácticas comerciales;
j) adoptar las cláusulas
contractuales tipo a que se refieren el artículo 28, apartado 8, y el artículo 46, apartado 2, letra d);
k) elaborar y mantener una
lista relativa al requisito de la evaluación de impacto relativa a la protección de datos, en virtud del artículo 35, apartado 4;
l) ofrecer asesoramiento
sobre las operaciones de tratamiento contempladas en el artículo 36, apartado 2;
m) alentar la elaboración de
códigos de conducta con arreglo al artículo 40, apartado 1, y dictaminar y aprobar los códigos de conducta que den suficientes garantías con arreglo al artículo 40, apartado 5;
n) fomentar la creación de
mecanismos de certificación de la protección de datos y de sellos y marcas de protección de datos con arreglo al artículo 42, apartado 1, y aprobar los criterios de certificación de conformidad con el artículo 42, apartado 5;
confidencial a la que tienen acceso, o han tenido acceso, en el desempeño de sus funciones y el ejercicio de sus poderes. 9. Las decisiones de las Autoridades Supervisoras podrán ser sujetas a la revisión judicial. 10. Las Autoridades Supervisoras no deberán ser competentes respecto del procesamiento llevado a cabo por organismos con facultades jurisdiccionales.
215
Ley y el Instituto no cuente con elementos para subsanarlos, éste deberá requerir al titular, por una sola ocasión, la información que subsane las omisiones en un plazo que no podrá exceder de cinco días, contados a partir del día siguiente de la presentación del escrito. El titular contará con un plazo que no podrá exceder de quince días, contados a partir del día siguiente al de la notificación de la prevención, para subsanar las omisiones, con el apercibimiento de que, en caso de no cumplir con el requerimiento, se desechará el recurso de inconformidad. La prevención tendrá el efecto de interrumpir el plazo que tiene el Instituto para resolver el recurso, por lo que comenzará a computarse a partir del día siguiente a su desahogo. Artículo 123. Una vez concluida la etapa probatoria, el Instituto pondrá a disposición de las partes las actuaciones del procedimiento y les otorgará un plazo de cinco días para que formulen alegatos contados a partir de la notificación del acuerdo a que se refiere este artículo. Artículo 124. Las resoluciones del Instituto podrán: I. Sobreseer o desechar el recurso de inconformidad; II. Confirmar la resolución del organismo garante;
caso, la identidad y personalidad de su representante al momento de interponer el recurso de inconformidad, para lo cual el titular podrá� enviar copia simple de su identificación oficial a través de medios electrónicos. Acuerdo de admisión o prevención del recurso de inconformidad Articulo 171. Recibido el recurso de inconformidad, el Comisionado ponente deberá�: I. Integrar un expediente del recurso de inconformidad; II. Proceder al estudio y análisis del recurso de inconformidad con las pruebas y demás elementos manifestados y presentados por el titular, y III. Emitir un acuerdo fundando y motivando cualquiera de las siguientes determinaciones: a) Requiriendoaltitularinformaciónadicionalentérminosdelosarticulos122dela Ley General y siguiente de los presentes Lineamientos generales, o b) Admitiendo el recurso de inconformidad. El Comisionado ponente deberá� emitir el acuerdo a que se refiere la fracción 111 del presente articulo dentro de los cinco días siguientes, contados a partir del día siguiente de recibir el recurso de inconformidad, el cual deberá� ser notificado al titular, organismo garante y, en su caso, tercero
o) llevar a cabo, si procede,
una revisión periódica de las certificaciones expedidas en virtud del artículo 42, apartado 7;
p) elaborar y publicar los
criterios para la acreditación de organismos de supervisión de los códigos de conducta con arreglo al artículo 41 y de organismos de certificación con arreglo al artículo 43;
q) efectuar la acreditación
de organismos de supervisión de los códigos de conducta con arreglo al artículo 41 y de organismos de certificación con arreglo al artículo 43;
r) autorizar las cláusulas
contractuales y disposiciones a que se refiere el artículo 46, apartado 3;
s) aprobar normas
corporativas vinculantes de conformidad con lo dispuesto en el artículo 47;
t) contribuir a las actividades
del Comité; u) llevar registros internos
de las infracciones del presente Reglamento y de las medidas adoptadas de conformidad con el
216
III. Revocar o modificar la resolución del organismo garante, o IV. Ordenar la entrega de los datos personales, en caso de omisión del responsable. Las resoluciones establecerán, en su caso, los plazos y términos para su cumplimiento y los procedimientos para asegurar su ejecución. Los Organismos garantes deberán informar al Instituto sobre el cumplimiento de sus resoluciones. Si el Instituto no resuelve dentro del plazo establecido en este Capítulo, la resolución que se recurrió se entenderá confirmada. Cuando el Instituto determine durante la sustanciación del recurso de inconformidad, que se pudo haber incurrido en una probable responsabilidad por el incumplimiento a las obligaciones previstas en la presente Ley y a las demás disposiciones aplicables en la materia, deberá hacerlo del conocimiento del órgano interno de control o de la instancia competente para que ésta inicie, en su caso, el procedimiento de responsabilidad respectivo. Las medidas de apremio previstas en la presente Ley, resultarán aplicables para efectos del cumplimiento de las resoluciones que recaigan a los recursos de inconformidad. Estas medidas de apremio
interesado dentro de los tres días siguientes. Acuerdo de prevención al titular del recurso de inconformidad Articulo 172. El acuerdo de prevención resultará procedente cuando en el escrito de interposición del recurso de inconformidad el titular no cumpla con alguno de los requisitos previstos en los artículos 165 y 166 de los presentes Lineamientos generales y el Comisionado ponente no cuente -con elementos para subsanarlos. En este caso, el acuerdo de prevención deberá� requerir al titular, por una sola ocasión, la información necesaria para subsanar las omisiones de su escrito del recurso de inconformidad con el apercibimiento de que, en caso de no cumplir con el requerimiento, en un plazo máximo de quince días contados a partir del día siguiente al de la notificación del acuerdo, se desechará el recurso de inconformidad, de acuerdo con lo dispuesto en el 122 de la Ley General. Acuerdo de admisión del recurso de inconformidad Artículo 173. En el acuerdo de admisión del recurso de inconformidad, el Comisionado ponente deberá� poner a disposición del titular y el organismo garante el expediente
artículo 58, apartado 2, y v) desempeñar cualquier
otra función relacionada con la protección de los datos personales.
2. Cada autoridad de control facilitará la presentación de las reclamaciones contempladas en el apartado 1, letra f), mediante medidas como un formulario de presentación de reclamaciones que pueda cumplimentarse también por medios electrónicos, sin excluir otros medios de comunicación. 3. El desempeño de las funciones de cada autoridad de control será gratuito para el interesado y, en su caso, para el delegado de protección de datos. 4. Cuando las solicitudes sean manifiestamente infundadas o excesivas, especialmente debido a su carácter repetitivo, la autoridad de control podrá establecer una tasa razonable basada en los costes administrativos o negarse a actuar respecto de la solicitud. La carga de demostrar el carácter manifiestamente infundado o excesivo de la solicitud recaerá en la autoridad de control. CAPÍTULO VIII Recursos, responsabilidad y sanciones Artículo 77 Derecho a presentar una
217
deberán establecerse en la propia resolución. Artículo 125. El recurso de inconformidad podrá ser desechado por improcedente cuando: I. Sea extemporáneo por haber transcurrido el plazo establecido en el artículo 117 de la presente Ley; II. El Instituto anteriormente haya resuelto en definitiva sobre la materia del mismo; III. No se actualicen las causales de procedencia del recurso de inconformidad, previstas en el artículo 118 de la presente Ley; IV. Se esté tramitando ante el Poder Judicial algún recurso o medio de defensa interpuesto por el titular, o en su caso, por el tercero interesado, en contra del acto recurrido, o V. El inconforme amplíe su solicitud en el recurso de inconformidad, únicamente respecto de los nuevos contenidos. Artículo 126. El recurso de inconformidad solo podrá ser sobreseído cuando: I. El recurrente se desista expresamente; II. El recurrente fallezca; III. El organismo garante modifique o revoque su respuesta de tal manera que el recurso de inconformidad quede sin materia, o IV. Admitido el recurso, se actualice alguna causal de improcedencia en los términos de la presente Ley. Artículo 127. En los casos en que a través del recurso
respectivo para que en un plazo máximo de siete días contados a partir de la notificación de dicho acuerdo: l. Señalen lo que a su derecho convenga, y II. Ofrezcan las pruebas que consideren pertinentes en términos de lo dispuesto en los artículos 102 de la Ley General y 131 de los presentes Lineamientos generales. En caso de existir tercero interesado, deberá� acreditar su identidad y su carácter como tal, alegar lo que a su derecho convenga y aportar las pruebas que estime pertinentes en el plazo señalado en el primer párrafo del presente artículo. El titular, organismo garante y/o personas autorizadas podrán consultar los expedientes de los recursos de inconformidad durante los horarios y días hábiles del año que determine el Instituto. Acuerdo de admisión o desechamiento de pruebas en el recurso de inconformidad Articulo 174. Una vez recibidas las manifestaciones y pruebas ofrecidas por el titular y el organismo garante a que se refiere el articulo anterior de los presentes Lineamientos generales, el Comisionado ponente deberá� dictar un acuerdo de admisión o desechamiento de las
reclamación ante una autoridad de control 1. Sin perjuicio de cualquier otro recurso administrativo o acción judicial, todo interesado tendrá derecho a presentar una reclamación ante una autoridad de control, en particular en el Estado miembro en el que tenga su residencia habitual, lugar de trabajo o lugar de la supuesta infracción, si considera que el tratamiento de datos personales que le conciernen infringe el presente Reglamento. 2. La autoridad de control ante la que se haya presentado la reclamación informará al reclamante sobre el curso y el resultado de la reclamación, inclusive sobre la posibilidad de acceder a la tutela judicial en virtud del artículo 78. Artículo 78 Derecho a la tutela judicial efectiva contra una autoridad de control 1. Sin perjuicio de cualquier otro recurso administrativo o extrajudicial, toda persona física o jurídica tendrá derecho a la tutela judicial efectiva contra una decisión jurídicamente vinculante de una autoridad de control que le concierna. 2. Sin perjuicio de cualquier otro recurso administrativo o extrajudicial, todo interesado tendrá derecho a la tutela judicial efectiva en caso de que la autoridad de control que sea competente en virtud de los artículos 55 y 56 no dé curso a una
218
de inconformidad se modifique o revoque la resolución del organismo garante, éste deberá emitir un nuevo fallo atendiendo los lineamientos que se fijaron al resolver la inconformidad, dentro del plazo de quince días, contados a partir del día siguiente al en que se hubiere notificado o se tenga conocimiento de la resolución dictada en la inconformidad. Artículo 128. Corresponderá a los Organismos garantes, en el ámbito de su competencia, realizar el seguimiento y vigilancia del debido cumplimiento por parte del responsable de la nueva resolución emitida como consecuencia de la inconformidad en términos de la presente Ley. Artículo 129. Las resoluciones del Instituto serán vinculantes, definitivas e inatacables para los responsables y los Organismos garantes. Los titulares podrán impugnar dichas resoluciones ante el Poder Judicial de la Federación mediante el Juicio de Amparo.
pruebas que en su caso hubieren ofrecido, el cual señalará� lugar y hora para el desahogo de aquellas pruebas que por su propia naturaleza requieran ser desahogadas en audiencia, y, en su caso, citar a las personas señaladas como testigos. El acuerdo a que se refiere el párrafo anterior deberá� ser emitido en un plazo de tres días contados a partir del día siguiente del plazo que tienen el titular y el organismo garante para manifestar lo que a su derecho convenga y ofrecer pruebas. Para la admisión de las pruebas ofrecidas por el titular, organismo garante y, en su caso, tercero interesado, el Instituto deberá� observar lo dispuesto en el articulo 132 de los presentes Lineamientos generales. Pruebas supervenientes Articulo 175. Una vez emitido el acuerdo a que se refiere el articulo anterior de los presentes Lineamientos generales, el Comisionado ponente sólo admitirá� pruebas supervenientes. Audiencia de desahogo de pruebas en el recurso de inconformidad Articulo 176. En la audiencia de desahogo de pruebas a que se refiere el articulo 174 de los presentes Lineamientos generales y la valoración de las mismas, el Comisionado ponente
reclamación o no informe al interesado en el plazo de tres meses sobre el curso o el resultado de la reclamación presentada en virtud del artículo 77. 3. Las acciones contra una autoridad de control deberán ejercitarse ante los tribunales del Estado miembro en que esté establecida la autoridad de control. 4. Cuando se ejerciten acciones contra una decisión de una autoridad de control que haya sido precedida de un dictamen o una decisión del Comité en el marco del mecanismo de coherencia, la autoridad de control remitirá al tribunal dicho dictamen o decisión. Artículo 79 Derecho a la tutela judicial efectiva contra un responsable o encargado del tratamiento 1. Sin perjuicio de los recursos administrativos o extrajudiciales disponibles, incluido el derecho a presentar una reclamación ante una autoridad de control en virtud del artículo 77, todo interesado tendrá derecho a la tutela judicial efectiva cuando considere que sus derechos en virtud del presente Reglamento han sido vulnerados como consecuencia de un tratamiento de sus datos personales. 2. Las acciones contra un responsable o encargado del tratamiento deberán
219
deberá� observar lo dispuesto en los artículos 133 y 134 del mismo ordenamiento. Alegatos Articulo 177. En términos del articulo 123 de la Ley General, desahogadas las pruebas y sin más actuaciones y documentos que valorar, el Comisionado ponente deberá� emitir un acuerdo a través del cual ponga a disposición del titular, organismo garante y, en su caso, tercero interesado las actuaciones realizadas con el objeto de que formulen sus últimas manifestaciones, en su caso, en un plazo de cinco días contados a partir de la notificación de dicho acuerdo. El acuerdo a que se refiere el párrafo anterior deberá� emitirse dentro de los tres días siguientes contados a partir del día siguiente de la audiencia de desahogo de pruebas. Plazo de resolución del recurso de inconformidad Artículo 178. El Instituto deberá� resolver los recursos de inconformidad que le sean interpuestos en el plazo a que se refiere el artículo 120 de la Ley General. En el caso de que el recurso de inconformidad no sea presentado ante el Instituto, el plazo referido en el párrafo anterior empezará a correr a partir del día siguiente de la recepción del
ejercitarse ante los tribunales del Estado miembro en el que el responsable o encargado tenga un establecimiento. Alternativamente, tales acciones podrán ejercitarse ante los tribunales del Estado miembro en que el interesado tenga su residencia habitual, a menos que el responsable o el encargado sea una autoridad pública de un Estado miembro que actúe en ejercicio de sus poderes públicos.
220
recurso de inconformidad en el Instituto. Cuando el Instituto determine ampliar el plazo de treinta días que tiene para resolver el recurso de inconformidad, deberá� emitir un acuerdo que funde y motive la causa de ampliación dentro de dicho plazo, el cual deberá� ser notificado al titular, organismo garante y, en su caso, tercero interesado. Manifestación del desistimiento Artículo 179. Para el caso de que el titular se desista del recurso de inconformidad deberá� manifestar su voluntad de manera expresa de no continuar con la sustanciación y resolución del mismo conforme lo siguiente: I. Cuando se hubiere presentado por escrito ante el Instituto, el desistimiento deberá� promoverse por escrito con la firma autógrafa del titular; II. Cuando el recurso de inconformidad hubiere sido presentado por correo electrónico, el desistimiento deberá� de ser presentado a través de la misma cuenta de correo electrónico por la cual se presentó, de alguna de las cuentas de correo electrónico autorizadas para recibir notificaciones, salvo que durante la sustanciación del recurso de inconformidad el titular hubiere modificado el medio de notificación;
221
III. Cuando la presentación del recurso de inconformidad se hubiere efectuado a través del sistema electrónico, el desistimiento deberá� presentarse de alguna de las cuentas de correo electrónico autorizadas para recibir notificaciones, salvo que durante la sustanciación del recurso de inconformidad el titular hubiere modificado el medio de notificación, o IV. Cuando el titular comparezca personalmente ante el Instituto, con independencia del medio a través del cual hubiere presentado el recurso de inconformidad. En caso de que la manifestación de su voluntad no se advierta clara e inequívoca, el Comisionado ponente podrá� requerir al titular que precise su intención de no continuar con la sustanciación y resolución del mismo. Notificación de la resolución Artículo 180. El Instituto deberá� notificar a las partes y publicar las resoluciones recaídas a los recursos de inconformidad que conozca en versión pública, a más tardar, el tercer día siguiente de su aprobación.
222
Capítulo 3 del WP 254: Principios generales en materia de protección de datos para garantizar que el nivel de protección en un tercer país, territorio o uno o varios sectores específicos de ese tercer país, u organización internacional es sustancialmente equivalente al garantizado por la legislación de la UE
C. Medios relativos al procedimiento y la ejecución 2.C. Sanciones
C. Medios relativos al procedimiento y la
ejecución LGPDPPSO LGPDPSP RGPD C108 C108+ Comentarios
La existencia de sanciones efectivas y disuasorias puede desempeñar un
papel importante a la hora de asegurar el respeto de
las normas, como, por supuesto, lo pueden hacer los sistemas de verificación
directa por parte de autoridades, auditores y
responsables independientes de la protección de datos
Artículo 163. Serán causas de sanción por incumplimiento de las obligaciones establecidas en la materia de la presente Ley, las siguientes: I. Actuar con negligencia, dolo o mala fe durante la sustanciación de las solicitudes para el ejercicio de los derechos ARCO; II. Incumplir los plazos de atención previstos en la presente Ley para responder las solicitudes para el ejercicio de los derechos ARCO o para hacer efectivo el derecho de que se trate; III. Usar, sustraer, divulgar, ocultar, alterar, mutilar, destruir o inutilizar, total o parcialmente y de manera indebida datos personales, que se encuentren bajo su custodia o a los cuales tengan acceso o conocimiento con motivo de su empleo, cargo o comisión; IV. Dar tratamiento, de manera intencional, a los datos personales en contravención a los principios y deberes establecidos en la presente Ley; V. No contar con el aviso de privacidad, o bien, omitir en el mismo alguno de los elementos a que refiere el artículo 27 de la presente Ley,
Título Noveno De las medidas de apremio y responsabilidades administrativas Capítulo Único De las medidas de apremio Tipos de medidas de apremio Artículo 232. De conformidad con lo previsto en el articulo 153 de la Ley General, el Instituto podrá� imponer como medidas de apremio para asegurar el cumplimiento de sus determinaciones la amonestación pública o la multa equivalente a la cantidad de ciento cincuenta hasta mil quinientas veces el valor diario de la Unidad de Medida y Actualización. Para la determinación y ejecución de las medidas de apremio a que se refiere el párrafo anterior, el Instituto, además de observar lo dispuesto en Titulo Décimo Primero, Capítulo I de la Ley General, deberá� cumplir con las disposiciones señaladas en el presente Titulo. Área encargada de calificar la gravedad de las faltas y proponer las medidas de apremio Articulo 233. De conformidad con lo previsto en el articulo 157, último párrafo de la Ley General, la Secretaria Técnica del Pleno, a través de la Dirección General de Cumplimientos y Responsabilidades, será� el
Condiciones generales para la imposición de multas administrativas 1. Cada autoridad de control garantizará que la imposición de las multas administrativas con arreglo al presente artículo por las infracciones del presente Reglamento indicadas en los apartados 4, 5 y 6 sean en cada caso individual efectivas, proporcionadas y disuasorias. 2. Las multas administrativas se impondrán, en función de las circunstancias de cada caso individual, a título adicional o sustitutivo de las medidas contempladas en el artículo 58, apartado 2, letras a) a h) y j). Al decidir la imposición de una multa administrativa y su cuantía en cada caso individual se tendrá debidamente en cuenta: a) la naturaleza, gravedad y
duración de la infracción, teniendo en cuenta la naturaleza, alcance o propósito de la operación de tratamiento de que se trate así como el número de interesados afectados y el nivel de los daños y perjuicios que hayan sufrido;
b) la intencionalidad onegligencia en la infracción;
c) cualquier medida tomada por el responsable o
Artículo 10. Sanciones y recursos Cada Parte se compromete a establecer sanciones y recursos convenientes contra las infracciones de las disposiciones de derecho interno que hagan efectivos los principios básicos para la protección de datos enunciados en el presente capítulo.
