Ley de Protección de Datos Personales

Questions and Answers

¿Cuál de las siguientes opciones describe mejor el concepto de 'Responsable' según la Ley Federal de Protección de Datos Personales en Posesión de los Particulares?

• La persona física o moral, nacional o extranjera, distinta del titular o del responsable de los datos.
• La persona física o moral de carácter privado que decide sobre el tratamiento de datos personales. (correct)
• El Instituto Federal de Acceso a la Información y Protección de Datos.
• La persona física a quien corresponden los datos personales.

La Secretaría de Economía es la entidad encargada de regular y supervisar el cumplimiento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares.

False (B)

Define el concepto de 'Tratamiento' de datos personales según la Ley Federal de Protección de Datos Personales en Posesión de los Particulares.

El 'Tratamiento' se refiere a la obtención, uso, divulgación o almacenamiento de datos personales, por cualquier medio, incluyendo el acceso, manejo, aprovechamiento, transferencia o disposición de dichos datos.

Según la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, la __________ es la persona física a quien corresponden los datos personales.

Titular

Relaciona los siguientes términos con su definición según la Ley Federal de Protección de Datos Personales en Posesión de los Particulares:

Titular = Persona física a quien corresponden los datos personales. Responsable = Persona que decide sobre el tratamiento de datos personales. Transferencia = Comunicación de datos a persona distinta del responsable. Tratamiento = Obtención, uso, divulgación o almacenamiento de datos personales.

¿Cuál de los siguientes NO se considera un límite para la observancia y ejercicio de los principios y derechos previstos en la Ley Federal de Protección de Datos Personales en Posesión de los Particulares?

El máximo beneficio económico del responsable. (D)

En caso de que la Ley Federal de Protección de Datos Personales en Posesión de los Particulares no contemple expresamente una disposición, se aplicarán de manera supletoria las del Código de Comercio.

False (B)

Define el concepto de 'Fuente de acceso público' según la Ley Federal de Protección de Datos Personales en Posesión de los Particulares.

Se refiere a las bases de datos cuya consulta puede ser realizada por cualquier persona, posiblemente con el pago de una contraprestación.

¿Qué documentos deben acompañar a la solicitud de protección de datos cuando se recurre una respuesta?

La solicitud y la respuesta que se recurre, o los datos que permitan su identificación. (B)

Si la solicitud de protección de datos se presenta por medios electrónicos, es necesario adjuntar copias de traslado.

False (B)

¿Cuál es el plazo máximo general que tiene el Instituto para resolver un procedimiento de protección de derechos, según el artículo 47?

Cincuenta días

Si la resolución de protección de derechos es favorable al titular, el responsable debe hacer efectivo el ejercicio de los derechos en un plazo de __________ días siguientes a la notificación.

diez

¿Qué ocurre si una solicitud de protección de datos no cumple con los requisitos del artículo 46 y el Instituto no puede subsanarlo directamente?

Se previene al titular para que subsane las omisiones en un plazo de cinco días. (A)

La prevención al titular de los datos para subsanar omisiones en su solicitud interrumpe el plazo que tiene el Instituto para resolver la solicitud de protección de datos.

True (A)

¿En qué casos puede el Instituto suplir las deficiencias de la queja?

Siempre y cuando no se altere el contenido original de la solicitud ni se modifiquen los hechos o peticiones expuestos. (C)

Además del plazo original, ¿por cuánto tiempo adicional puede el Pleno del Instituto ampliar el plazo para dictar una resolución en el procedimiento de protección de derechos si existe causa justificada?

Por un período igual

¿Qué procede si la resolución del Instituto determina que la solicitud de un titular es procedente?

El responsable debe cumplir con la solicitud sin costo para el titular, cubriendo los costos de reproducción. (C)

Las resoluciones del Instituto no pueden ser difundidas públicamente bajo ninguna circunstancia.

False (B)

¿Ante qué instancia pueden los particulares promover un juicio de nulidad contra las resoluciones del Instituto?

Tribunal Federal de Justicia Fiscal y Administrativa

Los titulares que sufran daños por incumplimiento de la ley pueden ejercer derechos para obtener una ______.

indemnización

¿Cuál de las siguientes situaciones justifica el tratamiento de datos personales sin el consentimiento explícito del titular, según la ley?

