Sistema Nacional de Protección de Datos

Questions and Answers

El esfuerzo conjunto e integral se enfoca en la implementación de políticas públicas sin considerar la normatividad aplicable.

False (B)

El Sistema Nacional tiene como objetivo principal únicamente el diseño de un Programa Nacional de Protección de Datos Personales, sin considerar su ejecución ni evaluación.

False (B)

El Programa Nacional de Protección de Datos Personales debe actualizarse cada cinco años.

False (B)

El Programa Nacional de Protección de Datos Personales no tiene relación con la coordinación del Sistema Nacional.

False (B)

El Sistema Nacional busca fomentar el ejercicio de los derechos de acceso, rectificación, cancelación y oposición, conocidos como derechos ARCO.

True (A)

El Sistema Nacional no tiene como objetivo capacitar a los sujetos obligados en materia de protección de datos personales.

False (B)

Promover la educación y una cultura de protección de datos personales entre la sociedad mexicana es uno de los objetivos del Sistema Nacional.

True (A)

El Consejo Nacional del Sistema Nacional se rige por la Ley Federal de Transparencia y Acceso a la Información Pública.

False (B)

Un responsable puede tratar datos personales que no son estrictamente necesarios si estos son relevantes para la finalidad del tratamiento.

False (B)

La Ley permite el tratamiento de datos personales sin el consentimiento del titular cuando estos datos se someten a un procedimiento previo de encriptación.

False (B)

Si los datos personales ya no son necesarios para las finalidades del aviso de privacidad, deben ser directamente eliminados sin posibilidad de bloqueo.

False (B)

Los plazos de conservación de los datos personales deben ser indefinidos para asegurar el cumplimiento de cualquier posible finalidad futura.

False (B)

El responsable debe documentar los procedimientos para la conservación, bloqueo y supresión de los datos personales, incluyendo los periodos de conservación.

True (A)

El responsable está exento de mantener actualizados los datos personales si estos fueron proporcionados directamente por el titular.

True (A)

El responsable debe informar al titular sobre las características del tratamiento de sus datos personales a través de un documento interno de la empresa.

False (B)

El responsable debe realizar revisiones periódicas para evaluar la necesidad de conservar los datos personales, asegurando que no se mantengan más tiempo del necesario.

True (A)

Un sistema de gestión, según la ley, solo se enfoca en la implementación inicial de la seguridad de los datos personales y no en su mejora continua.

False (B)

El documento de seguridad que debe elaborar el responsable debe incluir un plan de marketing para el uso de los datos personales.

False (B)

El análisis de riesgos en el documento de seguridad se enfoca en evaluar los riesgos financieros asociados con el tratamiento de datos personales.

False (B)

El responsable debe actualizar el documento de seguridad solo una vez al año, independientemente de si ocurren cambios significativos en el tratamiento de datos.

False (B)

Si ocurre una vulneración de seguridad, el responsable solo necesita notificar a las autoridades, sin necesidad de analizar las causas o implementar acciones correctivas.

False (B)

Una vulneración de seguridad se limita únicamente al robo físico de los equipos donde se almacenan los datos personales.

False (B)

La modificación autorizada de datos personales se considera una vulneración de seguridad si cuenta con la aprobación del titular de los datos.

False (B)

El aviso de privacidad debe ser difundido únicamente por medios electrónicos, dejando de lado los medios físicos.

False (B)

El programa general de capacitación incluido en el documento de seguridad debe actualizarse anualmente para reflejar los cambios en la legislación y las mejores prácticas.

True (A)

Para garantizar su eficiencia, el aviso de privacidad debe ser redactado de forma compleja y técnica.

False (B)

Si resulta imposible dar a conocer el aviso de privacidad de manera directa, el responsable puede implementar medidas compensatorias de comunicación masiva.

True (A)

El aviso de privacidad solo se presenta en una modalidad: la versión extensa.

False (B)

El aviso simplificado no necesita incluir la denominación del responsable.

False (B)

El aviso simplificado debe indicar las finalidades del tratamiento de los datos personales, distinguiendo si requieren o no el consentimiento del titular.

True (A)

Si se transfieren datos personales que requieren consentimiento, el aviso simplificado debe indicar a quiénes se transfieren y con qué finalidad.

True (A)

El responsable no está obligado a proveer mecanismos para que el titular pueda conocer el contenido del aviso de privacidad integral si ya se le proporcionó el aviso simplificado.