Artículo 12 – Sanciones y recursos Cada Parte se compromete a establecer las sanciones y recursos judiciales y no judiciales apropiados para las violaciones de las disposiciones de este Convenio.
La LGPDPPSO cuenta con sanciones específicas en caso de incumplimiento a la normatividad por lo que se puede acreditar el cumplimiento de este apartado.
223
según sea el caso, y demás disposiciones que resulten aplicables en la materia; VI. Clasificar como confidencial, con dolo o negligencia, datos personales sin que se cumplan las características señaladas en las leyes que resulten aplicables. La sanción sólo procederá cuando exista una resolución previa, que haya quedado firme, respecto del criterio de clasificación de los datos personales; VII. Incumplir el deber de confidencialidad establecido en el artículo 42 de la presente Ley; VIII. No establecer las medidas de seguridad en los términos que establecen los artículos 31, 32 y 33 de la presente Ley; IX. Presentar vulneraciones a los datos personales por la falta de implementación de medidas de seguridad según los artículos 31, 32 y 33 de la presente Ley; X. Llevar a cabo la transferencia de datos personales, en contravención a lo previsto en la presente Ley; XI. Obstruir los actos de verificación de la autoridad; XII. Crear bases de datos personales en contravención a lo dispuesto por el artículo 5 de la presente Ley; XIII. No acatar las resoluciones emitidas por el Instituto y los Organismos garantes, y
área encargada de calificar las medidas de apremio impuestas por el Pleno del Instituto. Calificación y propuesta de la medida de apremio Artículo 234. Para calificar la gravedad de las faltas y proponer la medida de apremio que corresponda, la Secretaria Técnica del Pleno deberá� tomar en cuenta los siguientes supuestos: l.· El incumplimiento de las resoluciones recaídas a los recursos de revisión emitidas por el Pleno del Instituto, a que se refiere la Ley General y los presentes Lineamientos generales, o II. El incumplimiento de las resoluciones derivadas del procedimiento de verificación a que se refiere la Ley General y los presentes Lineamientos generales. La Secretaria Técnica del Pleno deberá� someter a consideración del Pleno del Instituto el proyecto de calificación de la gravedad de la falta, para que éste determine la imposición de la medida de apremio que corresponda. Cuando se trate del incumplimiento a las determinaciones de los Comisionados ponentes ocurridas durante la sustanciación del recurso de revisión, la calificación de la gravedad de la falta, así como la medida de apremio a imponer serán propuestas por el Comisionado ponente en la resolución que corresponda, misma que será� aprobada por el Pleno del Instituto. Áreas encargadas de determinar e imponer las
encargado del tratamiento para paliar los daños y perjuicios sufridos por los interesados;
d) el grado de responsabilidad del responsable o del encargado del tratamiento, habida cuenta de las medidas técnicas u organizativas que hayan aplicado en virtud de los artículos 25 y 32;
e) toda infracción anterior cometida por el responsable o el encargado del tratamiento;
f) el grado de cooperación con la autoridad de control con el fin de poner remedio a la infracción y mitigar los posibles efectos adversos de la infracción;
g) las categorías de los datos de carácter personal afectados por la infracción;
h) la forma en que la autoridad de control tuvo conocimiento de la infracción, en particular si el responsable o el encargado notificó la infracción y, en tal caso, en qué medida;
i) cuando las medidas indicadas en el artículo 58, apartado 2, hayan sido ordenadas previamente contra el responsable o el encargado de que se trateen relación con el mismo asunto, el cumplimiento de dichas medidas;
j) la adhesión a códigos de conducta en virtud del artículo 40 o a mecanismos de certificación aprobados con arreglo al artículo 42, y
k) cualquier otro factor agravante o atenuante
224
XIV. Omitir la entrega del informe anual y demás informes a que se refiere el artículo 44, fracción VII de la Ley General de Transparencia y Acceso a la Información Pública, o bien, entregar el mismo de manera extemporánea. Las causas de responsabilidad previstas en las fracciones I, II, IV, VI, X, XII, y XIV, así como la reincidencia en las conductas previstas en el resto de las fracciones de este artículo, serán consideradas como graves para efectos de su sanción administrativa. En caso de que la presunta infracción hubiere sido cometida por algún integrante de un partido político, la investigación y, en su caso, sanción, corresponderán a la autoridad electoral competente. Las sanciones de carácter económico no podrán ser cubiertas con recursos públicos. Capítulo II De las Sanciones Artículo 164. Para las conductas a que se refiere el artículo anterior se dará vista a la autoridad competente para que imponga o ejecute la sanción. Artículo 165. Las responsabilidades que resulten de los procedimientos
medidas de apremio Articulo 235. El Pleno del Instituto será� el encargado de determinar e imponer las medidas de apremio a que se refiere la Ley General y los presentes Lineamientos generales. Área encargada de notificar, gestionar y, en su caso, ejecutar las medidas de apremio. Articulo 236. La Secretaria Técnica del Pleno, a través de la Dirección General de Cumplimientos y Responsabilidades, será� el área encargada de notificar, gestionar y, en su caso, ejecutar las medidas de apremio impuestas por el Pleno del Instituto. Criterios para la determinación de medidas de apremio Articulo 237. De conformidad con lo previsto en el articulo 157 de la Ley General, para calificar las medidas de apremio el Instituto deberá� considerar: l. La gravedad de la falta del responsable considerando: a) El daño causado: el perjuicio, menoscabo o agravio a los principios generales o bases constitucionales reconocidos en el articulo 16, segundo párrafo de la Constitución Política de los Estados Unidos Mexicanos, así como la afectación a los principios, objetivos y obligaciones previstas en la Ley General y los presentes Lineamientos generales; b) Los indicios de intencionalidad: los elementos subjetivos que permiten individualizar el grado de responsabilidad, entendidos
aplicable a las circunstancias del caso, como los beneficios financieros obtenidos o las pérdidas evitadas, directa o indirectamente, a través de la infracción.
3. Si un responsable o un encargado del tratamiento incumpliera de forma intencionada o negligente, para las mismas operaciones de tratamiento u operaciones vinculadas, diversas disposiciones del presente Reglamento, la cuantía total de la multa administrativa no será superior a la cuantía prevista para las infracciones más graves. 4. Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo con el apartado 2, con multas administrativas de 10 000 000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 2 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía: a) las obligaciones del
responsable y del encargado a tenor de los artículos 8, 11, 25 a 39, 42 y 43;
b) las obligaciones de los organismos de certificación a tenor de los artículos 42 y 43;
c) las obligaciones de la autoridad de control a tenor del artículo 41, apartado 4.
5. Las infracciones de las disposiciones siguientes se
225
administrativos correspondientes, derivados de la violación a lo dispuesto por el artículo 163 de esta Ley, son independientes de las del orden civil, penal o de cualquier otro tipo que se puedan derivar de los mismos hechos. Dichas responsabilidades se determinarán, en forma autónoma, a través de los procedimientos previstos en las leyes aplicables y las sanciones que, en su caso, se impongan por las autoridades competentes, también se ejecutarán de manera independiente. Para tales efectos, el Instituto o los organismos garantes podrán denunciar ante las autoridades competentes cualquier acto u omisión violatoria de esta Ley y aportar las pruebas que consideren pertinentes, en los términos de las leyes aplicables. Artículo 166. Ante incumplimientos por parte de los partidos políticos, el Instituto u organismo garante competente, dará vista, según corresponda, al Instituto Nacional Electoral o a los organismos públicos locales electorales de las Entidades Federativas competentes, para que resuelvan lo conducente, sin perjuicio de las sanciones establecidas para los partidos políticos en las leyes aplicables. En el caso de probables infracciones relacionadas con fideicomisos o fondos
como el aspecto volitivo en la realización de la conducta antijurídica. Para determinar lo anterior, deberá� considerarse si existió� contumacia total para dar cumplimiento a las disposiciones en la materia o, en su caso, se acreditó estar en vías de cumplimiento alas mismas; c) La duración del incumplimiento: el periodo que persistió� el incumplimiento, y d) La afectación al ejercicio de las atribuciones del Instituto: el obstáculo que representa el incumplimiento al ejercicio de las atribuciones de éste conferidas en el articulo 6, apartado A de la Constitución Política de los Estados Unidos Mexicanos, así como en la Ley General y los presentes Lineamientos generales. II. La condición económica del infractor: las áreas encargadas de calificar la gravedad de las faltas podrán requerir al infractor, a las autoridades competentes, asi como a las instituciones financieras la información y documentación necesaria para determinar la condición económica del infractor. Sin perjuicio de lo anterior, deberán utilizarse los elementos que se tengan a disposición o las evidencias que obren en registros públicos, páginas de Internet oficiales, medios de información o cualesquier otra que permita cuantificar la multa. III. La reincidencia: el que habiendo incurrido en una infracción que hubiere sido sancionada, cometa otra del mismo tipo o naturaleza. La reincidencia deberá� ser considerada como agravante,
sancionarán, de acuerdo con el apartado 2, con multas administrativas de 20 000 000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía: a) los principios básicos para
el tratamiento, incluidas las condiciones para el consentimiento a tenor de los artículos 5, 6, 7 y 9;
b) los derechos de los interesados a tenor de los artículos 12 a 22;
c) las transferencias de datos personales a un destinatario en un tercer país o una organización internacional a tenor de los artículos 44 a 49;
d) toda obligación en virtud del Derecho de los Estados miembros que se adopte con arreglo al capítulo IX;
e) el incumplimiento de una resolución o de una limitación temporal o definitiva del tratamiento o la suspensión de los flujosde datos por parte de la autoridad de control con arreglo al artículo 58, apartado 2, o el no facilitar acceso en incumplimiento del artículo 58, apartado 1.
6. El incumplimiento de las resoluciones de la autoridad de control a tenor del artículo 58, apartado 2, se sancionará de acuerdo con el apartado 2 del presente artículo con multas
226
públicos, el Instituto u organismo garante competente deberá dar vista al órgano interno de control del sujeto obligado relacionado con éstos, cuando sean servidores públicos, con el fin de que instrumenten los procedimientos administrativos a que haya lugar. Artículo 167. En aquellos casos en que el presunto infractor tenga la calidad de servidor público, el Instituto o el organismo garante, deberá remitir a la autoridad competente, junto con la denuncia correspondiente, un Expediente en que se contengan todos los elementos que sustenten la presunta responsabilidad administrativa. La autoridad que conozca del asunto deberá informar de la conclusión del procedimiento y, en su caso, de la ejecución de la sanción al Instituto o al organismo garante, según corresponda. A efecto de sustanciar el procedimiento citado en este artículo, el Instituto, o el organismo garante que corresponda, deberá elaborar una denuncia dirigida a la contraloría, órgano interno de control o equivalente, con la descripción precisa de los actos u omisiones que, a su consideración, repercuten en la adecuada aplicación de la presente Ley y que pudieran constituir una posible responsabilidad. Asimismo, deberá elaborar un
por lo que siempre deberán consultarse los antecedentes del infractor. Reglas generales de la notificación de las medidas de apremio Artículo 238. La notificación que contenga la imposición de la medida de apremio deberá� realizarse en un plazo máximo de quince días hábiles, contados a partir de la emisión de la resolución correspondiente, y contener el texto íntegro del acto, así� como el fundamento legal en que se apoye con la indicación del medio de impugnación que proceda contra la misma, el órgano ante el cual hubiera de presentarse y el plazo para su interposición. Las diligencias o actuaciones para llevar a cabo la notificación de la imposición de medidas de apremio, se efectuarán conforme al horario de labores del Instituto publicado en el Diario Oficial de la Federación. Las diligencias o actuaciones que inicien en hora hábil y terminen en hora inhábil se tendrán por legalmente practicadas; y las que se lleven a cabo fuera del horario de labores del Instituto se tendrán por realizadas a primera hora del día hábil siguiente. La Secretaria Técnica del Pleno, a través de la Dirección General de Cumplimientos y Responsabilidades, de oficio o a petición de parte interesada, podrá� habilitar días inhábiles cuando así lo requiera el asunto, Medios para notificar las medidas de apremio Artículo 239. La notificación de
administrativas de 20 000 000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía. 7. Sin perjuicio de los poderes correctivos de las autoridades de control en virtud del artículo 58, apartado 2, cada Estado miembro podrá establecer normas sobre si se puede, y en qué medida, imponer multas administrativas a autoridades y organismos públicos establecidos en dicho Estado miembro. 8. El ejercicio por una autoridad de control de sus poderes en virtud del presente artículo estará sujeto a garantías procesales adecuadas de conformidad con el Derecho de la Unión y de los Estados miembros, entre ellas la tutela judicial efectiva y el respeto de las garantías procesales. 9. Cuando el ordenamiento jurídico de un Estado miembro no establezca multas administrativas, el presente artículo podrá aplicarse de tal modo que la incoación de la multa corresponda a la autoridad de control competente y su imposición a los tribunales nacionales competentes, garantizando al mismo tiempo que estas vías de derecho sean efectivas y tengan un efecto equivalente a las
227
expediente que contenga todos aquellos elementos de prueba que considere pertinentes para sustentar la existencia de la posible responsabilidad. Para tal efecto, se deberá acreditar el nexo causal existente entre los hechos controvertidos y las pruebas presentadas. La denuncia y el Expediente deberán remitirse a la contraloría, órgano interno de control o equivalente dentro de los quince días siguientes a partir de que el Instituto o el organismo garante correspondiente tenga conocimiento de los hechos. Artículo 168. En caso de que el incumplimiento de las determinaciones de los Organismos garantes implique la presunta comisión de un delito, el organismo garante respectivo deberá denunciar los hechos ante la autoridad competente.
las medidas de apremio podrá� realizarse: l. Vía electrónica; II. Mediante oficio entregado por mensajero o correo certificado con acuse de recibo, o III. Personalmente con quien deba entenderse la diligencia en el domicilio del responsable de cumplir con la determinación del Instituto. Las notificaciones personales a que se refiere la fracción 111 del presente articulo, deberán practicarse de conformidad con lo previsto en el articulo 36 de la Ley Federal de Procedimiento Administrativo, de aplicación supletoria a los mecanismos de notificación y ejecución de las medidas de apremio. Imposición y ejecución de las amonestaciones públicas a servidores públicos Articulo 240. En términos de lo previsto en el articulo 160 de la Ley General, la Secretaria Técnica del Pleno, a través de la Dirección General de Cumplimientos y Responsabilidades, solicitará al superior jerárquico inmediato del infractor que se haga efectiva la amonestación pública de que se trate. Imposición y ejecución de las amonestaciones públicas a partidos políticos Artículo 241. Cuando se trate de partidos políticos, la Secretaria Técnica del Pleno, a través de la Dirección General de Cumplimientos y Responsabilidades, requerirá� al Instituto Nacional Electoral la ejecución de la amonestación pública impuesta.
multas administrativas impuestas por las autoridades de control. En cualquier caso, las multas impuestas serán efectivas, proporcionadas y disuasorias. Los Estados miembros de que se trate notificarán a la Comisión las disposiciones legislativas que adopten en virtud del presente apartado a más tardar el 25 de mayo de 2018 y, sin dilación, cualquier ley de modificación o modificación posterior que les sea aplicable. Artículo 84 Sanciones 1. Los Estados miembros establecerán las normas en materia de otras sanciones aplicables a las infracciones del presente Reglamento, en particular las infracciones que no se sancionen con multas administrativas de conformidad con el artículo 83, y adoptarán todas las medidas necesarias para garantizar su observancia. Dichas sanciones serán efectivas, proporcionadas y disuasorias. 2. Cada Estado miembro notificará a la Comisión las disposiciones legislativas que adopte de conformidad con el apartado 1 a más tardar el 25 de mayo de 2018 y, sin dilación, cualquier modificación posterior que les sea aplicable.
228
Seguimiento de la ejecución de la multa Articulo 242. La Secretaria Técnica del Pleno, a través de la Dirección General de Cumplimientos y Responsabilidades, deberá� gestionar y dar seguimiento a la ejecución de la multa por lo que solicitará al Servicio de Administración Tributaria que proceda a su cobro, mediante oficio que contenga, al menos, el monto total de la multa impuesta, el domicilio del infractor, la fecha de su notificación y demás datos que resulten relevantes para la ejecución de la misma. No será� impedimento para el Servicio de Administración Tributaria ejecutar una multa impuesta a servidores públicos adscritos a dicha entidad. Registro de las medidas de apremio y sanciones Articulo 243. Las medidas de apremio a que se refiere la Ley General y los presentes Lineamientos generales deberán inscribirse en el Registro de Medidas de Apremio y Sanciones a que se refieren los Lineamientos generales que regulan las atribuciones de las áreas encargadas de calificar la gravedad de las faltas, así� como de la notificación y ejecución de las medidas de apremio previstas en la Ley Federal de Transparencia y Acceso a la Información Pública. Denuncias penales Artículo 244. En caso de que el incumplimiento de las determinaciones del Instituto
229
implique la presunta comisión de un delito, éste deberá� denunciar los hechos ante la autoridad competente. Sanciones de carácter económico Artículo 245. Las sanciones de carácter económico no podrán ser cubiertas con recursos públicos.