Cuando los datos son necesarios para el desarrollo y cumplimiento de un contrato privado en el que el titular es parte. (B)

Relacione el tipo de verificación con su respectiva condición de procedencia:

Verificación de oficio = Incumplimiento de resoluciones previas o presunción fundada de violaciones a la ley. Verificación a petición de parte = Solicitud directa de un particular al Instituto.

Un titular de datos personales tiene derecho a oponerse al tratamiento de sus datos en cualquier momento, pero solo si existe una causa legítima y justificada.

True (A)

¿Qué tipo de información puede solicitar el Instituto durante un procedimiento de verificación?

Información y documentación que considere necesaria, de acuerdo a la resolución que motive la verificación. (A)

¿Qué debe incluir una solicitud de acceso, rectificación, cancelación u oposición de datos personales, además del nombre del titular?

La solicitud debe incluir el domicilio u otro medio para comunicar la respuesta al titular, los documentos que acrediten su identidad o representación legal, y la descripción clara y precisa de los datos personales sobre los que se busca ejercer los derechos.

Los servidores públicos federales no están obligados a mantener la confidencialidad sobre la información que conozcan durante una verificación.

False (B)

¿Qué documento legal desarrolla la forma, términos y plazos del procedimiento de verificación?

El Reglamento

Según la ley, todo responsable de datos personales debe designar a una persona o ______________ quien dará trámite a las solicitudes de los titulares para el ejercicio de sus derechos.

departamento de datos personales

Relacione las siguientes situaciones con la justificación legal para el tratamiento de datos personales sin consentimiento del titular:

Cumplimiento de un contrato = Necesario para el desarrollo y cumplimiento de un contrato privado. Obligación legal = Necesario para cumplir con una obligación legalmente adquirida por el titular. Interés público = Necesario para realizar una acción en función del interés público. Protección de intereses del titular = Necesario para proteger los intereses jurídicamente tutelados del titular.

¿En qué situación NO se permite el tratamiento de datos personales, aun cuando se considere necesario?

Para el envío de información promocional no solicitada. (C)

El responsable de los datos puede negarse a cancelar los datos personales de un titular si estos son necesarios para el cumplimiento de una obligación fiscal.

True (A)

¿Cuál es el propósito principal de designar a una persona o departamento de datos personales dentro de una organización?

El propósito principal es dar trámite a las solicitudes de los titulares para el ejercicio de sus derechos de acceso, rectificación, cancelación y oposición.

¿Qué inicia el procedimiento de imposición de sanciones según el Artículo 62?

La notificación del Instituto al presunto infractor sobre los hechos que motivan el procedimiento. (B)

Según el Artículo 62, si el presunto infractor no presenta pruebas en el plazo otorgado, el Instituto está impedido para resolver.

False (B)

¿Dentro de cuántos días siguientes a su notificación, según el Artículo 62, el presunto infractor tiene derecho a presentar sus alegatos, si lo considera necesario?

cinco

Según el Artículo 62, el Instituto resolverá en definitiva dentro de los ______ días siguientes a la fecha en que inició el procedimiento sancionador.

cincuenta

¿Qué puede hacer el Pleno del Instituto cuando existe causa justificada, según el Artículo 62?

Ampliar el plazo para resolver el procedimiento sancionador por una vez y hasta por un período igual. (D)

El reglamento al que se refiere el Artículo 62 desarrollará la forma, términos y plazos en que se sustanciará el procedimiento de protección de derechos, incluyendo la presentación de pruebas y alegatos.

False (B)

Relacione las siguientes acciones del responsable con la infracción correspondiente según el Artículo 63:

No cumplir con la solicitud del titular para el acceso, rectificación, cancelación u oposición al tratamiento de sus datos personales, sin razón fundada = Infracción por incumplimiento de los derechos ARCO. Actuar con negligencia o dolo en la tramitación y respuesta de solicitudes de acceso, rectificación, cancelación u oposición de datos personales = Infracción por negligencia o dolo en la tramitación de solicitudes ARCO.

¿Cuál de las siguientes opciones NO es una infracción a esta Ley según el Artículo 63?