False (B)

El responsable del tratamiento de datos personales debe actuar siempre dentro de los límites de las facultades que le otorga la normatividad aplicable.

True (A)

Un responsable puede tratar datos para finalidades diferentes a las indicadas en el aviso de privacidad, aun sin el consentimiento del titular, siempre que la ley lo permita.

False (B)

El responsable puede obtener datos personales mediante engaños, siempre y cuando se protejan los intereses del titular.

False (B)

Si se actualiza una causal de excepción prevista en el artículo 22, no es necesario el consentimiento del titular para el tratamiento de datos.

True (A)

El consentimiento para el tratamiento de datos personales debe ser libre, específico e informado.

True (A)

Para obtener el consentimiento de un menor, basta con el consentimiento de uno de sus padres.

False (B)

El consentimiento para el tratamiento de datos personales siempre debe manifestarse de forma expresa.

False (B)

Si una persona es reportada como desaparecida, el responsable nunca podrá tratar sus datos personales.

False (B)

El responsable solo debe informar al titular sobre la naturaleza del incidente de seguridad, sin necesidad de detallar los datos personales comprometidos.

False (B)

La bitácora de vulneraciones de seguridad debe incluir la fecha en que ocurrió la vulneración, su motivo, y las acciones correctivas implementadas de forma inmediata y definitiva.

True (A)

Informar al titular sobre las medidas que puede adoptar para proteger sus intereses es una obligación del Instituto, no del responsable.

False (B)

El responsable debe informar al titular y, según corresponda, al Instituto, sobre vulneraciones que afecten significativamente los derechos patrimoniales o morales.

True (A)

Una vez finalizada la relación laboral con el responsable, las personas que intervinieron en el tratamiento de datos personales ya no tienen la obligación de guardar confidencialidad.

False (B)

Los derechos ARCO (Acceso, Rectificación, Cancelación y Oposición) son derechos que sólo pueden ser ejercidos por el titular directamente y no a través de un representante.

False (B)

El ejercicio del derecho de acceso a los datos personales es un requisito previo obligatorio para poder ejercer el derecho de rectificación.

False (B)

Si una empresa sufre una vulneración de seguridad, pero inmediatamente toma medidas correctivas, no es necesario informar al titular si la empresa considera que la vulneración no es significativa.

False (B)

Flashcards

Programa Nacional de Protección de Datos Personales

Política pública que establece objetivos, estrategias y acciones para la protección de datos personales.

Objetivo I del Programa Nacional

Promover la educación y conciencia sobre la protección de datos personales en la sociedad mexicana.

Objetivo II del Programa Nacional

Fomentar el ejercicio de los derechos de acceso, rectificación, cancelación y oposición (ARCO).

Objetivo III del Programa Nacional

Capacitar a los sujetos obligados en materia de protección de datos personales.

Objetivo IV del Programa Nacional

Impulsar la implementación de sistemas de gestión de seguridad y adoptar estándares en protección de datos.

Objetivo V del Programa Nacional

Prever mecanismos para medir, reportar y verificar las metas establecidas en protección de datos.

Función del Programa Nacional

Instrumento rector para coordinar e integrar el Sistema Nacional de Protección de Datos.

Actualización del Programa Nacional

Evaluación y actualización anual del Programa Nacional para ajustar actividades y proyectos.

¿Cuándo no se necesita consentimiento?

No se requiere consentimiento para datos disociados o de personas desaparecidas.

Calidad de los datos personales

Mantener datos personales exactos, completos, correctos y actualizados.

Supresión de datos

Eliminar datos innecesarios después de cumplir su finalidad, tras un bloqueo.

Plazos de conservación

Los plazos deben ser necesarios para la finalidad justificada, considerando aspectos legales.

Procedimientos de conservación

Documentar procedimientos para conservar, bloquear y suprimir datos personales.

Mecanismos de revisión

Incluir mecanismos para cumplir plazos y revisar la necesidad de conservar datos.

Minimización de datos

Tratar solo los datos adecuados, relevantes y estrictamente necesarios.

Aviso de privacidad

Informar al titular sobre el tratamiento de sus datos mediante un aviso de privacidad.

Difusión del aviso de privacidad

El responsable debe difundir el aviso de privacidad por medios electrónicos y físicos.

Redacción del aviso de privacidad

El aviso debe ser claro y simple para informar eficientemente.

Imposibilidad de aviso directo

Si es imposible dar a conocer directamente el aviso, se usan medidas de comunicación masiva.