230
231
C. Responsabilidad proactiva La siguiente tabla presenta el análisis de la LGPDPPSO y demás normatividad aplicable para identificar las disposiciones que regulan el establecimiento del principio de responsabilidad proactiva para los responsables y encargados, según establece el WP 254:
El marco de protección de datos de un tercer país debe obligar a los encargados del tratamiento o a aquellos que realizan el tratamiento de datos en su nombre a cumplirlo y a poder demostrar dicho cumplimiento en particular ante la autoridad de control competente. Estas medidas pueden incluir, por ejemplo, evaluaciones de impacto relativas a la protección de datos, la llevanza de registros de actividades de tratamiento de datos durante un tiempo adecuado, la designación de un delegado de protección de datos o la protección de datos desde el diseño y por defecto.
Lo anterior con fundamento en la LGPDPPSO y demás normatividad aplicable, el RGPD, el C108 y el C108+.
232
Capítulo 3 del WP 254: Principios generales en materia de protección de datos para garantizar que el nivel de protección en un tercer país, territorio o uno o varios sectores específicos de ese tercer país, u organización internacional es sustancialmente equivalente al garantizado por la legislación de la UE
C. Medios relativos al procedimiento y la ejecución 3) Responsabilidad proactiva
C. Medios relativos al procedimiento y la
ejecución LGPDPPSO LGPDPSP Otras disposiciones RGPD C108 C108+ Comentarios
Principio general
Artículo 29. El responsable deberá implementar los mecanismos previstos en el artículo 30 de la presente Ley para acreditar el cumplimiento de los principios, deberes y obligaciones establecidos en la presente Ley y rendir cuentas sobre el tratamiento de datos personales en su posesión al titular e Instituto o a los Organismos garantes, según corresponda, caso en el cual deberá observar la Constitución y los Tratados Internacionales en los que el Estado mexicano sea parte; en lo que no se contraponga con la normativa mexicana podrá valerse de estándares o mejores prácticas nacionales o internacionales para tales fines.
Principio de responsabilidad Artículo 46. El responsable deberá� adoptar políticas e implementar mecanismos para asegurar y acreditar el cumplimiento de los principios, deberes y demás obligaciones establecidas en la Ley General y los presentes Lineamientos generales; así� como establecer aquellos mecanismos necesarios para evidenciar dicho cumplimiento ante los titulares y el Instituto. Lo anterior, también resultará aplicable cuando los datos personales sean tratados por parte de un encargado a solicitud del responsable; así� como al momento de realizar transferencias, nacionales o internacionales, de datos personales. Adicionalmente a lo dispuesto en el artículo 30 de la Ley General, en la adopción de las políticas e implementación de mecanismos a que se refiere el presente
No aplica
CAPÍTULO IV Responsable del tratamiento y encargado del tratamiento Sección 1 Obligaciones generales Artículo 24 Responsabilidad del responsable del tratamiento 1. Teniendo en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento así como los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas, el responsable del tratamiento aplicará medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el presente Reglamento. Dichas medidas se revisarán y actualizarán cuando sea necesario. 2. Cuando sean proporcionadas en relación con las actividades de tratamiento, entre las medidas mencionadas en el apartado 1 se incluirá la aplicación,
No aplica
Artículo 10 – Obligaciones adicionales 1. Cada Parte debe establecer que los Responsables y, en su caso, los procesadores, toman todas las medidas apropiadas para cumplir con las obligaciones de este Convenio, además de demostrar que la legislación nacional adoptada es concordante con el Artículo 11, párrafo 3, y en particular, en lo relativo a la Autoridad Supervisora competente prevista en el Artículo 15, así como que el tratamiento de datos bajo su control es acorde a las disposiciones of this Convenio. 2. Cada Parte debe establecer que los Responsables y, en su caso, los procesadores, examinan el posible impacto del tratamiento intencional de datos en los derechos y libertades fundamentales de las personas concernidas de manera previa al inicio de éste, además
Las disposiciones de la normatividad mexicana son congruentes con las previsiones de RGPD.
233
artículo, el responsable deberá� considerar, de manera enunciativa más no limitativa, el desarrollo tecnológico y las técnicas existentes; la naturaleza, contexto, alcance y finalidades del tratamiento de los datos personales; las atribuciones y facultades del responsable y demás cuestiones que considere convenientes. Para el cumplimiento de la presente obligación, el responsable podrá� valerse de estándares, mejores prácticas nacionales o internacionales, esquemas de mejores prácticas, o cualquier otro mecanismo que determine adecuado para tales fines.
por parte del responsable del tratamiento, de las oportunas políticas de protección de datos. 3. La adhesión a códigos de conducta aprobados a tenor del artículo 40 o a un mecanismo de certificación aprobado a tenor del artículo 42 podrán ser utilizados como elementos para demostrar el cumplimiento de las obligaciones por parte del responsable del tratamiento.
de que debe diseñar el tratamiento de datos de manera tal que prevenga o minimice el riesgo de interferencia con esos derechos y libertades fundamentales. 3. Cada Parte debe establecer que los Responsables y, en su caso, los procesadores, implementan medidas técnicas y organizacionales que toman en consideración las implicaciones del derecho a la protección de datos personales en todas las estapas del tratamiento de datos. 4. Cada Parte puede, una vez considerados los riesgos para los intereses, derechos y libertades fundamentales de las personas concernidas, adaptar la aplicación de las provisiones de los párrafos 1, 2 y 3 en la ley que aplica las disposiciones de este Convenio, de acuerdo con la naturaleza y volumen de los datos, la naturaleza, el alcance y el propósito del procesamiento y, de ser el caso, el tamaño del responsable o de los procesadores
Análisis de riesgos (enfoque de riesgos)
Artículo 32. Las medidas de seguridad adoptadas por el responsable deberán considerar:
Ciclo de vida de los datos personales en el inventario de éstos Artículo 59. Aunado a lo dispuesto en el artículo
No aplica
Artículo 32 Seguridad del tratamiento 1. Teniendo en cuenta el estado de la técnica,
No aplica
Artículo 10 – Obligaciones adicionales 1. Cada Parte debe establecer que los
Las disposiciones de la normatividad mexicana son congruentes con las previsiones de RGPD.
234
I. El riesgo inherente a los datos personales tratados; II. La sensibilidad de los datos personales tratados; III. El desarrollo tecnológico; IV. Las posibles consecuencias de una vulneración para los titulares; V. Las transferencias de datos personales que se realicen; VI. El número de titulares; VII. Las vulneraciones previas ocurridas en los sistemas de tratamiento, y VIII. El riesgo por el valor potencial cuantitativo o cualitativo que pudieran tener los datos personales tratados para una tercera persona no autorizada para su posesión. Artículo 33. Para establecer y mantener las medidas de seguridad para la protección de los datos personales, el responsable deberá realizar, al menos, las siguientes actividades interrelacionadas: I. Crear políticas internas para la gestión y tratamiento de los datos personales, que tomen en cuenta el contexto en el que ocurren los tratamientos
anterior de los presentes Lineamientos generales, en la elaboración del inventario de datos personales el responsable deberá considerar el ciclo de vida de los datos personales conforme lo siguiente: l. La obtención de los datos personales; II. El almacenamiento de los datos personales; III. El uso de los datos personales conforme a su acceso, manejo, aprovechamiento, monitoreo y procesamiento, incluyendo los sistemas físicos y/o electrónicos utilizados para tal fin; IV.La divulgación de los datos personales considerando las remisiones y transferencias que, en su caso, se efectúen; V. El bloqueo de los datos personales, en su caso, y VI. La cancelación, supresión o destrucción de los datos personales. El responsable deberá identificar el riesgo inherente de los datos personales, contemplando su ciclo de vida y los activos involucrados en su tratamiento, como podrían ser hardware, software, personal, o cualquier otro recurso humano o material que
los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya, entre otros: a) lla seudonimización y el cifrado de datos personales; b) la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento; c) la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico; d) un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento. 2. Al evaluar la adecuación del nivel de seguridad
Responsables y, en su caso, los procesadores, toman todas las medidas apropiadas para cumplir con las obligaciones de este Convenio, además de demostrar que la legislación nacional adoptada es concordante con el Artículo 11, párrafo 3, y en particular, en lo relativo a la Autoridad Supervisora competente prevista en el Artículo 15, así como que el tratamiento de datos bajo su control es acorde a las disposiciones de este Convenio. 2. Cada Parte debe establecer que los Responsables y, en su caso, los procesadores, examinan el posible impacto del tratamiento intencional de datos en los derechos y libertades fundamentales de las personas concernidas de manera previa al inicio de éste, además de que debe diseñar el tratamiento de datos de manera tal que prevenga o minimice el riesgo de interferencia con esos derechos y libertades fundamentales. 3. Cada Parte debe establecer que los Responsables y, en su caso, los procesadores, implementan medidas
235
y el ciclo de vida de los datos personales, es decir, su obtención, uso y posterior supresión; II. Definir las funciones y obligaciones del personal involucrado en el tratamiento de datos personales; III. Elaborar un inventario de datos personales y de los sistemas de tratamiento; IV. Realizar un análisis de riesgo de los datos personales, considerando las amenazas y vulnerabilidades existentes para los datos personales y los recursos involucrados en su tratamiento, como pueden ser, de manera enunciativa más no limitativa, hardware, software, personal del responsable, entre otros; V. Realizar un análisis de brecha, comparando las medidas de seguridad existentes contra las faltantes en la organización del responsable; VI. Elaborar un plan de trabajo para la implementación de las medidas de seguridad faltantes, así como las medidas para el cumplimiento cotidiano de las políticas de gestión y tratamiento de los datos personales; VII. Monitorear y revisar de manera periódica las
resulte pertinente considerar. Análisís de ríesgos Artículo 60. Para dar cumplimiento al artículo 33, fraccíón IV de la Ley General, el responsable deberá realizar un análísis de riesgos de los datos personales tratados considerando lo siguiente: I. Los requerimientos regulatorios, códigos de conducta o mejores prácticas de un sector específico; II. El valor de los datos personales de acuerdo a su clasificación previamente definida y su ciclo de vida; III. El valor y exposición de los activos involucrados en el tratamiento de los datos personales; IV. Las consecuencias negativas para los titulares que pudieran derivar de una vulneración de seguridad ocurrida, y V. Los factores previstos en el artículo 32 de la Ley General.
se tendrán particularmente en cuenta los riesgos que presente el tratamiento de datos, en particular como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos. 3. La adhesión a un código de conducta aprobado a tenor del artículo 40 o a un mecanismo de certificación aprobado a tenor del artículo 42 podrá servir de elemento para demostrar el cumplimiento de los requisitos establecidos en el apartado 1 del presente artículo. 4. El responsable y el encargado del tratamiento tomarán medidas para garantizar que cualquier persona que actúe bajo la autoridad del responsable o del encargado y tenga acceso a datos personales solo pueda tratar dichos datos siguiendo instrucciones del responsable, salvo que esté obligada a ello en virtud del Derecho de la Unión o de los Estados miembros.
técnicas y organizacionales que toman en consideración las implicaciones del derecho a la protección de datos personales en todas las etapas del tratamiento de datos. 4. Cada Parte puede, una vez considerados los riesgos para los intereses, derechos y libertades fundamentales de las personas concernidas, adaptar la aplicación de las provisiones de los párrafos 1, 2 y 3 en la ley que aplica las disposiciones de este Convenio, de acuerdo con la naturaleza y volumen de los datos, la naturaleza, el alcance y el propósito del procesamiento y, de ser el caso, el tamaño del responsable o de los procesadores
236
medidas de seguridad implementadas, así como las amenazas y vulneraciones a las que están sujetos los datos personales, y VIII. Diseñar y aplicar diferentes niveles de capacitación del personal bajo su mando, dependiendo de sus roles y responsabilidades respecto del tratamiento de los datos personales. Artículo 35. De manera particular, el responsable deberá elaborar un documento de seguridad que contenga, al menos, lo siguiente: I. El inventario de datos personales y de los sistemas de tratamiento; II. Las funciones y obligaciones de las personas que traten datos personales; III. El análisis de riesgos; IV. El análisis de brecha; V. El plan de trabajo; VI. Los mecanismos de monitoreo y revisión de las medidas de seguridad, y VII. El programa general de capacitación. Artículo 36. El responsable deberá actualizar el documento de seguridad cuando ocurran los siguientes eventos:
237
I. Se produzcan modificaciones sustanciales al tratamiento de datos personales que deriven en un cambio en el nivel de riesgo; II. Como resultado de un proceso de mejora continua, derivado del monitoreo y revisión del sistema de gestión; III. Como resultado de un proceso de mejora para mitigar el impacto de una vulneración a la seguridad ocurrida, y IV. Implementación de acciones correctivas y preventivas ante una vulneración de seguridad.
Registro de actividades del tratamiento
Artículo 33. Para establecer y mantener las medidas de seguridad para la protección de los datos personales, el responsable deberá realizar, al menos, las siguientes actividades interrelacionadas: I. Crear políticas internas para la gestión y tratamiento de los datos personales, que tomen en cuenta el contexto en el que ocurren los tratamientos y el ciclo de vida de los datos personales, es decir, su obtención, uso y posterior supresión; II. Definir las funciones y obligaciones del personal involucrado en
Inventario de datos personales Artículo 58. Con relación a lo previsto en el articulo 33, fracción 111 de la Ley General, el responsable deberá� elaborar un inventario con la información básica de cada tratamiento de datos personales, considerando, al menos, los siguientes elementos: l. El catálogo de medios físicos y electrónicos a través de los cuales se obtienen los datos personales; II. Las finalidades de cada tratamiento de datos personales; III. El catálogo de los
No aplica
Artículo 30 Registro de las actividades de tratamiento 1. Cada responsable y, en su caso, su representante llevarán un registro de las actividades de tratamiento efectuadas bajo su responsabilidad. Dicho registro deberá contener toda la información indicada a continuación: a) el nombre y los datos de contacto del responsable y, en su caso, del corresponsable, del representante del responsable, y del delegado de protección de datos;
No aplica
Artículo 10 – Obligaciones adicionales 1. Cada Parte debe establecer que los Responsables y, en su caso, los procesadores, toman todas las medidas apropiadas para cumplir con las obligaciones de este Convenio, además de demostrar que la legislación nacional adoptada es concordante con el Artículo 11, párrafo 3, y en particular, en lo relativo a la Autoridad Supervisora competente prevista en el Artículo 15, así como que el tratamiento de datos bajo su control es
La LGPDPPSO no obliga a contar con un registro de medios de tratamiento sino con un inventario de datos personales. Esta obligación debe hacerse extensible al encargado.
238
el tratamiento de datos personales; III. Elaborar un inventario de datos personales y de los sistemas de tratamiento; IV. Realizar un análisis de riesgo de los datos personales, considerando las amenazas y vulnerabilidades existentes para los datos personales y los recursos involucrados en su tratamiento, como pueden ser, de manera enunciativa más no limitativa, hardware, software, personal del responsable, entre otros; V. Realizar un análisis de brecha, comparando las medidas de seguridad existentes contra las faltantes en la organización del responsable; VI. Elaborar un plan de trabajo para la implementación de las medidas de seguridad faltantes, así como las medidas para el cumplimiento cotidiano de las políticas de gestión y tratamiento de los datos personales; VII. Monitorear y revisar de manera periódica las medidas de seguridad implementadas, así como las amenazas y vulneraciones a las que están sujetos los datos
tipos de datos personales que se traten, indicando si son sensibles o no; IV. El catálogo de formatos de almacenamiento, así� como la descripción general de la ubicación física y/o electrónica de los datos personales; V. La lista de servidores públicos que tienen acceso a los sistemas de tratamiento; VI. En su caso, el nombre completo o denominación o razón social del encargado y el instrumento jurídico que formaliza la prestación de los servicios que brinda al responsable, y VII. En su caso, los destinatarios o terceros receptores de las transferencias que se efectúen, así� como las finalidades que justifican éstas.
b) los fines del tratamiento; c) una descripción de las categorías de interesados y de las categorías de datos personales; d) las categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales, incluidos los destinatarios en terceros países u organizaciones internacionales; e) en su caso, las transferencias de datos personales a un tercer país o una organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el artículo 49, apartado 1, párrafo segundo, la documentación de garantías adecuadas; f) cuando sea posible, los plazos previstos para la supresión de las diferentes categorías de datos; g) cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad a que se refiere el artículo 32, apartado 1. 2. Cada encargado y, en su caso, el representante del encargado, llevará un
acorde a las disposiciones de este Convenio. 2. Cada Parte debe establecer que los Responsables y, en su caso, los procesadores, examinan el posible impacto del tratamiento intencional de datos en los derechos y libertades fundamentales de las personas concernidas de manera previa al inicio de éste, además de que debe diseñar el tratamiento de datos de manera tal que prevenga o minimice el riesgo de interferencia con esos derechos y libertades fundamentales. 3. Cada Parte debe establecer que los Responsables y, en su caso, los procesadores, implementan medidas técnicas y organizacionales que toman en consideración las implicaciones del derecho a la protección de datos personales en todas las etapas del tratamiento de datos. 4. Cada Parte puede, una vez considerados los riesgos para los intereses, derechos y libertades fundamentales de las personas concernidas, adaptar la aplicación de las provisiones de los párrafos 1, 2 y 3 en la ley que aplica las
239
personales, y VIII. Diseñar y aplicar diferentes niveles de capacitación del personal bajo su mando, dependiendo de sus roles y responsabilidades respecto del tratamiento de los datos personales.
registro de todas las categorías de actividades de tratamiento efectuadas por cuenta de un responsable que contenga: a) el nombre y los datos de contacto del encargado o encargados y de cada responsable por cuenta del cual actúe el encargado, y, en su caso, del representante del responsable o del encargado, y del delegado de protección de datos; b) las categorías de tratamientos efectuados por cuenta de cada responsable; c) en su caso, las transferencias de datos personales a un tercer país u organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el artículo 49, apartado 1, párrafo segundo, la documentación de garantías adecuadas; d) cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad a que se refiere el artículo 30, apartado 1. 3. Los registros a que se refieren los
disposiciones de este Convenio, de acuerdo con la naturaleza y volumen de los datos, la naturaleza, el alcance y el propósito del procesamiento y, de ser el caso, el tamaño del responsable o de los procesadores
240
apartados 1 y 2 constarán por escrito, inclusive en formato electrónico. 4. El responsable o el encargado del tratamiento y, en su caso, el representante del responsable o del encargado pondrán el registro a disposición de la autoridad de control que lo solicite. 5. Las obligaciones indicadas en los apartados 1 y 2 no se aplicarán a ninguna empresa ni organización que emplee a menos de 250 personas, a menos que el tratamiento que realice pueda entrañar un riesgo para los derechos y libertades de los interesados, no sea ocasional, o incluya categorías especiales de datos personales indicadas en el artículo 9, apartado 1, o datos personales relativos a condenas e infracciones penales a que se refiere el artículo 10.