Omitir informar al titular sobre la transferencia de sus datos personales a terceros. (A)

¿Cuál de las siguientes acciones constituye una infracción según la Ley Federal de Protección de Datos Personales en Posesión de los Particulares?

Declarar la inexistencia de datos personales cuando estos existen parcialmente en las bases de datos del responsable. (C)

Omitir elementos del aviso de privacidad no constituye una infracción siempre y cuando se informe verbalmente al titular sobre el tratamiento de sus datos.

False (B)

¿Qué principio de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares se vulnera al dar tratamiento a los datos personales en contravención a la ley?

El principio de licitud.

Incumplir el deber de ________ establecido en el artículo 21 de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares es una infracción.

confidencialidad

¿Qué sanción se podría aplicar por transferir datos personales a terceros sin comunicarles las limitaciones impuestas por el titular?

Multa económica. (A)

Cambiar la finalidad original del tratamiento de los datos personales, siempre y cuando se notifique al titular, no se considera una infracción.

False (B)

Relacione las siguientes infracciones con sus respectivas descripciones según la Ley Federal de Protección de Datos Personales en Posesión de los Particulares:

Obstruir los actos de verificación de la autoridad = Impedir o dificultar las inspecciones y revisiones realizadas por el INAI. Recabar datos en forma engañosa y fraudulenta = Utilizar mecanismos para obtener información del titular mediante engaños. Vulnerar la seguridad de bases de datos = Comprometer la integridad, confidencialidad o disponibilidad de la información almacenada. Tratar datos personales afectando el ejercicio de derechos ARCO = Realizar tratamiento de datos que impida o dificulte el acceso, rectificación, cancelación u oposición del titular.

Según la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, ¿qué se debe observar al cambiar la finalidad del tratamiento de los datos?

Lo dispuesto por el artículo 12.

Flashcards

Fuente de acceso público

Base de datos accesible a cualquier persona, generalmente mediante pago.

Responsable (de datos)

Persona física o moral que decide sobre el tratamiento de datos personales.

Titular (de datos)

Persona física a quien pertenecen los datos personales.

Tratamiento (de datos)

Obtención, uso, divulgación o almacenamiento de datos personales.

Transferencia (de datos)

Comunicación de datos a una persona distinta del responsable o encargado.

Tercero (en datos personales)

Persona física o moral, nacional o extranjera, distinta del titular o del responsable de los datos.

Ley Federal de Protección de Datos Personales en Posesión de los Particulares

Ley que regula la protección de datos personales en posesión de particulares.

Uso (de datos personales)

El uso incluye cualquier acción de acceso, manejo, aprovechamiento, transferencia o disposición de datos personales

¿Cuándo es lícito el tratamiento de datos?

Datos necesarios para el desarrollo y cumplimiento de contratos privados, sociales o administrativos.

¿Qué datos deben ser tratados?

Datos cuyo tratamiento es requerido por alguna disposición legal.

¿Qué datos no deben ser protegidos?

Datos que obstaculizan investigaciones de delitos, obligaciones fiscales o sanciones administrativas.

¿Cuándo se protegen los datos del titular?

Datos necesarios para proteger los intereses legítimos del titular.

¿Datos para el interés público?

Datos esenciales para acciones de interés público.

¿Datos para cumplir obligaciones?

Datos necesarios para cumplir obligaciones legales adquiridas por el titular.

Derecho de oposición

El titular puede oponerse al uso de sus datos por causa legítima, deteniendo el tratamiento.

Derechos ARCO

El titular puede solicitar acceso, rectificación, cancelación u oposición de sus datos.

¿Cómo resuelve el Instituto?

Emite una resolución basada en la solicitud original y la respuesta del responsable.

¿Costos de cumplimiento?

El responsable debe cumplir la solicitud sin costo para el titular, cubriendo los costos de reproducción.

¿Qué recurso legal existe?

Se puede promover un juicio de nulidad ante el Tribunal Federal de Justicia Fiscal y Administrativa.

¿Cómo se difunden las resoluciones?

Se difunden públicamente en versiones públicas eliminando datos personales identificables.

¿Qué pasa si hay daños?

Pueden ejercer derechos para obtener una indemnización por daños o lesiones.