Modalidades del aviso de privacidad

El aviso de privacidad se presenta en dos modalidades: simplificado e integral.

Denominación del responsable

Nombre del responsable que recaba los datos.

Finalidades del tratamiento de datos

Propósitos para los que se usan los datos, indicando cuáles requieren consentimiento.

Transferencias de datos personales

Informar a quién se transfieren los datos y con qué fin, si se requiere consentimiento.

Negativa al tratamiento de datos

Mecanismos para que el titular pueda negar el uso de sus datos para ciertos fines.

Tratamiento de datos y facultades

El tratamiento de datos debe ajustarse a las facultades del responsable según la normatividad aplicable.

Justificación del tratamiento de datos

Todo tratamiento debe justificarse por finalidades concretas, lícitas, explícitas y legítimas, relacionadas con las atribuciones legales.

Finalidades distintas y consentimiento

Se pueden tratar datos para finalidades distintas con atribuciones legales y consentimiento del titular, excepto en casos de personas desaparecidas.

Prohibición de medios fraudulentos

No se deben obtener ni tratar datos por medios engañosos o fraudulentos, priorizando la protección del titular y su privacidad.

Consentimiento previo del titular

El responsable debe contar con el consentimiento previo del titular, salvo excepciones legales.

Características del consentimiento

El consentimiento debe ser: Libre, Específico e Informado.

Consentimiento Libre

Libre: Sin error, mala fe, violencia o dolo que afecte la voluntad del titular.

Formas de manifestar el consentimiento

El consentimiento puede ser expreso o tácito.

Sistema de Gestión

Conjunto de elementos y actividades para gestionar la seguridad de los datos personales.

Documento de Seguridad

Documento que contiene el inventario de datos personales, análisis de riesgos y plan de trabajo.

Inventario de Datos Personales

Inventario de los datos personales que maneja una entidad y sus sistemas de tratamiento.

Análisis de Riesgos

Análisis para detectar posibles debilidades en la protección de datos personales.

Plan de Trabajo

Es un plan con acciones para mejorar la seguridad de los datos personales.

Modificaciones Sustanciales

Ocurren cuando el tratamiento de datos personales cambian el nivel de riesgo.

Vulneraciones de Seguridad

Pérdida, robo, uso no autorizado o daño a los datos personales.

Acciones Post-Vulneración

Analizar las causas e implementar acciones correctivas y preventivas.

Bitácora de vulneraciones

Registro cronológico de incidentes de seguridad, incluyendo detalles, fechas, causas y acciones correctivas.

Notificación de vulneraciones

Informar al titular y, según corresponda al Instituto o a los Organismos garantes, sobre vulneraciones significativas de datos personales.

Tiempo de notificación

La vulneración debe informarse sin demora, una vez confirmada y cuando se inician las acciones para evaluar su impacto.

Contenido del informe al titular

Naturaleza del incidente, datos comprometidos, recomendaciones al titular, acciones correctivas y medios para obtener más información.

Obligación de confidencialidad

Establecer controles para asegurar la confidencialidad de los datos personales por parte de quienes los manejan, incluso después de finalizar su relación con el responsable.

Derechos ARCO

Derechos de Acceso, Rectificación, Cancelación y Oposición al tratamiento de datos personales.

Ejercicio de los derechos ARCO

El titular o su representante pueden solicitar al responsable el ejercicio de sus derechos ARCO.

Independencia de los derechos ARCO

El ejercicio de un derecho ARCO no condiciona ni impide el ejercicio de otros.

Study Notes

LEY GENERAL DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE SUJETOS OBLIGADOS

• Fue publicada en el Diario Oficial de la Federación el 26 de enero de 2017.
• Enrique Peña Nieto, Presidente de los Estados Unidos Mexicanos, expidió esta ley.
• Se expide la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados.

TÍTULO PRIMERO: DISPOSICIONES GENERALES

• Esta Ley es de orden público y de observancia general en toda la República.
• Reglamenta los artículos 6o, Base A y 16, segundo párrafo, de la Constitución Política de los Estados Unidos Mexicanos.
• Aplica directamente a los sujetos obligados del orden federal, según su competencia.
• El Instituto ejercerá las facultades que le otorga la Ley.
• El objetivo es establecer las bases, principios y procedimientos para garantizar la protección de datos personales.
• Están obligados por esta Ley cualquier autoridad, entidad, órgano y organismo de los Poderes Ejecutivo, Legislativo y Judicial, órganos autónomos, partidos políticos, fideicomisos y fondos públicos en los ámbitos federal, estatal y municipal.
• Los sindicatos y personas que reciban recursos públicos o realicen actos de autoridad son responsables de los datos personales.
• Las personas físicas y morales se sujetarán a la Ley Federal de Protección de Datos Personales en Posesión de los Particulares.