Protección de datos desde el diseño
Artículo 30. Entre los mecanismos que deberá adoptar el responsable para cumplir con el principio de responsabilidad establecido en la presente Ley están, al menos, los siguientes: I. Destinar recursos
Protección de datos personales por diseño Articulo 51. Para el cumplimiento de lo dispuesto en el articulo 30, fracción VII de la Ley General, el responsable deberá� aplicar medidas de carácter administrativo,
No aplica
Artículo 25 Protección de datos desde el diseño y por defecto 1. Teniendo en cuenta el estado de la técnica, el coste de la aplicación y la naturaleza, ámbito, contexto y fines del tratamiento, así como
No aplica
Artículo 10 – Obligaciones adicionales 1. Cada Parte debe establecer que los Responsables y, en su caso, los procesadores, toman todas las medidas apropiadas para cumplir con las
Las disposiciones de la normatividad mexicana son congruentes con las previsiones de RGPD.
241
autorizados para tal fin para la instrumentación de programas y políticas de protección de datos personales; II. Elaborar políticas y programas de protección de datos personales, obligatorios y exigibles al interior de la organización del responsable; III. Poner en práctica un programa de capacitación y actualización del personal sobre las obligaciones y demás deberes en materia de protección de datos personales; IV. Revisar periódicamente las políticas y programas de seguridad de datos personales para determinar las modificaciones que se requieran; V. Establecer un sistema de supervisión y vigilancia interna y/o externa, incluyendo auditorías, para comprobar el cumplimiento de las políticas de protección de datos personales; VI. Establecer procedimientos para recibir y responder dudas y quejas de los titulares; VII. Diseñar, desarrollar e implementar sus políticas públicas, programas, servicios,
técnico, físico u otras de cualquier naturaleza que, desde el diseño, le permitan aplicar de forma efectiva el cumplimiento de los principios, deberes y demás obligaciones previstas en la Ley General y los presentes Lineamientos generales, en sus políticas, programas, servicios, sistemas o plataformas informáticas, aplicaciones electrónicas o cualquier otra tecnología que implique el tratamiento de datos personales. Lo anterior, considerando los avances tecnológicos, los costos de implementación, la naturaleza, el ámbito, el contexto y los fines del tratamiento de los datos personales, los riesgos de diversa probabilidad y gravedad que entraña éste para el derecho a la protección de datos personales de los titulares, así como otros factores que considere relevantes el responsable.
los riesgos de diversa probabilidad y gravedad que entraña el tratamiento para los derechos y libertades de las personas físicas, el responsable del tratamiento aplicará, tanto en el momento de determinar los medios de tratamiento como en el momento del propio tratamiento, medidas técnicas y organizativas apropiadas, como la seudonimización, concebidas para aplicar de forma efectiva los principios de protección de datos, como la minimización de datos, e integrar las garantías necesarias en el tratamiento, a fin de cumplir los requisitos del presente Reglamento y proteger los derechos de los interesados. 2. El responsable del tratamiento aplicará las medidas técnicas y organizativas apropiadas con miras a garantizar que, por defecto, solo sean objeto de tratamiento los datos personales que sean necesarios para cada uno de los fines específicos del tratamiento. Esta obligación se aplicará a la cantidad de datos personales recogidos, a la extensión de su tratamiento, a su plazo de conservación y a su
obligaciones de este Convenio, además de demostrar que la legislación nacional adoptada es concordante con el Artículo 11, párrafo 3, y en particular, en lo relativo a la Autoridad Supervisora competente prevista en el Artículo 15, así como que el tratamiento de datos bajo su control es acorde a las disposiciones de este Convenio. 2. Cada Parte debe establecer que los Responsables y, en su caso, los procesadores, examinan el posible impacto del tratamiento intencional de datos en los derechos y libertades fundamentales de las personas concernidas de manera previa al inicio de éste, además de que debe diseñar el tratamiento de datos de manera tal que prevenga o minimice el riesgo de interferencia con esos derechos y libertades fundamentales. 3. Cada Parte debe establecer que los Responsables y, en su caso, los procesadores, implementan medidas técnicas y organizacionales que toman en consideración las implicaciones del derecho a la protección
242
sistemas o plataformas informáticas, aplicaciones electrónicas o cualquier otra tecnología que implique el tratamiento de datos personales, de conformidad con las disposiciones previstas en la presente Ley y las demás que resulten aplicables en la materia, y VIII. Garantizar que sus políticas públicas, programas, servicios, sistemas o plataformas informáticas, aplicaciones electrónicas o cualquier otra tecnología que implique el tratamiento de datos personales, cumplan por defecto con las obligaciones previstas en la presente Ley y las demás que resulten aplicables en la materia.
accesibilidad. Tales medidas garantizarán en particular que, por defecto, los datos personales no sean accesibles, sin la intervención de la persona, a un número indeterminado de personas físicas. 3. Podrá utilizarse un mecanismo de certificación aprobado con arreglo al artículo 42 como elemento que acredite el cumplimiento de las obligaciones establecidas en los apartados 1 y 2 del presente artículo.
de datos personales en todas las etapas del tratamiento de datos. 4. Cada Parte puede, una vez considerados los riesgos para los intereses, derechos y libertades fundamentales de las personas concernidas, adaptar la aplicación de las provisiones de los párrafos 1, 2 y 3 en la ley que aplica las disposiciones de este Convenio, de acuerdo con la naturaleza y volumen de los datos, la naturaleza, el alcance y el propósito del procesamiento y, de ser el caso, el tamaño del responsable o de los procesadores
Protección de datos por defecto
Artículo 30. Entre los mecanismos que deberá adoptar el responsable para cumplir con el principio de responsabilidad establecido en la presente Ley están, al menos, los siguientes: I. Destinar recursos autorizados para tal fin para la instrumentación de programas y políticas de protección de datos personales; II. Elaborar políticas y programas de
Protección de datos personales por defecto Articulo 52. Para el cumplimiento de lo dispuesto en el artículo 30, fracción VIII de la Ley General, el responsable deberá� aplicar medidas técnicas y organizativas apropiadas y orientadas a garantizar que, por defecto, sólo sean objeto de tratamiento los datos personales estrictamente necesarios para cada
No aplica
Artículo 25 Protección de datos desde el diseño y por defecto 1. Teniendo en cuenta el estado de la técnica, el coste de la aplicación y la naturaleza, ámbito, contexto y fines del tratamiento, así como los riesgos de diversa probabilidad y gravedad que entraña el tratamiento para los derechos y libertades de las personas físicas, el responsable del
No aplica
Artículo 10 – Obligaciones adicionales 1. Cada Parte debe establecer que los Responsables y, en su caso, los procesadores, toman todas las medidas apropiadas para cumplir con las obligaciones de este Convenio, además de demostrar que la legislación nacional adoptada es concordante con el Artículo 11, párrafo 3, y
Las disposiciones de la normatividad mexicana son congruentes con las previsiones de RGPD.
243
protección de datos personales, obligatorios y exigibles al interior de la organización del responsable; III. Poner en práctica un programa de capacitación y actualización del personal sobre las obligaciones y demás deberes en materia de protección de datos personales; IV. Revisar periódicamente las políticas y programas de seguridad de datos personales para determinar las modificaciones que se requieran; V. Establecer un sistema de supervisión y vigilancia interna y/o externa, incluyendo auditorías, para comprobar el cumplimiento de las políticas de protección de datos personales; VI. Establecer procedimientos para recibir y responder dudas y quejas de los titulares; VII. Diseñar, desarrollar e implementar sus políticas públicas, programas, servicios, sistemas o plataformas informáticas, aplicaciones electrónicas o cualquier otra tecnología que implique el tratamiento de datos personales, de conformidad con las
uno de los fines específicos del tratamiento. Lo anterior, resultará aplicable, de manera enunciativa más no limitativa, a la cantidad de datos personales recabados, al alcance del tratamiento, el plazo de conservación de los datos personales, ente otros factores que considere relevantes el responsable.
tratamiento aplicará, tanto en el momento de determinar los medios de tratamiento como en el momento del propio tratamiento, medidas técnicas y organizativas apropiadas, como la seudonimización, concebidas para aplicar de forma efectiva los principios de protección de datos, como la minimización de datos, e integrar las garantías necesarias en el tratamiento, a fin de cumplir los requisitos del presente Reglamento y proteger los derechos de los interesados. 2. El responsable del tratamiento aplicará las medidas técnicas y organizativas apropiadas con miras a garantizar que, por defecto, solo sean objeto de tratamiento los datos personales que sean necesarios para cada uno de los fines específicos del tratamiento. Esta obligación se aplicará a la cantidad de datos personales recogidos, a la extensión de su tratamiento, a su plazo de conservación y a su accesibilidad. Tales medidas garantizarán en particular que, por defecto, los datos personales no sean accesibles, sin la intervención de la
en particular, en lo relativo a la Autoridad Supervisora competente prevista en el Artículo 15, así como que el tratamiento de datos bajo su control es acorde a las disposiciones of this Convenio. 2. Cada Parte debe establecer que los Responsables y, en su caso, los procesadores, examinan el posible impacto del tratamiento intencional de datos en los derechos y libertades fundamentales de las personas concernidas de manera previa al inicio de éste, además de que debe diseñar el tratamiento de datos de manera tal que prevenga o minimice el riesgo de interferencia con esos derechos y libertades fundamentales. 3. Cada Parte debe establecer que los Responsables y, en su caso, los procesadores, implementan medidas técnicas y organizacionales que toman en consideración las implicaciones del derecho a la protección de datos personales en todas las estapas del tratamiento de datos. 4. Cada Parte puede, una vez considerados los riesgos para los intereses, derechos y
244
disposiciones previstas en la presente Ley y las demás que resulten aplicables en la materia, y VIII. Garantizar que sus políticas públicas, programas, servicios, sistemas o plataformas informáticas, aplicaciones electrónicas o cualquier otra tecnología que implique el tratamiento de datos personales, cumplan por defecto con las obligaciones previstas en la presente Ley y las demás que resulten aplicables en la materia.
persona, a un número indeterminado de personas físicas. 3. Podrá utilizarse un mecanismo de certificación aprobado con arreglo al artículo 42 como elemento que acredite el cumplimiento de las obligaciones establecidas en los apartados 1 y 2 del presente artículo.
libertades fundamentales de las personas concernidas, adaptar la aplicación de las provisiones de los párrafos 1, 2 y 3 en la ley que aplica las disposiciones de este Convenio, de acuerdo con la naturaleza y volumen de los datos, la naturaleza, el alcance y el propósito del procesamiento y, de ser el caso, el tamaño del responsable o de los procesadores
Notificacación de vulneraciones de seguridad
Artículo 37. En caso de que ocurra una vulneración a la seguridad, el responsable deberá analizar las causas por las cuales se presentó e implementar en su plan de trabajo las acciones preventivas y correctivas para adecuar las medidas de seguridad y el tratamiento de los datos personales si fuese el caso a efecto de evitar que la vulneración se repita. Artículo 38. Además de las que señalen las leyes respectivas y la normatividad aplicable, se considerarán como vulneraciones de
Plazo para notificar las vulneraciones de seguridad Artículo 66. De conformidad con lo dispuesto en el articulo 40 de la Ley General, el responsable deberá notificar al titular y al Instituto las vulneraciones de seguridad que de forma significativa afecten los derechos patrimoniales o morales del titular dentro en un plazo máximo de setenta y dos horas, a partir de que confirme la ocurrencia de éstas y el responsable haya empezado a tomar las acciones encaminadas a detonar un proceso de mitigación de la
No aplica
Artículo 33 Notificación de una violación de la seguridad de los datos personales a la autoridad de control 1. En caso de violación de la seguridad de los datos personales, el responsable del tratamiento la notificará a la autoridad de control competente de conformidad con el artículo 55 sin dilación indebida y, de ser posible, a más tardar 72 horas después de que haya tenido constancia de ella, a menos que sea improbable que dicha violación de la seguridad constituya un riesgo para los
No aplica
Artículo 10 – Obligaciones adicionales 1. Cada Parte debe establecer que los Responsables y, en su caso, los procesadores, toman todas las medidas apropiadas para cumplir con las obligaciones de este Convenio, además de demostrar que la legislación nacional adoptada es concordante con el Artículo 11, párrafo 3, y en particular, en lo relativo a la Autoridad Supervisora competente prevista en el Artículo 15, así como que el tratamiento de datos bajo su control es acorde a las
Las disposiciones de la normatividad mexicana son congruentes con las previsiones de RGPD de forma parcial, ya que no se establece la posibilidad de que la autoridad obligue al responsable a notificar una vulneración que ponga en riesgo los derechos y libertades de los titulares.
245
seguridad, en cualquier fase del tratamiento de datos, al menos, las siguientes: I. La pérdida o destrucción no autorizada; II. El robo, extravío o copia no autorizada; III. El uso, acceso o tratamiento no autorizado, o IV. El daño, la alteración o modificación no autorizada. Artículo 39. El responsable deberá llevar una bitácora de las vulneraciones a la seguridad en la que se describa ésta, la fecha en la que ocurrió, el motivo de ésta y las acciones correctivas implementadas de forma inmediata y definitiva. Artículo 40. El responsable deberá informar sin dilación alguna al titular, y según corresponda, al Instituto y a los Organismos garantes de las Entidades Federativas, las vulneraciones que afecten de forma significativa los derechos patrimoniales o morales, en cuanto se confirme que ocurrió la vulneración y que el responsable haya empezado a tomar las acciones encaminadas a detonar un proceso de revisión exhaustiva de la
afectación. El plazo a que se refiere el párrafo anterior, comenzará a correr el mismo dia natural en que el responsable confirme la vulneración de seguridad. Para efectos del presente articulo, se entenderá que se afectan los derechos patrimoniales del titular cuando la vulneración esté relacionada, de manera enunciativa más no limitativa, con sus bienes muebles e inmuebles, información fiscal, historial crediticio, ingresos y egresos, cuentas bancarias, seguros, afores, fianzas, servicios contratados o las cantidades o porcentajes relacionados con la situación económica del titular. Para los efectos del presente artículo, se entenderá que se afectan los derechos morales del titular cuando la vulneración esté relacionada, de manera enunciativa más no limitativa, con sus sentimientos, afectos, creencias, decoro, honor, reputacíón, vida privada, configuración y aspecto físicos, consideración que de sí mismo tienen los demás, o cuando se menoscabe ilegítimamente la
derechos y las libertades de las personas físicas. Si la notificación a la autoridad de control no tiene lugar en el plazo de 72 horas, deberá ir acompañada de indicación de los motivos de la dilación. 2. El encargado del tratamiento notificará sin dilación indebida al responsable del tratamiento las violaciones de la seguridad de los datos personales de las que tenga conocimiento. 3. La notificación contemplada en el apartado 1 deberá, como mínimo: a) describir la naturaleza de la violación de la seguridad de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados; b) comunicar el nombre y los datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información; c) describir las posibles consecuencias de la violación de la seguridad de los datos
disposiciones de este Convenio. 2. Cada Parte debe establecer que los Responsables y, en su caso, los procesadores, examinan el posible impacto del tratamiento intencional de datos en los derechos y libertades fundamentales de las personas concernidas de manera previa al inicio de éste, además de que debe diseñar el tratamiento de datos de manera tal que prevenga o minimice el riesgo de interferencia con esos derechos y libertades fundamentales. 3. Cada Parte debe establecer que los Responsables y, en su caso, los procesadores, implementan medidas técnicas y organizacionales que toman en consideración las implicaciones del derecho a la protección de datos personales en todas las etapas del tratamiento de datos. 4. Cada Parte puede, una vez considerados los riesgos para los intereses, derechos y libertades fundamentales de las personas concernidas, adaptar la aplicación de las provisiones de los párrafos 1, 2 y 3 en la ley que aplica las disposiciones de este
246
magnitud de la afectación, a fin de que los titulares afectados puedan tomar las medidas correspondientes para la defensa de sus derechos. Artículo 41. El responsable deberá informar al titular al menos lo siguiente: I. La naturaleza del incidente; II. Los datos personales comprometidos; III.Las recomendaciones al titular acerca de las medidas que éste pueda adoptar para proteger sus intereses; IV. Las acciones correctivas realizadas de forma inmediata, y V. Los medios donde puede obtener más información al respecto.