¿Qué hace el Instituto?

Verifica el cumplimiento de la Ley y su normatividad.

¿Cómo inicia la verificación?

Puede iniciarse de oficio o a petición de parte.

¿A qué tiene acceso el Instituto?

Tendrá acceso a la información y documentación necesaria.

Procedimiento de Imposición de Sanciones

Proceso iniciado por el Instituto ante un posible incumplimiento de la ley de protección de datos.

Inicio del Procedimiento Sancionador

Notificación al presunto infractor, dándole 15 días para presentar pruebas y argumentos.

Plazo para Resolver (Sanciones)

El Instituto debe resolver en un plazo de 50 días tras el inicio del procedimiento sancionador.

Ampliación del Plazo (Sanciones)

El Pleno del Instituto puede extender el plazo original una sola vez.

Reglamento del Procedimiento Sancionador

Reglamento que detalla cómo se lleva a cabo el procedimiento sancionador, presentación de pruebas, etc.

Infracción: No atender derechos ARCO

Incumplir la solicitud del titular para acceder, rectificar, cancelar u oponerse al tratamiento de sus datos sin justificación.

Infracción: Negligencia en derechos ARCO

Actuar con negligencia al no tramitar o al responder a las solicitudes de acceso, rectificación, cancelación u oposición de datos personales.

Infracciones a la Ley de Protección de Datos

Conductas realizadas por el responsable que infringen la Ley Federal de Protección de Datos Personales.

Declaración dolosa de inexistencia de datos

Declarar falsamente que ciertos datos personales no existen en una base de datos cuando sí existen.

Tratamiento de datos en contravención a la ley

Dar tratamiento a los datos personales contraviniendo los principios de la Ley de Protección de Datos.

Omisión en el aviso de privacidad

Omitir elementos obligatorios en el aviso de privacidad al titular de los datos.

No corregir datos inexactos

No rectificar o cancelar datos personales inexactos cuando es responsabilidad del responsable.

Incumplir deber de confidencialidad

Incumplir la confidencialidad de los datos personales, divulgando información privada.

Cambio sustancial de la finalidad

Cambiar la finalidad original del tratamiento de datos sin cumplir con los requisitos legales.

Transferir datos sin aviso de privacidad

Transferir datos a terceros sin informarles sobre las limitaciones impuestas por el titular.

Recabar datos con engaño

Obtener datos personales mediante engaño o fraude.

¿Qué se necesita con la solicitud de protección de datos?

Documentos necesarios para la solicitud: solicitud y la respuesta recurrida o datos que permitan su identificación. Sin respuesta, sólo la solicitud.

Copias en solicitud no electrónica

Si no se usa medios electrónicos, se deben incluir copias suficientes para el traslado a las partes involucradas.

¿Cuánto tiempo tiene el Instituto para resolver?

El plazo máximo es de 50 días a partir de la presentación. Se puede extender una vez por un período igual si hay causa justificada.

¿Cuánto tiempo tiene el responsable para cumplir?

El responsable debe cumplir en 10 días tras la notificación, o en un plazo mayor si la resolución lo justifica, e informar al Instituto en los siguientes 10 días.

¿Qué pasa si falta información en la solicitud?

Si la solicitud está incompleta, el Instituto previene al solicitante dentro de 20 días hábiles para subsanar las omisiones en 5 días.

¿Qué ocurre si no se corrigen las omisiones?

Si no se subsanan las omisiones, la solicitud se considera no presentada.

Efecto de la prevención

La prevención interrumpe el plazo del Instituto para resolver la solicitud.

Corrección de errores por el Instituto

El Instituto puede corregir errores en la queja, sin alterar el contenido original de la solicitud.

Study Notes

Ley Federal de Protección de Datos Personales

• La Ley Federal de Protección de Datos Personales en Posesión de los Particulares fue publicada el 5 de julio de 2010.
• Tiene como objetivo proteger los datos personales en posesión de los particulares y regular su tratamiento legítimo para garantizar la privacidad y la autodeterminación informativa.