libertad o la integridad física o psíquica de éste. Notificación de las vulneraciones de seguridad al Instituto Artículo 67. En la notificación a que se refiere el artículo anterior, el responsable deberá informar mediante escrito presentado en el domicilio del Instituto, o bien, a través de cualquier otro medio que se habilite para tal efecto, al menos, lo siguiente: l. La hora y fecha de la identificación de la vulneración; II. La hora y fecha del inicio de la investigación sobre la vulneración; III. La naturaleza del incidente ovulneración ocurrida; IV. La descripción detallada de las circunstancias en torno a la vulneración ocurrida; V. Las categorias y número aproximado de titulares afectados; VI. Los sistemas de tratamiento y datos personales comprometidos; VII. Las acciones correctivas realizadas de forma inmediata; VIII.La descripción de las posibles consecuencias de la vulneración de
personales; d) describir las medidas adoptadas o propuestas por el responsable del tratamiento para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos. 4. Si no fuera posible facilitar la información simultáneamente, y en la medida en que no lo sea, la información se facilitará de manera gradual sin dilación indebida. 5. El responsable del tratamiento documentará cualquier violación de la seguridad de los datos personales, incluidos los hechos relacionados con ella, sus efectos y las medidas correctivas adoptadas. Dicha documentación permitirá a la autoridad de control verificar el cumplimiento de lo dispuesto en el presente artículo. Artículo 34 Comunicación de una violación de la seguridad de los datos personales al interesado 1. Cuando sea probable que la violación de la seguridad de los datos personales entrañe un alto riesgo para los
Convenio, de acuerdo con la naturaleza y volumen de los datos, la naturaleza, el alcance y el propósito del procesamiento y, de ser el caso, el tamaño del responsable o de los procesadores
247
seguridad ocurrida; IX. Las recomendaciones dirigidas al titular; X. El medio puesto a disposición del titular para que pueda obtener mayor información al respecto; XI. El nombre completo de la o las personas designadas y sus datos de contacto, para que puedan proporcionar mayor información al Instituto, en caso de requerirse, y XII.Cualquier otra información y documentación que considere conveniente hacer del conocimiento del Instituto. Notificación de las vulneraciones de seguridad al titular Articulo 68. En la notificación que realice el responsable al titular sobre las vulneraciones de seguridad a que se refieren los articulos 40 de la Ley General y 66 de los presentes Lineamientos generales deberá informar, al menos, lo siguiente: I. La naturaleza del incidente o vulneración ocurrida; II. Los datos personales comprometidos; III.Las recomendaciones dirigidas al titular sobre las medidas que éste pueda adoptar para proteger sus intereses;
derechos y libertades de las personas físicas, el responsable del tratamiento la comunicará al interesado sin dilación indebida. 2. La comunicación al interesado contemplada en el apartado 1 del presente artículo describirá en un lenguaje claro y sencillo la naturaleza de la violación de la seguridad de los datos personales y contendrá como mínimo la información y las medidas a que se refiere el artículo 33, apartado 3, letras b), c) y d). 3. La comunicación al interesado a que se refiere el apartado 1 no será necesaria si se cumple alguna de las condiciones siguientes: a) el responsable del tratamiento ha adoptado medidas de protección técnicas y organizativas apropiadas y estas medidas se han aplicado a los datos personales afectados por la violación de la seguridad de los datos personales, en particular aquellas que hagan ininteligibles los datos personales para cualquier persona que no esté autorizada a acceder a ellos, como el cifrado; b) el responsable del
248
IV. Las acciones correctivas realizadas de forma inmediata; V. Los medios puestos a disposición del titular para que pueda obtener mayor información al respecto; VI. La descripción de las circunstancias generales en torno a la vulneración ocurrida, que ayuden al titular a entender el impacto del incidente, y VII. Cualquier otra información y documentación que considere conveniente para apoyar a los titulares. El responsable deberá notificar directamente al titular la información a que se refieren las fracciones anteriores a través de los medios que establezca para tal fin. Para seleccionar y definir los medios de comunicación, el responsable deberá considerar el perfil de los titulares, la forma en que mantiene contacto o comunicación con éstos, que sean gratuitos; de fácil acceso; con la mayor cobertura posible y que estén debidamente habilitados y disponibles en todo momento para el titular.
tratamiento ha tomado medidas ulteriores que garanticen que ya no exista la probabilidad de que se concretice el alto riesgo para los derechos y libertades del interesado a que se refiere el apartado 1; c) suponga un esfuerzo desproporcionado. En este caso, se optará en su lugar por una comunicación pública o una medida semejante por la que se informe de manera igualmente efectiva a los interesados. 4. Cuando el responsable todavía no haya comunicado al interesado la violación de la seguridad de los datos personales, la autoridad de control, una vez considerada la probabilidad de que tal violación entrañe un alto riesgo, podrá exigirle que lo haga o podrá decidir que se cumple alguna de las condiciones mencionadas en el apartado 3.
Evaluaciones de Artículo 74. Cuando el Las Disposiciones No aplica Artículo 35 No aplica Artículo 10 – Las disposiciones de la
249
Impacto en la Protección de Datos (EIPD)
responsable pretenda poner en operación o modificar políticas públicas, sistemas o plataformas informáticas, aplicaciones electrónicas o cualquier otra tecnología que a su juicio y de conformidad con esta Ley impliquen el tratamiento intensivo o relevante de datos personales, deberá realizar una Evaluación de impacto en la protección de datos personales, y presentarla ante el Instituto o los Organismos garantes, según corresponda, los cuales podrán emitir recomendaciones no vinculantes especializadas en la materia de protección de datos personales. El contenido de la evaluación de impacto a la protección de datos personales deberá determinarse por el Sistema Nacional de Transparencia, Acceso a la Información Pública y Protección de Datos Personales. Artículo 75. Para efectos de esta Ley se considerará que se está en presencia de un tratamiento intensivo o relevante de datos personales cuando: I. Existan riesgos inherentes a los datos
administrativas de carácter general para la elaboración, presentación y valoración de evaluaciones de impacto en la protección de datos personales establecen los requisitos para la EIPD y señala que debe cumplir contener: I. La descripción de la política pública, programa, sistema o plataforma informática, aplicación electrónica o cualquier otra tecnología que implique un tratamiento intensivo o relevante de datos personales que pretenda poner en operación o modificar; II. La justificación de la necesidad de implementar o modificar la política pública, programa, sistema o plataforma informática, aplicación electrónica o cualquier otra tecnología que implique un tratamiento intensivo o relevante de datos personales; III. La representación del ciclo de vida de los datos personales a tratar; IV. La identificación, análisis y descripción de la gestión de los riesgos inherentes para la protección de los datos personales; V. El análisis de cumplimiento normativo
Evaluación de impacto relativa a la protección de datos 1. Cuando sea probable que un tipo de tratamiento, en particular si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento realizará, antes del tratamiento, una evaluación del impacto de las operaciones de tratamiento en la protección de datos personales. Una única evaluación podrá abordar una serie de operaciones de tratamiento similares que entrañen altos riesgos similares. 2. El responsable del tratamiento recabará el asesoramiento del delegado de protección de datos, si ha sido nombrado, al realizar la evaluación de impacto relativa a la protección de datos. 3. La evaluación de impacto relativa a la protección de los datos a que se refiere el apartado 1 se requerirá en particular en caso de: a)evaluación sistemática y exhaustiva de aspectos personales
Obligaciones adicionales 1. Cada Parte debe establecer que los Responsables y, en su caso, los procesadores, toman todas las medidas apropiadas para cumplir con las obligaciones de este Convenio, además de demostrar que la legislación nacional adoptada es concordante con el Artículo 11, párrafo 3, y en particular, en lo relativo a la Autoridad Supervisora competente prevista en el Artículo 15, así como que el tratamiento de datos bajo su control es acorde a las disposiciones of this Convenio. 2. Cada Parte debe establecer que los Responsables y, en su caso, los procesadores, examinan el posible impacto del tratamiento intencional de datos en los derechos y libertades fundamentales de las personas concernidas de manera previa al inicio de éste, además de que debe diseñar el tratamiento de datos de manera tal que prevenga o minimice el riesgo de interferencia con esos derechos y libertades fundamentales. 3. Cada Parte debe
normatividad mexicana son congruentes con las previsiones de RGPD.
250
personales a tratar; II. Se traten datos personales sensibles, y III. Se efectúen o pretendan efectuar transferencias de datos personales. Artículo 76. El Sistema Nacional podrá emitir criterios adicionales con sustento en parámetros objetivos que determinen que se está en presencia de un tratamiento intensivo o relevante de datos personales, de conformidad con lo dispuesto en el artículo anterior, en función de: I. El número de titulares; II. El público objetivo; III. El desarrollo de la tecnología utilizada, y IV. La relevancia del tratamiento de datos personales en atención al impacto social o, económico del mismo, o bien, del interés público que se persigue. Artículo 77. Los sujetos obligados que realicen una Evaluación de impacto en la protección de datos personales, deberán presentarla ante el Instituto o los Organismos garantes, según corresponda, treinta días anteriores a la fecha en que se pretenda poner en operación o modificar políticas públicas, sistemas o plataformas
en materia de protección de datos personales de conformidad con la Ley General o las legislaciones estatales en la materia y demás disposiciones aplicables; VI. Los resultados de la o las consultas externas que, en su caso, se efectúen; VII. La opinión técnica del oficial de protección de datos personales respecto del tratamiento intensivo o relevante de datos personales que implique la política pública, programa, sistema o plataforma informática, aplicación electrónica o cualquier otra tecnología, en su caso, y VIII. Cualquier otra información o documentos que considere conveniente hacer del conocimiento del Instituto o los organismos garantes en función de la política pública, programa, sistema o plataforma informática, aplicación electrónica o cualquier otra tecnología que implique un tratamiento intensivo o relevante de datos personales y que pretenda poner en operación o modificar. Los LGPDPSP señalan
de personas físicas que se base en un tratamiento automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente de modo similar; b) tratamiento a gran escala de las categorías especiales de datos a que se refiere el artículo 9, apartado 1, o de los datos personales relativos a condenas e infracciones penales a que se refiere el artículo 10, o c)observación sistemática a gran escala de una zona de acceso público. 4. La autoridad de control establecerá y publicará una lista de los tipos de operaciones de tratamiento que requieran una evaluación de impacto relativa a la protección de datos de conformidad con el apartado 1. La autoridad de control comunicará esas listas al Comité a que se refiere el artículo 68. 5. La autoridad de control podrá asimismo establecer y publicar la lista de los tipos de tratamiento que no requieren evaluaciones
establecer que los Responsables y, en su caso, los procesadores, implementan medidas técnicas y organizacionales que toman en consideración las implicaciones del derecho a la protección de datos personales en todas las estapas del tratamiento de datos. 4. Cada Parte puede, una vez considerados los riesgos para los intereses, derechos y libertades fundamentales de las personas concernidas, adaptar la aplicación de las provisiones de los párrafos 1, 2 y 3 en la ley que aplica las disposiciones de este Convenio, de acuerdo con la naturaleza y volumen de los datos, la naturaleza, el alcance y el propósito del procesamiento y, de ser el caso, el tamaño del responsable o de los procesadores
251
informáticas, aplicaciones electrónicas o cualquier otra tecnología, ante el Instituto o los organismos garantes, según corresponda, a efecto de que emitan las recomendaciones no vinculantes correspondientes. Artículo 78. El Instituto y los Organismos garantes, según corresponda, deberán emitir, de ser el caso, recomendaciones no vinculantes sobre la Evaluación de impacto en la protección de datos personales presentado por el responsable. El plazo para la emisión de las recomendaciones a que se refiere el párrafo anterior será dentro de los treinta días siguientes contados a partir del día siguiente a la presentación de la evaluación. Artículo 79. Cuando a juicio del sujeto obligado se puedan comprometer los efectos que se pretenden lograr con la posible puesta en operación o modificación de políticas públicas, sistemas o plataformas informáticas, aplicaciones electrónicas o cualquier
lo siguiente: Evaluaciones de impacto en la protección de datos personales Artículo 120. En la elaboración, presentación y valoración de las evaluaciones de impacto en la protección de datos personales, así como en la emisión de las recomendaciones no vinculantes, el responsable y el Instituto, según corresponda, deberán observar lo dispuesto en las disposiciones que para tal efecto emita el Sistema Nacional. Para efectos de los presentes Lineamientos generales y en términos de lo dispuesto en el artículo 75 de la Ley General, el responsable estará� en presencia de un tratamiento intensivo o relevante de datos personales cuando concurra cada una de las siguientes condiciones: I. Existan riesgos inherentes a los datos personales a tratar, entendidos como el valor potencial cuantitativo o cualitativo que pudieran tener éstos para una tercera persona no autorizada para su posesión o uso en función de la sensibilidad de los datos personales; las
de impacto relativas a la protección de datos. La autoridad de control comunicará esas listas al Comité. 6. Antes de adoptar las listas a que se refieren los apartados 4 y 5, la autoridad de control competente aplicará el mecanismo de coherencia contemplado en el artículo 63 si esas listas incluyen actividades de tratamiento que guarden relación con la oferta de bienes o servicios a interesados o con la observación del comportamiento de estos en varios Estados miembros, o actividades de tratamiento que puedan afectar sustancialmente a la libre circulación de datos personales en la Unión. 7. La evaluación deberá incluir como mínimo: a) una descripción sistemática de las operaciones de tratamiento previstas y de los fines del tratamiento, inclusive, cuando proceda, el interés legítimo perseguido por el responsable del tratamiento; b) una evaluación de la necesidad y la proporcionalidad de las operaciones de tratamiento con
252
otra tecnología que implique el tratamiento intensivo o relevante de datos personales o se trate de situaciones de emergencia o urgencia, no será necesario realizar la Evaluación de impacto en la protección de datos personales.
categorías de titulares involucrados; el volumen total de los datos personales tratados; la cantidad de datos personales que se tratan por cada titular; la intensidad o frecuencia del tratamiento, o bien, la realización de cruces de datos personales con múltiples sistemas o plataformas informáticas; II. Se traten datos personales sensibles a los que se refiere el artículo 3, fracción X de la Ley General, entendidos como aquellos que se refieran a la esfera más íntima de su titular o cuya utilización indebida pueda dar origen a discriminación o conlleve un riesgo grave para éste. De manera enunciativa más no limitativa, se consideran sensibles los datos personales que puedan revelar aspectos como origen racial o étnico, estado de salud presente o futuro, información genética, creencias religiosas, filosóficas y morales, opiniones políticas y preferencia sexual, y III. Se efectúen o pretendan efectuar transferencias de datos personales a las que se refiere el articulo 3, fracción XXXII de la Ley General, según
respecto a su finalidad; c) una evaluación de los riesgos para los derechos y libertades de los interesados a que se refiere el apartado 1, y d) las medidas previstas para afrontar los riesgos, incluidas garantías, medidas de seguridad y mecanismos que garanticen la protección de datos personales, y a demostrar la conformidad con el presente Reglamento, teniendo en cuenta los derechos e intereses legítimos de los interesados y de otras personas afectadas. 8. El cumplimiento de los códigos de conducta aprobados a que se refiere el artículo 40 por los responsables o encargados correspondientes se tendrá debidamente en cuenta al evaluar las repercusiones de las operaciones de tratamiento realizadas por dichos responsables o encargados, en particular a efectos de la evaluación de impacto relativa a la protección de datos. 9. Cuando proceda, el responsable recabará la opinión de los interesados o de sus representantes en relación con el tratamiento previsto, sin perjuicio de la
253
corresponda, entendidas como cualquier comunicación de datos personales, dentro o fuera del territorio mexicano, realizada a persona distinta del titular, responsable o encargado, considerando con especial énfasis, de manera enunciativa más no limitativa, las finalidades que motivan éstas y su periodicidad prevista; las categorías de titulares involucrados; la categoría y sensibilidad de los datos personales transferidos; el carácter nacional y/o internacional de los destinatarios o terceros receptores y la tecnología utilizada para la realización de éstas.
protección de intereses públicos o comerciales o de la seguridad de las operaciones de tratamiento. 10.Cuando el tratamiento de conformidad con el artículo 6, apartado 1, letras c) o e), tenga su base jurídica en el Derecho de la Unión o en el Derecho del Estado miembro que se aplique al responsable del tratamiento, tal Derecho regule la operación específica de tratamiento o conjunto de operaciones en cuestión, y ya se haya realizado una evaluación de impacto relativa a la protección de datos como parte de una evaluación de impacto general en el contexto de la adopción de dicha base jurídica, los apartados 1 a 7 no serán de aplicación excepto si los Estados miembros consideran necesario proceder a dicha evaluación previa a las actividades de tratamiento. 11. En caso necesario, el responsable examinará si el tratamiento es conforme con la evaluación de impacto relativa a la protección de datos, al menos cuando exista un cambio del riesgo que representen las operaciones de
254
tratamiento.
Delegado de Protección de Datos (Oficial de Protección de Datos)
Artículo 85. Cada responsable contará con una Unidad de Transparencia, se integrará y funcionará conforme a lo dispuesto en la Ley General de Transparencia y Acceso a la Información Pública, esta Ley y demás normativa aplicable, que tendrá las siguientes funciones: I. Auxiliar y orientar al titular que lo requiera con relación al ejercicio del derecho a la protección de datos personales; II.Gestionar las solicitudes para el ejercicio de los derechos ARCO; III.Establecer mecanismos para asegurar que los datos personales solo se entreguen a su titular o su representante debidamente acreditados; IV. Informar al titular o su representante el monto de los costos a cubrir por la reproducción y envío de los datos personales, con base en lo establecido en las disposiciones normativas aplicables; V. Proponer al Comité de Transparencia los procedimientos internos que aseguren y
Designación del oficial de protección de datos personales Artículo 121. Para aquellos responsables que en el ejercicio de sus funciones sustantivas lleven a cabo tratamientos relevantes o intensivos de datos personales a que se refieren los artículos 74 y, en su caso, 75 de la Ley General, podrán designar a un oficial de protección de datos personales, el cual formará parte de la Unidad de Transparencia. La persona designada como oficial de protección de datos deberá contar con la jerarquia o posición dentro de la organización del responsable que le permita implementar políticas transversales en esta materia. El oficial de protección de datos personales deberá ser designado atendiendo a sus conocimientos, cualidades profesionales, experiencia en la materia, y, en su caso, a la o las certificaciones con que cuente en materia de protección
No aplica
Artículo 37 Designación del delegado de protección de datos 1. El responsable y el encargado del tratamiento designarán un delegado de protección de datos siempre que: a) el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial; b) las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala, o c) las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales con arreglo al artículo 9 y de datos relativos a condenas e infracciones penales a que se refiere el artículo 10. 2. Un grupo empresarial podrá nombrar un único
No aplica
Artículo 10 – Obligaciones adicionales 1. Cada Parte debe establecer que los Responsables y, en su caso, los procesadores, toman todas las medidas apropiadas para cumplir con las obligaciones de este Convenio, además de demostrar que la legislación nacional adoptada es concordante con el Artículo 11, párrafo 3, y en particular, en lo relativo a la Autoridad Supervisora competente prevista en el Artículo 15, así como que el tratamiento de datos bajo su control es acorde a las disposiciones de este Convenio. 2. Cada Parte debe establecer que los Responsables y, en su caso, los procesadores, examinan el posible impacto del tratamiento intencional de datos en los derechos y libertades fundamentales de las personas concernidas de manera previa al inicio de éste, además de que debe diseñar el tratamiento de datos de manera tal que prevenga o minimice el riesgo de interferencia
Las disposiciones de la normatividad mexicana son congruentes con las previsiones del RGPD.
255
fortalezcan mayor eficiencia en la gestión de las solicitudes para el ejercicio de los derechos ARCO; VI. Aplicar instrumentos de evaluación de calidad sobre la gestión de las solicitudes para el ejercicio de los derechos ARCO, y VII. Asesorar a las áreas adscritas al responsable en materia de protección de datos personales. Los responsables que en el ejercicio de sus funciones sustantivas lleven a cabo tratamientos de datos personales relevantes o intensivos, podrán designar a un oficial de protección de datos personales, especializado en la materia, quien realizará las atribuciones mencionadas en este artículo y formará parte de la Unidad de Transparencia. Los sujetos obligados promoverán acuerdos con instituciones públicas especializadas que pudieran auxiliarles a la recepción, trámite y entrega de las respuestas a solicitudes de información, en la lengua indígena, braille o cualquier formato accesible correspondiente, en forma más eficiente.
de datos personales. Funciones del oficial de protección de datos personales Articulo 122. El oficial de protección de datos personales tendrá las siguientes atribuciones: I. Asesorar al Comité de Transparencia respecto a los temas que sean sometidos a su consideración en materia de protección de datos personales; II. Proponer al Comité de Transparencia políticas, programas, acciones y demás actividades que correspondan para el cumplimiento de la Ley General y los presentes Lineamientos generales; III. Implementar políticas, programas, acciones y demás actividades que correspondan para el cumplimiento de la Ley General y los presentes Lineamientos generales, previa autorización del Comité de Transparencia; IV. Asesorar permanentemente a las áreas adscritas al responsable en materia de protección de datos personales, y V. Las demás que determine el responsable y la normatividad que resulte aplicable. Lo anterior, sin perjuicio de lo señalado en el
delegado de protección de datos siempre que sea fácilmente accesible desde cada establecimiento. 3. Cuando el responsable o el encargado del tratamiento sea una autoridad u organismo público, se podrá designar un único delegado de protección de datos para varias de estas autoridades u organismos, teniendo en cuenta su estructura organizativa y tamaño. 4. En casos distintos de los contemplados en el apartado 1, el responsable o el encargado del tratamiento o las asociaciones y otros organismos que representen a categorías de responsables o encargados podrán designar un delegado de protección de datos o deberán designarlo si así lo exige el Derecho de la Unión o de los Estados miembros. El delegado de protección de datos podrá actuar por cuenta de estas asociaciones y otros organismos que representen a responsables o encargados. 5. El delegado de protección de datos será designado atendiendo a sus
con esos derechos y libertades fundamentales. 3. Cada Parte debe establecer que los Responsables y, en su caso, los procesadores, implementan medidas técnicas y organizacionales que toman en consideración las implicaciones del derecho a la protección de datos personales en todas las etapas del tratamiento de datos. 4. Cada Parte puede, una vez considerados los riesgos para los intereses, derechos y libertades fundamentales de las personas concernidas, adaptar la aplicación de las provisiones de los párrafos 1, 2 y 3 en la ley que aplica las disposiciones de este Convenio, de acuerdo con la naturaleza y volumen de los datos, la naturaleza, el alcance y el propósito del procesamiento y, de ser el caso, el tamaño del responsable o de los procesadores
256
articulo 85 párrafo segundo de la Ley General.
cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos y a su capacidad para desempeñar las funciones indicadas en el artículo 39. 6. El delegado de protección de datos podrá formar parte de la plantilla del responsable o del encargado del tratamiento o desempeñar sus funciones en el marco de un contrato de servicios. 7. El responsable o el encargado del tratamiento publicarán los datos de contacto del delegado de protección de datos y los comunicarán a la autoridad de control. Artículo 38 Posición del delegado de protección de datos 1. El responsable y el encargado del tratamiento garantizarán que el delegado de protección de datos participe de forma adecuada y en tiempo oportuno en todas las cuestiones relativas a la protección de datos personales. 2. El responsable y el encargado del tratamiento respaldarán
257
al delegado de protección de datos en el desempeño de las funciones mencionadas en el artículo 39, facilitando los recursos necesarios para el desempeño de dichas funciones y el acceso a los datos personales y a las operaciones de tratamiento, y para el mantenimiento de sus conocimientos especializados. 3. El responsable y el encargado del tratamiento garantizarán que el delegado de protección de datos no reciba ninguna instrucción en lo que respecta al desempeño de dichas funciones. No será destituido ni sancionado por el responsable o el encargado por desempeñar sus funciones. El delegado de protección de datos rendirá cuentas directamente al más alto nivel jerárquico del responsable o encargado. 4. Los interesados podrán ponerse en contacto con el delegado de protección de datos por lo que respecta a todas las cuestiones relativas al tratamiento de sus datos personales y al ejercicio de sus derechos al amparo del presente Reglamento.
258
5. El delegado de protección de datos estará obligado a mantener el secreto o la confidencialidad en lo que respecta al desempeño de sus funciones, de conformidad con el Derecho de la Unión o de los Estados miembros. 6. El delegado de protección de datos podrá desempeñar otras funciones y cometidos. El responsable o encargado del tratamiento garantizará que dichas funciones y cometidos no den lugar a conflicto de intereses. Artículo 39 Funciones del delegado de protección de datos 1. El delegado de protección de datos tendrá como mínimo las siguientes funciones: a) informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que les incumben en virtud del presente Reglamento y de otras disposiciones de protección de datos de la Unión o de los Estados miembros; b) supervisar el cumplimiento de lo dispuesto en el presente Reglamento, de otras
259
disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes; c) ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación de conformidad con el artículo 35; d) cooperar con la autoridad de control; e) actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento, incluida la consulta previa a que se refiere el artículo 36, y realizar consultas, en su caso, sobre cualquier otro asunto. 2. El delegado de protección de datos desempeñará sus funciones prestando la debida atención a los riesgos asociados a las operaciones de tratamiento, teniendo en
260
cuenta la naturaleza, el alcance, el contexto y fines del tratamiento.
261
D. Apoyo y ayuda a los interesados individuales en el ejercicio de sus derechos y mecanismos de reclamación adecuados
La siguiente tabla presenta el análisis de la LGPDPPSO para identificar las disposiciones que regulan el establecimiento de mecanismos de apoyo y ayuda a los interesados individuales en el ejercicio de sus derechos y mecanismos de reclamación adecuados, según se prevé en el WP 254:
Una persona debe poder interponer un recurso judicial para hacer valer sus derechos de forma rápida y efectiva, y sin costes prohibitivos, así como para garantizar su cumplimiento. Para tal fin, deben aplicarse mecanismos de supervisión que permitan la investigación independiente de reclamaciones y que posibiliten que las infracciones del derecho a la protección de datos y respeto por la vida privada sean identificadas y castigadas en la práctica. Cuando no se cumplan las normas, también se ofrecerán al interesado mecanismos efectivos de reclamación administrativa y judicial, incluida la indemnización por daños como resultado del tratamiento ilícito de sus datos personales. Este es un elemento básico que debe contemplar un sistema de adjudicación o arbitraje independiente que permita pagar indemnizaciones e imponer sanciones cuando proceda.
Lo anterior con fundamento en la LGPDPPSO, el RGPD, el C108 y el C108+.
262
Capítulo 3 de el WP 254: Principios generales en materia de protección de datos para garantizar que el nivel de protección en un tercer país, territorio o uno o varios sectores específicos de ese tercer país, u organización internacional es sustancialmente equivalente al garantizado por la legislación de la UE
C. Medios relativos al procedimiento y la ejecución 4) El sistema de protección de datos debe ofrecer apoyo y ayuda a los interesados individuales en el ejercicio de sus derechos y mecanismos de reclamación adecuados
LGPDPPSO LGPDPSP RGPD C108 C108+ Comentarios
Artículo 115. Las resoluciones del Instituto y de los Organismos garantes serán vinculantes, definitivas e inatacables para los responsables. Los titulares podrán impugnar dichas resoluciones ante el Poder Judicial de la Federación mediante el Juicio de Amparo. Artículo 116. Tratándose de las resoluciones a los recursos de revisión de los Organismos garantes de las Entidades Federativas, los particulares podrán optar por acudir ante el Instituto interponiendo el recurso de inconformidad previsto en esta Ley o ante el Poder Judicial de la Federación mediante el Juicio de Amparo.
Medios de impugnación de las resoluciones Artículo 159. De conformidad con el artículo 115 de la Ley General, las resoluciones del Instituto serán vinculantes, definitivas e inatacables para el responsable, salvo la interposición del recurso de revisión en materia de seguridad nacional por parte de la Consejería Jurídica del Ejecutivo Federal ante la Suprema Corte de Justicia de la Nación, en términos de lo dispuesto en los artículos 139, 140, 141, 142 Y143 de la Ley General. El titular podrá impugnar dichas resoluciones ante el Poder Judicial de la Federación mediante el juicio de amparo, de conformidad con la normatividad aplicable en la materia. Impugnación de las resoluciones del procedimiento de verificación Artículo 214. Las resoluciones dictadas por el Instituto en el procedimiento de verificación serán vinculantes, definitivas e inatacables para los responsables, los titulares podrán impugnar dichas resoluciones ante el Poder Judicial de la Federación mediante juicio de amparo.
CAPÍTULO VIII Recursos, responsabilidad y sanciones Artículo 77 Derecho a presentar una reclamación ante una autoridad de control 1. Sin perjuicio de cualquier otro recurso administrativo o acción judicial, todo interesado tendrá derecho a presentar una reclamación ante una autoridad de control, en particular en el Estado miembro en el que tenga su residencia habitual, lugar de trabajo o lugar de la supuesta infracción, si considera que el tratamiento de datos personales que le conciernen infringe el presente Reglamento. 2. La autoridad de control ante la que se haya presentado la reclamación informará al reclamante sobre el curso y el resultado de la reclamación, inclusive sobre la posibilidad de acceder a la tutela judicial en virtud del artículo 78. Artículo 78 Derecho a la tutela judicial efectiva contra una autoridad de control 1. Sin perjuicio de cualquier otro recurso administrativo o extrajudicial, toda persona física o jurídica tendrá derecho a la tutela judicial efectiva contra una decisión jurídicamente vinculante de una autoridad de control que le concierna. 2. Sin perjuicio de cualquier otro recurso administrativo o extrajudicial, todo interesado tendrá derecho a la tutela judicial efectiva en caso de que la autoridad de control que sea competente en virtud de los artículos 55 y 56 no dé curso a una reclamación o no informe al interesado en el plazo de tres meses sobre el curso o el resultado de la reclamación presentada en virtud del artículo 77. 3. Las acciones contra una autoridad de control deberán ejercitarse ante los tribunales del Estado miembro en que esté establecida la autoridad de control.
No hay disposiciones aplicables
Artículo 12 – Sanciones y recursos Cada Parte se compromete a establecer las sanciones y recursos judiciales y no judiciales apropiados para las violaciones de las disposiciones de este Convenio.
Las disposiciones de la normatividad mexicana son congruentes con las previsiones de RGPD y establecen recursos específicos al alcance de los particulares.
263
4. Cuando se ejerciten acciones contra una decisión de una autoridad de control que haya sido precedida de un dictamen o una decisión del Comité en el marco del mecanismo de coherencia, la autoridad de control remitirá al tribunal dicho dictamen o decisión. Artículo 79 Derecho a la tutela judicial efectiva contra un responsable o encargado del tratamiento 1. Sin perjuicio de los recursos administrativos o extrajudiciales disponibles, incluido el derecho a presentar una reclamación ante una autoridad de control en virtud del artículo 77, todo interesado tendrá derecho a la tutela judicial efectiva cuando considere que sus derechos en virtud del presente Reglamento han sido vulnerados como consecuencia de un tratamiento de sus datos personales. 2. Las acciones contra un responsable o encargado del tratamiento deberán ejercitarse ante los tribunales del Estado miembro en el que el responsable o encargado tenga un establecimiento. Alternativamente, tales acciones podrán ejercitarse ante los tribunales del Estado miembro en que el interesado tenga su residencia habitual, a menos que el responsable o el encargado sea una autoridad pública de un Estado miembro que actúe en ejercicio de sus poderes públicos. Artículo 82 Derecho a indemnización y responsabilidad 1. Toda persona que haya sufrido daños y perjuicios materiales o inmateriales como consecuencia de una infracción del presente Reglamento tendrá derecho a recibir del responsable o el encargado del tratamiento una indemnización por los daños y perjuicios sufridos. 2. Cualquier responsable que participe en la operación de tratamiento responderá de los daños y perjuicios causados en caso de que dicha operación no cumpla lo dispuesto por el
264
presente Reglamento. Un encargado únicamente responderá de los daños y perjuicios causados por el tratamiento cuando no haya cumplido con las obligaciones del presente Reglamento dirigidas específicamente a los encargados o haya actuado al margen o en contra de las instrucciones legales del responsable. 3. El responsable o encargado del tratamiento estará exento de responsabilidad en virtud del apartado 2 si demuestra que no es en modo alguno responsable del hecho que haya causado los daños y perjuicios. 4. Cuando más de un responsable o encargado del tratamiento, o un responsable y un encargado hayan participado en la misma operación de tratamiento y sean, con arreglo a los apartados 2 y 3, responsables de cualquier daño o perjuicio causado por dicho tratamiento, cada responsable o encargado será considerado responsable de todos los daños y perjuicios, a fin de garantizar la indemnización efectiva del interesado. 5. Cuando, de conformidad con el apartado 4, un responsable o encargado del tratamiento haya pagado una indemnización total por el perjuicio ocasionado, dicho responsable o encargado tendrá derecho a reclamar a los demás responsables o encargados que hayan participado en esa misma operación de tratamiento la parte de la indemnización correspondiente a su parte de responsabilidad por los daños y perjuicios causados, de conformidad con las condiciones fijadas en el apartado 2. 6. Las acciones judiciales en ejercicio del derecho a indemnización se presentarán ante los tribunales competentes con arreglo al Derecho del Estado miembro que se indica en el artículo 79, apartado 2.
265
2) Capítulo 4 del WP 254 y el WP 237 La siguiente tabla presenta un análisis de la normatividad vigente a la luz del Capítulo 4 del WP 254 y el WP 237 los cuales señalan que, al evaluar la adecuación de un tercer país en el ámbito de la vigilancia, y la aplicación de estas garantías puede diferir en los ámbitos del acceso a los datos por parte de los cuerpos policiales y de seguridad nacional pero se recomienda tomar en consideración siguientes cuatro garantías para acceder a los datos, tanto para fines de seguridad nacional como para fines de cumplimiento de la ley:
1) El tratamiento debe basarse en normas claras, precisas y accesibles (base jurídica); 2) Se deben demostrar la necesidad y la proporcionalidad respecto a los objetivos legítimos perseguidos; 3) El tratamiento debe estar sujeto a una supervisión independiente; 4) Las personas deben disponer de vías de acción efectivas.
De esta manera, se presenta un análisis de distintos cuerpos normativos y la forma en la que estos cumplen con las garantías citadas.
266
Capítulo 4: Garantías esenciales en terceros países para el acceso a los datos por parte de los cuerpos policiales y de seguridad nacional a fin de limitar las injerencias en los derechos fundamentales (WP 237)
Garantía 1. El tratamiento debe basarse en normas claras, precisas y accesibles (base jurídica) Esta garantía se refiere a que el tratamiento de los datos personales por parte de los cuerpos policiales y de seguridad nacional deberá estar previsto y regulado en el marco normativo correspondiente.
Esta normatividad deberá estructurarse en torno a normas jurídicas de orden público, que no sean vagas o ambiguas y que prevean una finalidad específica de este tratamiento. Disposiciones
aplicables Comentarios Conclusión
CPEUM
El segundo párrafo del artículo 16 de la CPEUM limita el ejercicio del derecho a la protección de datos personales por razones de seguridad nacional, disposiciones de orden público, seguridad y salud públicas o para proteger los derechos de terceros:
Artículo 16. Nadie puede ser molestado en su persona, familia, domicilio, papeles o posesiones, sino en virtud de mandamiento escrito de la autoridad competente, que funde y motive la causa legal del procedimiento. En los juicios y procedimientos seguidos en forma de juicio en los que se establezca como regla la oralidad, bastará con que quede constancia de ellos en cualquier medio que dé certeza de su contenido y del cumplimiento de lo previsto en este párrafo.
Toda persona tiene derecho a la protección de sus datos personales, al acceso, rectificación y cancelación de los mismos, así como a manifestar su oposición, en los términos que fije la ley, la cual establecerá los supuestos de excepción a los principios que rijan el tratamiento de datos, por razones de seguridad nacional, disposiciones de orden público, seguridad y salud públicas o para proteger los derechos de terceros.
…
Las limitaciones al derecho fundamental se establecen a nivel constitucional y se sujetan a la existencia de un mandamiento fundado y motivado por parte de una autoridad competente.
LGPDPPSO
En sintonía con lo previsto por la CPEUM, el artículo 6 de la LGPDPPSO limita el ejercicio del derecho a la protección de datos personales por razones de seguridad nacional, disposiciones de orden público, seguridad y salud públicas o para proteger los derechos de terceros.
Artículo 6. El Estado garantizará la privacidad de los individuos y deberá velar porque terceras personas no incurran en conductas que puedan afectarla arbitrariamente. El derecho a la protección de los datos personales solamente se limitará por razones de seguridad nacional, en términos de la ley en la materia, disposiciones de orden público, seguridad y salud públicas o para proteger los derechos de terceros.
Las limitaciones al derecho están establecidas en una ley formal y materialmente válida y son congruentes con las limitaciones previstas por la CPEUM.
LFTR
La LFTR señala: Artículo 189. Los concesionarios de telecomunicaciones y, en su caso, los autorizados y proveedores de servicios de aplicaciones y contenidos están obligados a atender todo mandamiento por escrito, fundado y motivado de la autoridad competente en los términos que establezcan las leyes. Los titulares de las instancias de seguridad y procuración de justicia designarán a los servidores públicos encargados de gestionar los requerimientos que se realicen a los concesionarios y recibir la información correspondiente, mediante acuerdos publicados en el Diario Oficial de la Federación. Artículo 190. Los concesionarios de telecomunicaciones y, en su caso, los autorizados deberán:
I. Colaborar con las instancias de seguridad, procuración y administración de justicia, en la localización geográfica, en tiempo real, de los equipos de comunicación móvil, en los términos que establezcan las leyes. Cualquier omisión o desacato a estas disposiciones será sancionada por la autoridad, en los términos de lo previsto por la legislación penal aplicable. El Instituto, escuchando a las autoridades a que se refiere el artículo 189 de esta Ley, establecerá los lineamientos que los concesionarios de telecomunicaciones y, en su caso, los autorizados deberán adoptar para que la colaboración a que se refiere esta Ley con dichas autoridades, sea efectiva y oportuna; II. Conservar un registro y control de comunicaciones que se realicen desde cualquier tipo de línea que utilice numeración propia o arrendada, bajo cualquier modalidad, que permitan identificar con precisión los siguientes datos:
Las limitaciones están previstas en una ley formal y materialmente válida pero no requieren orden judicial y pueden considerarse injustificadas.