Sujetos Regulados

• Los sujetos regulados por esta ley son los particulares, ya sean personas físicas o morales de carácter privado, que realicen el tratamiento de datos personales.
• Se excluyen de esta ley a las sociedades de información crediticia reguladas por la ley correspondiente y a las personas que recolecten datos para uso exclusivamente personal y sin fines comerciales.

Definiciones Clave

• Aviso de Privacidad: Documento que el responsable pone a disposición del titular para informarle sobre el tratamiento de sus datos personales.
• Bases de datos: Conjunto ordenado de datos personales referentes a una persona identificada o identificable.
• Bloqueo: Identificación y conservación de datos una vez cumplida su finalidad, para determinar posibles responsabilidades.
• Consentimiento: Manifestación de la voluntad del titular para que se realice el tratamiento de sus datos.
• Datos personales: Información concerniente a una persona física identificada o identificable.
• Datos personales sensibles: Datos que afecten la esfera más íntima del titular, como origen racial o étnico, estado de salud, información genética, creencias religiosas, afiliación sindical, opiniones políticas o preferencia sexual.
• Disociación: Procedimiento para que los datos personales no puedan asociarse al titular.
• Encargado: Persona física o jurídica que trata datos personales por cuenta del responsable.
• Fuente de acceso público: Bases de datos cuya consulta puede ser realizada por cualquier persona mediante pago.
• Responsable: Persona física o moral de carácter privado que decide sobre el tratamiento de datos personales.
• Titular: La persona física a quien corresponden los datos personales.
• Tratamiento: Obtención, uso, divulgación o almacenamiento de datos personales.
• Transferencia: Comunicación de datos a persona distinta del responsable o encargado del tratamiento.

Principios y Derechos

• Los principios y derechos establecidos en la ley tienen como límite la protección de la seguridad nacional, el orden, la seguridad y la salud públicos, así como los derechos de terceros.
• En caso de falta de disposición expresa en la ley, se aplicarán de manera supletoria las disposiciones del Código Federal de Procedimientos Civiles y de la Ley Federal de Procedimiento Administrativo.

Principios de Protección de Datos Personales

• Los responsables en el tratamiento de datos personales deben observar los principios de licitud, consentimiento, información, calidad, finalidad, lealtad, proporcionalidad y responsabilidad.
• Los datos personales deben recabarse y tratarse de manera lícita, sin utilizar medios engañosos o fraudulentos.
• Se presume que existe una expectativa razonable de privacidad en el tratamiento de datos personales.

Consentimiento del Titular

• Todo tratamiento de datos personales está sujeto al consentimiento del titular, con algunas excepciones.
• El consentimiento puede ser expreso (verbal, escrito, electrónico u otro) o tácito (si el titular no manifiesta su oposición).
• Los datos financieros o patrimoniales requieren consentimiento expreso.
• El consentimiento puede ser revocado en cualquier momento, estableciendo mecanismos y procedimientos en el aviso de privacidad.

Excepciones al Consentimiento

• No se necesita el consentimiento para el tratamiento de datos cuando:
  • Esté previsto en una ley.
  • Los datos figuren en fuentes de acceso público.
  • Se sometan a un procedimiento previo de disociación.
  • Tenga el propósito de cumplir obligaciones derivadas de una relación jurídica.
  • Exista una situación de emergencia que dañe a una persona o sus bienes.
  • Sean indispensables para la atención médica, o
  • Se dicte resolución de autoridad competente.

Calidad de los Datos Personales

• El responsable debe procurar que los datos personales sean pertinentes, correctos y actualizados para los fines para los que fueron recabados.
• Los datos que dejen de ser necesarios para las finalidades previstas deben ser cancelados.
• Existe la obligación a eliminar información sobre incumplimiento de obligaciones contractuales después de 72 meses.

Limitación del Tratamiento

• El tratamiento de datos personales debe limitarse al cumplimiento de las finalidades previstas en el aviso de privacidad.
• Si se pretende tratar los datos para un fin distinto, se requiere obtener nuevamente el consentimiento del titular.
• El tratamiento debe ser necesario, adecuado y relevante en relación con las finalidades previstas.

Protección de Datos Sensibles

• Para datos personales sensibles, el responsable debe realizar esfuerzos razonables para limitar el periodo de tratamiento.