267
a) Nombre, denominación o razón social y domicilio del suscriptor; b) Tipo de comunicación (transmisión de voz, buzón vocal, conferencia, datos), servicios suplementarios (incluidos el reenvío o transferencia de llamada) o servicios de mensajería o multimedia empleados (incluidos los servicios de mensajes cortos, servicios multimedia y avanzados); c)Datos necesarios para rastrear e identificar el origen y destino de las comunicaciones de telefonía móvil: número de destino, modalidad de líneas con contrato o plan tarifario, como en la modalidad de líneas de prepago; d)Datos necesarios para determinar la fecha, hora y duración de la comunicación, así como el servicio de mensajería o multimedia; e) Además de los datos anteriores, se deberá conservar la fecha y hora de la primera activación del servicio y la etiqueta de localización (identificador de celda) desde la que se haya activado el servicio; f) En su caso, identificación y características técnicas de los dispositivos, incluyendo, entre otros, los códigos internacionales de identidad de fabricación del equipo y del suscriptor; g) La ubicación digital del posicionamiento geográfico de las líneas telefónicas, y h) La obligación de conservación de datos, comenzará a contarse a partir de la fecha en que se haya producido la comunicación.
Para tales efectos, el concesionario deberá conservar los datos referidos en el párrafo anterior durante los primeros doce meses en sistemas que permitan su consulta y entrega en tiempo real a las autoridades competentes, a través de medios electrónicos. Concluido el plazo referido, el concesionario deberá conservar dichos datos por doce meses adicionales en sistemas de almacenamiento electrónico, en cuyo caso, la entrega de la información a las autoridades competentes se realizará dentro de las cuarenta y ocho horas siguientes, contadas a partir de la notificación de la solicitud. La solicitud y entrega en tiempo real de los datos referidos en este inciso, se realizará mediante los mecanismos que determinen las autoridades a que se refiere el artículo 189 de esta Ley, los cuales deberán informarse al Instituto para los efectos de lo dispuesto en el párrafo tercero, fracción I del presente artículo. Los concesionarios de telecomunicaciones y, en su caso, los autorizados, tomarán las medidas técnicas necesarias respecto de los datos objeto de conservación, que garanticen su conservación, cuidado, protección, no manipulación o acceso ilícito, destrucción, alteración o cancelación, así como el personal autorizado para su manejo y control. Sin perjuicio de lo establecido en esta Ley, respecto a la protección, tratamiento y control de los datos personales en posesión de los concesionarios o de los autorizados, será aplicable lo dispuesto en la Ley Federal de Protección de Datos Personales en Posesión de los Particulares;
III. Entregar los datos conservados a las autoridades a que se refiere el artículo 189 de esta Ley, que así lo requieran, conforme a sus atribuciones, de conformidad con las leyes aplicables. Queda prohibida la utilización de los datos conservados para fines distintos a los previstos en este capítulo, cualquier uso distinto será sancionado por las autoridades competentes en términos administrativos y penales que resulten. Los concesionarios de telecomunicaciones y, en su caso, los autorizados, están obligados a entregar la información dentro de un plazo máximo de veinticuatro horas siguientes, contado a partir de la notificación, siempre y cuando no exista otra disposición expresa de autoridad competente; IV. Contar con un área responsable disponible las veinticuatro horas del día y los trescientos sesenta y cinco días del año, para atender los requerimientos de información, localización geográfica e intervención de comunicaciones privadas a que se refiere este Título. Para efectos de lo anterior, los concesionarios deberán notificar a los titulares de las instancias a que se refiere el artículo 189 de esta Ley el nombre del responsable de dichas áreas y sus datos de localización; además deberá tener facultades amplias y suficientes para atender los requerimientos que se formulen al concesionario o al autorizado y adoptar las medidas necesarias. Cualquier cambio del responsable deberá notificarse previamente con una anticipación de veinticuatro horas;
[…] Las comunicaciones privadas son inviolables. Exclusivamente la autoridad judicial federal, a petición de la autoridad federal que faculte la ley o del titular del Ministerio Público de la entidad federativa correspondiente, podrá autorizar la intervención de cualquier comunicación privada
268
LCMSJ
Los LCMSJ tienen por objeto:
PRIMERO. El objeto de los presentes Lineamientos es establecer disposiciones administrativas de carácter general para que la colaboración de los Concesionarios y Autorizados con las instancias de seguridad, procuración y administración de justicia sea oportuna y efectiva, y emitir las demás disposiciones conforme al Título Octavo de la Ley Federal de Telecomunicaciones y Radiodifusión y demás normatividad aplicable, salvaguardando siempre y en todo momento la protección de la privacidad y los Datos Personales de los usuarios y los demás derechos protegidos por la Constitución Política de los Estados Unidos Mexicanos y los tratados internacionales en los que México sea parte. Los Concesionarios, los Autorizados y los proveedores de servicios de aplicaciones y contenidos están obligados a atender todo mandamiento por escrito, fundado y motivado de la autoridad competente en los términos que establezcan las leyes aplicables. En caso de no contar con la infraestructura y los medios necesarios para cumplir con los presentes Lineamientos, los Autorizados deberán contratar con los Concesionarios los servicios necesarios, quienes estarán obligados a prestar a los Autorizados dichos servicios.
El segundo de estos lineamientos identifica los actores involucrados en los procedimientos de acceso de datos personales por parte de los cuerpos policiales y de seguridad nacional:
SEGUNDO. Para efectos de los presentes Lineamientos, además de las definiciones previstas en la Ley Federal de Telecomunicaciones y Radiodifusión y demás disposiciones legales, reglamentarias y administrativas aplicables, se entenderá por:
I. Área Responsable: área designada por los Concesionarios y Autorizados disponible las veinticuatro horas del día, los trescientos sesenta y cinco días del año, para la atención de los requerimientos de las Autoridades Designadas sobre localización geográfica en tiempo real de los equipos de comunicación móvil, entrega de datos conservados, así como intervención de comunicaciones privadas; II. Autoridades Designadas: todo aquel servidor público que haya sido designado por los titulares de las Autoridades Facultadas mediante acuerdos publicados en el Diario Oficial de la Federación, de conformidad con lo dispuesto en el artículo 189 de la LFTR, para gestionar los requerimientos que, en los términos establecidos en las leyes aplicables, se realicen a los Concesionarios y los Autorizados, y recibir la información correspondiente; III. Autoridades Facultadas: instancias de seguridad, procuración de justicia y administración de justicia que, conforme a sus atribuciones previstas en sus leyes aplicables o en acuerdos delegatorios, cuenten con la facultad expresa para requerir la localización geográfica en tiempo real de los equipos de comunicación, así como la entrega de los datos conservados por los Concesionarios y Autorizados; […]
Las limitaciones no requieren orden judicial y pueden considerarse injustificadas.
CNPP
El CNPP indica:
Artículo 291. Intervención de las comunicaciones privadas Cuando en la investigación el Ministerio Público considere necesaria la intervención de comunicaciones privadas, el Titular de la Procuraduría General de la República, o en quienes éste delegue esta facultad, así como los Procuradores de las entidades federativas, podrán solicitar al Juez federal de control competente, por cualquier medio, la autorización para practicar la intervención, expresando el objeto y necesidad de la misma. La intervención de comunicaciones privadas abarca todo sistema de comunicación, o programas que sean resultado de la evolución tecnológica, que permitan el intercambio de datos, informaciones, audio, video, mensajes, así como archivos electrónicos que graben, conserven el contenido de las conversaciones registren datos que identifiquen la comunicación, los cuales se pueden presentar en tiempo real. La solicitud deberá ser resuelta por la autoridad judicial de manera inmediata, por cualquier medio que garantice su autenticidad, o en audiencia privada con la sola comparecencia del Ministerio Público, en un plazo que no exceda de las seis
Las limitaciones al derecho en virtud de intervención de comunicaciones están sujetas a orden judicial y se contienen en un Ley formal y materialmente válida.
269
horas siguientes a que la haya recibido. También se requerirá autorización judicial en los casos de extracción de información, la cual consiste en la obtención de comunicaciones privadas, datos de identificación de las comunicaciones; así como la información, documentos, archivos de texto, audio, imagen o video contenidos en cualquier dispositivo, accesorio, aparato electrónico, equipo informático, aparato de almacenamiento y todo aquello que pueda contener información, incluyendo la almacenada en las plataformas o centros de datos remotos vinculados con éstos. […] Los servidores públicos autorizados para la ejecución de la medida serán responsables de que se realice en los términos de la resolución judicial. […]
Artículo 294. Objeto de la intervención Podrán ser objeto de intervención las comunicaciones privadas que se realicen de forma oral, escrita, por signos, señales o mediante el empleo de aparatos eléctricos, electrónicos, mecánicos, alámbricos o inalámbricos, sistemas o equipos informáticos, así� como por cualquier otro medio o forma que permita la comunicación entre uno o varios emisores y uno o varios receptores. En ningún caso se podrán autorizar intervenciones cuando se trate de materias de carácter electoral, fiscal, mercantil, civil, laboral o administrativo, ni en el caso de las comunicaciones del detenido con su Defensor. El Juez podrá� en cualquier momento verificar que las intervenciones sean realizadas en los términos autorizados y, en caso de incumplimiento, decretar su revocación parcial o total.
El tratamiento de la información y de los datos personales obtenidos en estos contextos se encuentra regulado en los
artículos 297 a 300 del CNPP:
Artículo 297. Registro de las intervenciones Las intervenciones de comunicación deberán ser registradas por cualquier medio que no altere la fidelidad, autenticidad y contenido de las mismas, por la Policía o por el perito que intervenga, a efecto de que aquélla pueda ser ofrecida como medio de prueba en los términos que señala este Código.
Artículo 298. Registro El registro a que se refiere el artículo anterior contendrá las fechas de inicio y término de la intervención, un inventario pormenorizado de los documentos, objetos y los medios para la reproducción de sonidos o imágenes captadas durante la misma, cuando no se ponga en riesgo a la investigación o a la persona, la identificación de quienes hayan participado en los actos de investigación, así como los demás datos que se consideren relevantes para la investigación. El registro original y el duplicado, así como los documentos que los integran, se numerarán progresivamente y contendrán los datos necesarios para su identificación.
Artículo 299. Conclusión de la intervención Al concluir la intervención, la Policía o el perito, de manera inmediata, informará al Ministerio Público sobre su desarrollo, así como de sus resultados y levantará el acta respectiva. A su vez, con la misma prontitud el Ministerio Público que haya solicitado la intervención o su prórroga lo informará al Juez de control. Las intervenciones realizadas sin las autorizaciones antes citadas o fuera de los términos en ellas ordenados, carecerán de valor probatorio, sin perjuicio de la responsabilidad administrativa o penal a que haya lugar.
Artículo 300. Destrucción de los registros El Órgano jurisdiccional ordenará la destrucción de aquellos registros de intervención de comunicaciones privadas que no se relacionen con los delitos investigados o con otros delitos que hayan ameritado la apertura de una investigación diversa, salvo que la defensa solicite que sean preservados por considerarlos útiles para su labor. Asimismo, ordenará la destrucción de los registros de intervenciones no autorizadas o cuando éstos rebasen los términos de la autorización judicial respectiva. Los registros serán destruidos cuando se decrete el archivo definitivo, el sobreseimiento o la absolución del imputado. Cuando el
270
Ministerio Público decida archivar temporalmente la investigación, los registros podrán ser conservados hasta que el delito prescriba.
Artículo 301. Colaboración con la autoridad Los concesionarios, permisionarios y demás titulares de los medios o sistemas susceptibles de intervención, deberán colaborar eficientemente con la autoridad competente para el desahogo de dichos actos de investigación, de conformidad con las disposiciones aplicables. Asimismo, deberán contar con la capacidad técnica indispensable que atienda las exigencias requeridas por la autoridad judicial para operar una orden de intervención de comunicaciones privadas. El incumplimiento a este mandato será sancionado conforme a las disposiciones penales aplicables.
Artículo 302. Deber de secrecía Quienes participen en alguna intervención de comunicaciones privadas deberán observar el deber de secrecía sobre el contenido de las mismas.
LSN
La LSN en su capítulo II regula la intervención de comunicaciones y establece las bases para que esta sea realizada por parte de las autoridades competentes.
En su artículo 33 la LSN establece que en casos de amenaza inminente el Gobierno Mexicano podrá hacer uso de los recursos que legalmente se encuentren a su alcance, incluyendo la información anónima:
Artículo 33.- En los casos de amenaza inminente a los que se refiere el artículo 5 de esta Ley, el Gobierno Mexicano podrá hacer uso de los recursos que legalmente se encuentren a su alcance, incluyendo la información anónima.
Por su parte, el artículo 34 establece que de acuerdo con lo previsto por el artículo 16 de la CPEUM la autoridad deberá solicitar en los términos y supuestos previstos por la LSN Ley, autorización judicial para efectuar intervenciones de comunicaciones privadas en materia de Seguridad Nacional:
Artículo 34.- De conformidad con lo dispuesto por el párrafo noveno del artículo 16 de la Constitución Política de los Estados Unidos Mexicanos, el Centro deberá solicitar en los términos y supuestos previstos por la presente Ley, autorización judicial para efectuar intervenciones de comunicaciones privadas en materia de Seguridad Nacional. Se entiende por intervención de comunicaciones la toma, escucha, monitoreo, grabación o registro, que hace una instancia autorizada, de comunicaciones privadas de cualquier tipo y por cualquier medio, aparato o tecnología.
El artículo 35 la LSN establece los supuestos en los que procederá la solicitud de intervención de comunicaciones:
Artículo 35.- La solicitud a que se refiere el artículo anterior sólo procederá cuando se esté en uno de los supuestos que se contemplan en el artículo 5 de la presente Ley. En ningún otro caso podrá autorizarse al Centro la intervención de comunicaciones privadas. El Poder Judicial de la Federación, de acuerdo con su ley orgánica, determinará los juzgados que deban conocer de las solicitudes que en materia de Seguridad Nacional se presenten para intervenir comunicaciones privadas.
Finalmente, el artículo 36 de la LSN indica que los procedimientos judiciales que se instauren para autorizar las solicitudes de intervención en materia de Seguridad Nacional no tendrán naturaleza contenciosa y sus constancias procesales carecerán de valor probatorio en procedimientos judiciales o administrativos:
Las limitaciones al derecho están sujetas a orden judicial y se contienen en un Ley formal y materialmente válida.
271
6 Artículo 5. El objeto de la Guardia Nacional es realizar la función de seguridad pública a cargo de la Federación y, en su caso, conforme a los convenios que para tal efecto se celebren, colaborar temporalmente en las tareas de seguridad pública que corresponden a las entidades federativas o municipios.
Artículo 36.- Los procedimientos judiciales que se instauren para autorizar las solicitudes de intervención en materia de Seguridad Nacional no tendrán naturaleza contenciosa y sus constancias procesales carecerán de valor probatorio en procedimientos judiciales o administrativos. Cuando el Centro coopere en las actividades de procuración de justicia, las intervenciones de comunicaciones privadas en las que se preste auxilio técnico tendrán naturaleza distinta a las reguladas por este Capítulo y se ajustarán a los requisitos y formalidades que establezca el Código Federal de Procedimientos Penales y la Ley Federal contra la Delincuencia Organizada.
LGN
La Ley de la Guardia Nacional (LGN) establece en su artículo 9 diversas atribuciones para la Guardia Nacional6 e indica que esta institución tiene distintas atribuciones que se relacionan con las labores de inteligencia, seguridad y vigilancia de particulares, así como con la obtención de datos personales para dichos fines:
Recabar información en lugares públicos para evitar el fenómeno delictivo, mediante la utilización de medios e instrumentos y cualquier herramienta que resulten necesarios para la generación de inteligencia preventiva. En el ejercicio de esta atribución se deberá� respetar el derecho a la vida privada de las personas. Los datos obtenidos con afectación a los derechos humanos carecerán de todo valor probatorio (fracción V del artículo 9 de la LSN).
Realizar análisis técnico, táctico o estratégico de la información obtenida para la generación de inteligencia (fracción VII del artículo 9 de la LSN).
Verificar la información que reciba sobre hechos que puedan ser constitutivos de delito y, en su caso, hacerla del conocimiento del Ministerio Público (fracción XII del artículo 9 de la LSN).
Requerir a las autoridades competentes y solicitar a las personas físicas o morales informes y documentos para fines de investigación (fracción XVIII del artículo 9 de la LSN).
Entrevistar a las personas que puedan aportar algún dato o elemento para la investigación en caso de flagrancia o por mandato del Ministerio Público, en términos de las disposiciones aplicables. De las entrevistas que se practiquen se dejará constancia (fracción XXIII del artículo 9 de la LSN).
Incorporar a las Bases de Datos del Sistema Nacional de Información en Seguridad Pública la información que pueda ser útil en la investigación de los delitos y utilizar su contenido para el desempeño de sus atribuciones, sin afectar el derecho de las personas a la protección de sus datos personales (fracción XXIV del artículo 9 de la LSN).
Colaborar con otras autoridades federales en funciones de vigilancia, verificación e inspección que tengan conferidas por disposición de otras leyes (fracción XXV del artículo 9 de la LSN).
Solicitar por escrito, previa autorización del Juez de control, en los términos del artículo 16 de la CPEUM, a los concesionarios, permisionarios, operadoras telefónicas y todas aquellas comercializadoras de servicios en materia de telecomunicaciones o de sistemas de comunicación vía satélite, la información con que cuenten, así� como la georreferenciación de los equipos de comunicación móvil en tiempo real, para el cumplimiento de sus fines de prevención de los delitos (fracción XXIV del artículo 9 de la LSN).
Obtener, analizar y procesar información, así� como realizar las acciones que, conforme a las disposiciones aplicables, resulten necesarias para la prevención de delitos, sea directamente o mediante los mecanismos de coordinación previstos en otras leyes federales (fracción XXIX del artículo 9 de la LSN).
Realizar acciones de vigilancia, identificación, monitoreo y rastreo en la red pública de Internet sobre sitios web, con el fin de prevenir conductas delictivas (fracción XXXVIII del artículo 9 de la LSN).
Desarrollar, mantener y supervisar fuentes de información en la sociedad que le permitan obtener datos sobre
Las limitaciones al derecho están sujetas a orden judicial y se contienen en un Ley formal y materialmente válida.
272
actividades relacionadas con fenómenos delictivos (fracción XXXVIII del artículo 9 de la LSN). Integrar al Sistema Nacional de Información en Seguridad Pública los datos que se recaben para identificar a las
personas (fracción XL del artículo 9 de la LSN).