Obligaciones del Responsable

• Debe velar por el cumplimiento de los principios de protección de datos y adoptar las medidas necesarias para su aplicación.
• Informar a los titulares sobre la información que se recaba y con qué fines, a través del aviso de privacidad.

Contenido del Aviso de Privacidad

• El aviso de privacidad debe contener:
  • La identidad y domicilio del responsable que los recaba.
  • Las finalidades del tratamiento de datos.
  • Las opciones y medios que el responsable ofrece para limitar el uso o divulgación de los datos.
  • Los medios para ejercer los derechos de acceso, rectificación, cancelación u oposición.
  • Las transferencias de datos que se efectúen.
  • El procedimiento para comunicar cambios al aviso de privacidad.

Formato del Aviso de Privacidad

• El aviso de privacidad debe ponerse a disposición de los titulares a través de formatos impresos, digitales, visuales, sonoros o cualquier otra tecnología.
• Si los datos se obtienen personalmente, el aviso debe facilitarse de forma clara y fehaciente en el momento en que se recaba el dato.

Medidas de Seguridad

• Todo responsable debe establecer y mantener medidas de seguridad administrativas, técnicas y físicas para proteger los datos personales contra daño, pérdida, alteración, destrucción o el uso, acceso o tratamiento no autorizado.
• Las vulneraciones de seguridad que afecten significativamente los derechos de los titulares deben ser informadas de forma inmediata.
• El responsable y terceros deben guardar confidencialidad sobre los datos.

Derechos de los Titulares (ARCO)

• Los titulares pueden ejercer los derechos de acceso, rectificación, cancelación y oposición (ARCO).
• Los titulares tienen derecho a acceder a sus datos personales, rectificarlos si son inexactos o incompletos, cancelarlos y oponerse a su tratamiento.
• El ejercicio de un derecho no impide el ejercicio de otro.

Procedimiento para Ejercer los Derechos ARCO

• La solicitud debe contener:
  • El nombre del titular y domicilio u otro medio para comunicarle la respuesta.
  • Los documentos que acrediten la identidad o representación legal.
  • La descripción clara y precisa de los datos personales respecto de los que se busca ejercer el derecho.
  • Cualquier otro elemento que facilite la localización de los datos personales.
• El responsable deberá designar a una persona o departamento de datos personales para dar trámite a las solicitudes.
• El responsable comunicará al titular la determinación adoptada en un plazo máximo de veinte días, y en caso de ser procedente, se hará efectiva dentro de los quince días siguientes.
• La entrega de los datos personales será gratuita, pero el titular deberá cubrir los gastos justificados de envío o reproducción.

Negativa al Acceso, Rectificación, Cancelación u Oposición

• El responsable puede negar el acceso a los datos personales, o a realizar la rectificación o cancelación o conceder la oposición al tratamiento, en ciertos supuestos, como:
  • Cuando el solicitante no sea el titular o su representante legal.
  • Cuando los datos no se encuentren en su base de datos.
  • Cuando se lesionen los derechos de un tercero.
  • Cuando exista un impedimento legal o resolución judicial.
  • Cuando la rectificación, cancelación u oposición haya sido previamente realizada.

Transferencia de Datos

• Cuando el responsable pretenda transferir los datos personales a terceros nacionales o extranjeros, deberá comunicar a éstos el aviso de privacidad y las finalidades del tratamiento.
• El tratamiento de los datos se hará conforme a lo convenido en el aviso de privacidad.

Transferencias sin Consentimiento

• Las transferencias nacionales o internacionales de datos pueden llevarse a cabo sin el consentimiento del titular en ciertos supuestos, como:
  • Cuando esté prevista en una ley o tratado.
  • Cuando sea necesaria para la prevención o el diagnóstico médico.
  • Cuando se efectúe a sociedades bajo el control común del responsable.
  • Cuando sea necesaria por virtud de un contrato en interés del titular.
  • Cuando sea necesaria para la salvaguarda de un interés público o para la procuración o administración de justicia.
  • Cuando sea precisa para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial, y
  • Cuando sea precisa para el mantenimiento o cumplimiento de una relación jurídica entre el responsable y el titular.

El Instituto Federal de Acceso a la Información y Protección de Datos (IFAI)

• El Instituto tiene por objeto difundir el conocimiento del derecho a la protección de datos personales, promover su ejercicio y vigilar por la debida observancia de las disposiciones de la ley.
• Tiene atribuciones como vigilar el cumplimiento de la ley, interpretar la ley en el ámbito administrativo, proporcionar apoyo técnico a los responsables, emitir criterios y recomendaciones, divulgar estándares internacionales, conocer y resolver los procedimientos de protección de derechos y de verificación, cooperar con otras autoridades y organismos, rendir un informe anual al Congreso de la Unión, entre otras.

La Secretaría de Economía

• Tiene como función difundir el conocimiento de las obligaciones en torno a la protección de datos personales entre la iniciativa privada nacional e internacional con actividad comercial en territorio mexicano, promover las mejores prácticas comerciales en torno a la protección de los datos personales como insumo de la economía digital, y el desarrollo económico nacional en su conjunto.
• Tiene atribuciones como emitir lineamientos para el contenido y alcances de los avisos de privacidad en coadyuvancia con el Instituto, emitir disposiciones administrativas de carácter general, fijar parámetros para el desarrollo de mecanismos de autorregulación, llevar a cabo registros de consumidores, celebrar convenios con cámaras de comercio, diseñar e instrumentar políticas para la modernización del comercio electrónico, acudir a foros comerciales, y apoyar la realización de eventos de difusión.

Esquemas de Autorregulación

• Las personas físicas o morales pueden convenir entre ellas o con organizaciones civiles o gubernamentales, esquemas de autorregulación vinculante en la materia, que complementen lo dispuesto por la ley.
• Estos esquemas deben contener mecanismos para medir su eficacia, consecuencias y medidas correctivas en caso de incumplimiento.

Procedimiento de Protección de Derechos ante el IFAI

• El procedimiento se inicia a instancia del titular de los datos o de su representante legal, expresando con claridad el contenido de su reclamación y de los preceptos de esta Ley que se consideran vulnerados.
• La solicitud de protección de datos deberá presentarse ante el Instituto dentro de los quince días siguientes a la fecha en que se comunique la respuesta al titular por parte del responsable.
• Recibida la solicitud de protección de datos ante el Instituto, se dará traslado de la misma al responsable, para que, en el plazo de quince días, emita respuesta, ofrezca las pruebas que estime pertinentes y manifieste por escrito lo que a su derecho convenga.

Resolución del IFAI

• El plazo máximo para dictar la resolución en el procedimiento de protección de derechos será de cincuenta días.
• Las resoluciones del Instituto podrán sobreseer o desechar la solicitud de protección de datos por improcedente, o Confirmar, revocar o modificar la respuesta del responsable.

El Procedimiento de Verificación

• El Instituto verificará el cumplimiento de la presente Ley y de la normatividad que de ésta derive. La verificación podrá iniciarse de oficio o a petición de parte.
• La verificación de oficio procederá cuando se dé el incumplimiento a resoluciones dictadas con motivo de procedimientos de protección de derechos a que se refiere el Capítulo anterior o se presuma fundada y motivadamente la existencia de violaciones a la presente Ley.

Sanciones

• El Instituto podrá imponer sanciones como: apercibimiento, multa de 100 a 160,000 días de salario mínimo vigente en el Distrito Federal, multa de 200 a 320,000 días de salario mínimo vigente en el Distrito Federal, y multa adicional que irá de 100 a 320,000 días de salario mínimo vigente en el Distrito Federal.

Delitos

• Se impondrán de tres meses a tres años de prisión al que estando autorizado para tratar datos personales, con ánimo de lucro, provoque una vulneración de seguridad a las bases de datos bajo su custodia.
• Se sancionará con prisión de seis meses a cinco años al que, con el fin de alcanzar un lucro indebido, trate datos personales mediante el engaño, aprovechándose del error en que se encuentre el titular o la persona autorizada para transmitirlos.
• Tratándose de datos personales sensibles, las penas a que se refiere este Capítulo se duplicarán.

Description

Preguntas sobre la Ley Federal de Protección de Datos Personales en Posesión de los Particulares. Incluye las partes, definiciones y principios de la ley. Ideal para estudiantes de derecho.