LGSNSP
La Ley General del Sistema Nacional de Seguridad Pública (LGSNSP) establece en su artículo 109 que la Federación, las entidades federativas y los Municipios, suministrarán, consultarán y actualizarán la información que diariamente se genere sobre Seguridad Pública mediante los sistemas e instrumentos tecnológicos respectivos, al Sistema Nacional de Información (SNI).
El artículo 109 de la LGSNSP añade también que las Instituciones de Seguridad Pública tendrán acceso a la información contenida en el SNI, en el ámbito de su función de prevención, investigación y persecución de los delitos, o como auxiliares en el ejercicio de dichas funciones, según corresponda. Asimismo, dicho artículo también específica que el Centro Nacional de Información (CNI) puede utilizar las Bases de Datos del SNI, para generar productos que apoyen la planificación de acciones orientadas a alcanzar los objetivos del Sistema Nacional de Seguridad Pública (SNSP).
Respecto del acceso a información, el artículo 110 de la LGSNSP indica que los integrantes del SNSP están obligados a permitir la interconexión de sus Bases de Datos para compartir la información sobre Seguridad Pública con el SNI y que, para ello, adoptarán los mecanismos tecnológicos necesarios para la interconexión en tiempo real y respaldo de la información.
En este sentido, el citado artículo 110 indica que la información contenida en todas y cada una de las Bases de Datos del SNI, así como los Registros Nacionales y la información contenida en ellos, en materia de detenciones, información criminal, personal de seguridad pública, personal y equipo de los servicios de seguridad privada, armamento y equipo, vehículos, huellas dactilares, teléfonos celulares, medidas cautelares, soluciones alternas y formas de terminación anticipada, sentenciados y las demás necesarias para la operación del Sistema se clasificada como reservada y su consulta es exclusiva de las instituciones de Seguridad Pública que estén facultadas en cada caso, a través de los servidores públicos que cada institución designe, por lo que el público no tendrá acceso a la información que en ellos se contenga.
Por su parte, el artículo 117 indica que, la Federación, las entidades federativas y los Municipios serán responsables de integrar y actualizar el SNI, con la información que generen las Instituciones de Procuración de Justicia e Instituciones Policiales, que coadyuve a salvaguardar la integridad y derechos de las personas, así como preservar las libertades, el orden y la paz públicos, mediante la prevención, persecución y sanción de las infracciones y delitos, así como la reinserción social.
Las limitaciones al derecho están sujetas a orden judicial y se contienen en un Ley formal y materialmente válida.
273
2) Se deben demostrar la necesidad y la proporcionalidad respecto a los objetivos legítimos perseguidos
Esta Garantía debe interpretarse en el sentido de que la limitación al derecho de protección de datos personales debe hacerse mediante orden escrita, fundada y motiva de autoridad judicial competente. La limitación debe ser lo menos invasiva posible y obedecer a que la obtención de información no sea posible a través de otros medios. En relación con la demostración de la necesidad y proporcionalidad de las injerencias al derecho de protección de datos personales se presenta la siguiente tabla:
Normatividad que regula la de la injerencia Justificación de la necesidad y proporcionalidad de la injerencia
CPEUM
El artículo 16 de la CPEUM establece que ninguna persona puede ser molestada en su persona, familia, domicilio, papeles o posesiones, sino en virtud de mandamiento escrito de la autoridad competente, que funde y motive la causa legal del procedimiento.
LGPDPPSO Se aplica lo previsto en el artículo 16 de la CPEUM.
CNPP La intervención de comunicaciones está sujeta a la autorización judicial del juez de control competente.
LFTR
No se establece el requerimiento de autorización judicial para atender los mandamientos de las autoridades que soliciten acceso a datos personales de usuarios y clientes.
No establece cuales son las autoridades designadas y facultadas para solicitar acceso a datos personales.
Se establece la obligación de conservar datos personales de usuarios por hasta 24 meses.
LCMSJ No se establece el requerimiento de autorización judicial para atender los mandamientos de las autoridades que soliciten acceso a datos personales de usuarios y clientes.
El catálogo de autoridades facultadas y designadas es bastante amplio en los LCMSJ:
o Autoridades Designadas: todo aquel servidor público que haya sido designado por los titulares de las Autoridades Facultadas mediante acuerdos publicados en el Diario Oficial de la Federación, de conformidad con lo dispuesto en el artículo 189 de la LFTR, para gestionar los requerimientos que, en los términos establecidos en las leyes aplicables, se realicen a los Concesionarios y los Autorizados, y recibir la información correspondiente;
o Autoridades Facultadas: instancias de seguridad, procuración de justicia y administración de justicia que, conforme a sus atribuciones previstas en sus leyes aplicables o en acuerdos delegatorios, cuenten con la facultad expresa para requerir la localización geográfica en tiempo real de los equipos de comunicación, así como la entrega de los datos conservados por los Concesionarios y Autorizados;
274
Normatividad que regula la de la injerencia Justificación de la necesidad y proporcionalidad de la injerencia
LSN
La Seguridad Nacional se rige por los principios de legalidad, responsabilidad, respeto a los derechos fundamentales de protección a la persona humana y garantías individuales y sociales, confidencialidad, lealtad, transparencia, eficiencia, coordinación y cooperación.
La intervención de comunicaciones está sujeta a la autorización judicial.
LGN
Establece que en la obtención de información en lugares públicos se deberá� respetar el derecho a la vida privada de las personas y que la incorporación de información a las Bases de Datos del Sistema Nacional de Información en Seguridad Pública habrá de realizarse sin afectar el derecho de las personas a la protección de sus datos personales.
Indica que la solicitud de información y la georreferenciación de los equipos de comunicación móvil en tiempo real que se realice a los concesionarios, permisionarios, operadoras telefónicas y todas aquellas comercializadoras de servicios en materia de telecomunicaciones o de sistemas de comunicación vía satélite deberá solicitarse por escrito, previa autorización del juez de control competente en términos del artículo 16 de la CPEUM.
LGSNSP
Se establece que las Instituciones de Seguridad Pública pueden tener acceso a la información contenida en el SNI, en el ámbito de su función de prevención, investigación y persecución de los delitos, o como auxiliares en el ejercicio de dichas funciones.
El CNI) puede utilizar las Bases de Datos del SNI, para generar productos que apoyen la planificación de acciones orientadas a alcanzar los objetivos del SNSP.
275
3) El tratamiento debe estar sujeto a una supervisión independiente En México, el tratamiento de datos personales para fines relacionados con la seguridad pública, la defensa, la seguridad nacional y la legislación penal, y el acceso de las autoridades públicas a los datos personales es supervisado por el INAI como máxima autoridad garante del derecho humano a la protección de datos personales al nivel federal caracterizada por su autonomía constitucional e independencia. El INAI es una autoridad independiente compuesta por un órgano colegiado integrado por 7 Comisionados que se eligen de conformidad con el procedimiento previsto en la CPEUM, la LGTAIP y la LFTAIP, con competencia en materia de datos personales sobre el sector público y privado, y que conocen también de asuntos relacionados con las materias de transparencia y acceso a la información pública. En relación con lo anterior se puede destacar que:
El INAI es un organismo autónomo de acuerdo con lo previsto por el apartado A, fracción XVIII del artículo 6º de la CPEUM.
Es un órgano especializado, independiente, imparcial y colegiado, con personalidad jurídica y patrimonio propio, con plena autonomía técnica, de gestión, capacidad para decidir sobre el ejercicio de su presupuesto y determinar su organización interna.
El INAI tiene a su cargo la responsabilidad de garantizar el cumplimiento de los derechos humanos de acceso a la información pública y de protección de datos personales.
El Pleno es el órgano superior de dirección del INAI y está integrado por siete comisionados que duran en su encargo siete años sin posibilidad de reelección, con las facultades descritas por el artículo 29 de la LFTAIP y el artículo 18 del Estatuto Orgánico del INAI. Asimismo, el INAI cuenta con un Consejo Consultivo integrado por diez consejeros que duran en su encargo siete años elegidos (salvo en la actual primera integración) por el voto de las dos terceras partes de los miembros presentes de la Cámara de Senadores y con las atribuciones establecidas en el artículo 54 de la LFTAIP. Las atribuciones generales del INAI se señalan en el artículo 21 de la LFTAIPG y en el artículo 12 de su Estatuto Orgánico, entre las que son relevantes para la tutela del derecho de protección de datos personales podemos mencionar las siguientes:
Ejercer las atribuciones que le otorgan la CPEUM, la LGTAIP, la LFTAIP, la LFPDPPP, la LGPDPPSO y demás normatividad aplicable.
Interpretar la LGTAIP, la LFTAIP y la LFPDPPP, en el ámbito de su competencia. Conocer y resolver los medios de defensa que interpongan los particulares en materia de
acceso a la información y protección de datos personales. Autorizar su estructura orgánica, así� como sus modificaciones. Aprobar la creación de comisiones y comités de apoyo. Nombrar y remover a los titulares de sus Secretarías y de Direcciones Generales. Aprobar el programa de trabajo institucional, así como los programas, planes y proyectos para dar
cumplimiento a su misión y visión. Aprobar las propuestas de acuerdos, lineamientos, normas, resoluciones generales, programas,
políticas y demás instrumentos y documentos que presente el Comisionado Presidente ante los Sistemas e instancias nacionales donde participe el INAI.
Aprobar la propuesta de suscripción de convenios, acuerdos, bases de colaboración y demás actos consensuales, tanto nacionales como internacionales, a celebrarse con cualquier ente público o privado, que someta a su consideración el Comisionado Presidente.
Aprobar la agenda internacional del INAI, así� como la participación de los Comisionados en seminarios, foros, congresos y eventos que se lleven a cabo en otros países.
276
Aprobar en el mes de diciembre, tanto el calendario de días inhábiles como el calendario de sesiones ordinarias aplicables para el año siguiente.
Aprobar los lineamientos, criterios y demás disposiciones normativas, así como sus modificaciones, que resulten necesarias para el ejercicio de sus atribuciones y funcionamiento.
Deliberar y votar los proyectos de acuerdos, resoluciones y dictámenes que se sometan a su consideración.
Instruir la publicación de los acuerdos y resoluciones. Las demás que le señalen la CPEUM Mexicanos, las leyes, sus reglamentos y otras disposiciones
legales y administrativas que le resulten aplicables.
a) Protección de datos personales en el sector privado El INAI, en lo que respecta a la materia de protección de datos personales en el sector privado ejerce sus facultades a través de la Secretaría de Protección de Datos, misma que se apoya en las Dirección General de Investigación y Verificación del Sector Privado, Dirección General de Investigación y Verificación del Sector Público, Dirección General de Normatividad de Consulta, Dirección General de Prevención y Autorregulación, Dirección General de Protección de Derechos y Sanción y la Dirección de Coordinación y Seguimiento. Entre las facultades del INAI que son ejercidas a través de sus unidades administrativas competentes están la de vigilar y verificar el contenido de la normatividad; proporcionar apoyo técnico a los sujetos de derecho privado que lo soliciten; emitir criterios y recomendaciones; conocer y resolver los procedimientos regulados en la normatividad (PPD, PI, PV y PISAN), como se verá en el correspondiente apartado, e imponer las sanciones que correspondan. Derivado de lo anterior, el INAI (antes IFAI) ha emitido interesantes resoluciones para garantizar el derecho de protección de datos personales en el sector privado. Entre ellas, destaca la resolución del Procedimiento de Verificación identificado con el expediente IFAI.3S.07.02-014/2013 en la que el órgano garante inició una investigación a una empresa privada que comercializaba un supuesto software de espionaje contratado para el gobierno federal, a solicitud de la denuncia de diversos particulares. Dicha resolución culminó en el PISAN identificado con el expediente PS.0025/13 por virtud del cual la empresa comercializadora del software de espionaje fue sancionada por obstruir los actos de verificación de la autoridad.
b) Protección de datos personales en el sector público Por otro lado, respecto al ejercicio de las facultades en materia de protección de datos personales en el sector público el INAI se apoya en la Dirección General de Evaluación Investigación y Verificación del Sector Público (“DGEIV”), misma que se integra de 2 Direcciones: La de Evaluación del Sector Público y la de Investigación y Verificación del Sector Público. El INAI es competente para realizar investigaciones previas, conocer el procedimiento de investigación, conocer sobre los recursos de inconformidad, revisión y revisión en materia de seguridad nacional. La labor de protección de datos personales en el sector público frente a las actividades de vigilancia e interferencia al derecho de protección de datos personales ha sido vigilada por el INAI, órgano que a través de diversas comunicaciones declaró la necesidad de proteger los datos personales y enfatizó el incumplimiento a dicha obligación por parte de autoridades federales:
En febrero de 2019, el INAI resolvió� dar vista al Órgano Interno de Control en la Fiscalía General de la República (FGR), a fin de que determine si los servidores públicos a cargo de operar el software Pegasus incurrieron en responsabilidades administrativas. Tras concluir el proceso de verificación, que inició de oficio en noviembre de 2018, el Instituto determinó que la entonces Procuraduría
277
General de la República (PGR) incumplió� con el deber de seguridad y el principio de responsabilidad, previstos en la LGPDPPSO.7
Por su parte, el Comisionado Presidente Francisco Javier Acuña Llamas, en la inauguración del foro “Vigilancia del Estado: Hacia la implementación de controles democráticos” afirmó que en una democracia es inaceptable que herramientas como el software Pegasus, adquirido por el Estado para combatir ilícitos, haya sido utilizado sin el debido protocolo y “burlando la legalidad” para vigilar a periodistas, defensores de derechos humanos y representantes de la sociedad civil organizada.8
Durante su participación en el foro Vigilancia del Estado: Hacia la implementación de controles democráticos, el Comisionado Joel Salas Suárez destacó que el INAI, en el ámbito de sus facultades, inició una investigación de oficio, a partir de la cual dio vista al Órgano Interno de Control de la FGR por el tratamiento indebido de datos personales en uso del software e interpuso una denuncia penal, debido a que la entonces Procuraduría General de la República negó la existencia de dos contratos para actualizar la licencia del uso de Pegasus en 2016 y 2017. 9
Asimismo, en el ámbito local, los organismos garantes locales en cada una de las entidades federativas del país vigilan el cumplimiento de la normatividad de protección de datos personales en el ámbito de sus competencias. Estos órganos, de acuerdo con lo previsto por la LGTAIP y la LFTAIP son órganos autónomos, especializados, independientes, imparciales y colegiados que se rigen por los principios de certeza, eficacia, imparcialidad, independencia, legalidad, máxima publicidad, profesionalismo, objetividad y transparencia y cuentan con atribuciones específicas para conocer de los asuntos relacionados con la materia de protección de datos personales en sus respectivos ámbitos competenciales. Esto es, en cada entidad federativa del país existe un organismo garante local encargado de velar por el cumplimiento de las disposiciones locales de protección de datos personales. Además, podemos destacar como facultades representativas y competencialmente distintas de las de la autoridad garante federal las siguientes:
Presentar petición fundada al INAI, para que conozca de los recursos de revisión que por su interés y trascendencia así lo ameriten.
Hacer del conocimiento de las autoridades competentes, la probable responsabilidad derivada del incumplimiento de las obligaciones previstas en la LGPDPPSO.
Proporcionar al INAI los elementos que requiera para resolver los recursos de inconformidad que le sean presentados.
Administrar, en el ámbito de sus competencias, la Plataforma Nacional de Transparencia. Interponer acciones de inconstitucionalidad en contra de leyes expedidas por las legislaturas de las
Entidades Federativas, que vulneren el derecho a la protección de datos personales.
7 Vid, Iinstituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI), Comunicado INAI/054/19, 20 de febrero de 2019, disponible en http://inicio.ifai.org.mx/Comunicados/Comunicado%20INAI-054-19.pdf 8 Vid, Iinstituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI), Comunicado INAI/083/19, 26 de marzo de 2019, disponible en http://inicio.ifai.org.mx/Comunicados/Comunicado%20INAI-083-19.pdf 9 Vid, Iinstituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI), Comunicado INAI/085/19, 26 de marzo de 2019, disponible en http://inicio.ifai.org.mx/Comunicados/Comunicado%20INAI-085-19.pdf
278
4) Las personas deben disponer de vías de acción efectivas En México existen diversas vías de acción, tanto administrativas como jurisdiccionales al alcance de los titulares de datos personales con el objeto de que estos puedan defenderse en caso de que identifiquen un tratamiento ilícito de sus datos personales para fines relacionados con la seguridad pública, la defensa y la seguridad nacional. Los primeros de ellos son los procedimientos en materia de protección de datos personales que se sustancian ante el INAI y los organismos garantes locales, y los segundos se refieren al juicio de amparo ante el Poder Judicial de la Federación, y el juicio contencioso administrativo federal que se sustancia ante el Tribunal Federal de Justicia Administrativa (TFJA) tratándose de los procedimientos regulados en el sector privado. Es decir, en la práctica, el derecho a la protección de datos personales se ve garantizado a través de la existencia de procedimientos de tutela sustanciados por el INAI y los garantes locales como autoridades competentes de supervisión. De esta suerte, se pueden distinguir los siguientes procedimientos en materia de protección de datos personales:
1. Sector privado: a. Procedimiento de Protección de Derechos (PPD). b. Procedimiento de Investigación (PI). c. Procedimiento de Verificación (PV). d. Procedimiento de Imposición de Sanciones (PISAN)
2. Sector público:
a. Recurso de Revisión (RR) b. Recurso de Inconformidad (RI) c. Recurso de Revisión en materia de Seguridad Nacional (RRSN) d. Procedimiento de Verificación (PV)
Como decíamos, las resoluciones derivadas de los procedimientos en materia de protección de datos personales pueden ser controvertidas a través de distintos mecanismos legales, por ejemplo, en el sector privado las resoluciones derivadas del PPD, PV y PISAN pueden ser impugnadas a través del Juicio Contencioso Administrativo Federal .-también conocido como juicio de nulidad- que se tramita ante el TJFA, y en caso de que la resolución del juicio de nulidad no favorezca al responsable, podrá interponerse el juicio de amparo. En la perspectiva del derecho público, las resoluciones del RR y RI emitidas por el INAI son vinculantes, definitivas e inatacables para los responsables y los organismos garantes. Sin embargo, los particulares afectados con motivo de una resolución recaída del desarrollo del RR, RI o en su caso de las sanciones establecidas por la LGPDPPSO podrán impugnar dichas determinaciones mediante el juicio de amparo ante el PJF.