Objetivos de la Ley

• Distribuir competencias entre los Organismos garantes de la Federación y las Entidades Federativas.
• Establecer bases mínimas y condiciones homogéneas para el tratamiento de datos personales.
• Regular la organización y operación del Sistema Nacional de Transparencia, Acceso a la Información y Protección de Datos personales.
• Garantizar la observancia de los principios de protección de datos personales.
• Proteger los datos personales en posesión de autoridades, entidades, órganos y organismos de los Poderes Ejecutivo, Legislativo y Judicial, órganos autónomos, partidos políticos, fideicomisos y fondos públicos.
• Garantizar el derecho a la protección de datos personales para toda persona.
• Promover y difundir una cultura de protección de datos personales.
• Establecer mecanismos para garantizar el cumplimiento de la ley,
• Regular los medios de impugnación y procedimientos para la interposición de acciones de inconstitucionalidad y controversias constitucionales.

Definiciones Clave (Artículo 3)

• Áreas: Instancias dentro de los sujetos obligados responsables del tratamiento de datos.
• Aviso de privacidad: Documento que informa al titular sobre el tratamiento de sus datos personales.
• Bases de datos: Conjunto ordenado de datos personales identificables.
• Bloqueo: Identificación y conservación de datos personales para determinar posibles responsabilidades.
• Comité de Transparencia: Instancia referida en el artículo 43 de la Ley General de Transparencia y Acceso a la Información Pública.
• Cómputo en la nube: Modelo de provisión externa de servicios de cómputo bajo demanda.
• Consejo Nacional: Consejo Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales.
• Consentimiento: Manifestación de la voluntad libre e informada del titular para el tratamiento de sus datos.
• Datos personales: Información concerniente a una persona física identificada o identificable.
• Datos personales sensibles: Datos que se refieren a la esfera más íntima del titular, que pueden dar origen a discriminación o riesgo grave.
• Derechos ARCO: Derechos de acceso, rectificación, cancelación y oposición al tratamiento de datos personales.
• Días: Días hábiles.
• Disociación: Procedimiento que impide la asociación de los datos personales con su titular.
• Documento de seguridad: Instrumento que describe las medidas de seguridad adoptadas.
• Encargado: Persona física o jurídica que trata datos personales a nombre del responsable.
• Evaluación de impacto en la protección de datos personales: Documento para valorar los impactos reales del tratamiento de datos personales antes de implementar nuevas políticas, programas o sistemas.
• Fuentes de acceso público: Bases de datos que pueden ser consultadas públicamente por disposición de ley.
• Instituto: Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales.
• Medidas compensatorias: Mecanismos alternos para dar a conocer el aviso de privacidad.
• Medidas de seguridad: Acciones para proteger los datos personales.
• Medidas de seguridad administrativas: Políticas y procedimientos de seguridad de la información a nivel organizacional.
• Medidas de seguridad físicas: Acciones y mecanismos para proteger el entorno físico de los datos personales.
• Medidas de seguridad técnicas: Acciones y mecanismos tecnológicos para proteger el entorno digital de los datos personales.
• Organismos garantes: Entidades autónomas constitucionalmente especializadas en el acceso a la información y protección de datos personales.
• Plataforma Nacional: Plataforma Nacional de Transparencia.
• Programa Nacional de Protección de Datos Personales: Programa Nacional de Protección de Datos Personales.
• Remisión: Comunicación de datos personales exclusivamente entre el responsable y el encargado.
• Responsable: Sujetos obligados que deciden sobre el tratamiento de datos personales.
• Sistema Nacional: El Sistema Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales.
• Supresión: Baja archivística de los datos personales que resulta en su eliminación o destrucción.
• Titular: Persona física a quien corresponden los datos personales.
• Transferencia: Comunicación de datos personales a persona distinta del titular, responsable o encargado.
• Tratamiento: Cualquier operación o conjunto de operaciones aplicadas a datos personales.
• Unidad de Transparencia: Instancia referida en el artículo 45 de la Ley General de Transparencia y Acceso a la Información Pública.

Aplicabilidad y Fuentes de Acceso Público

• La Ley se aplica a cualquier tratamiento de datos personales en soportes físicos o electrónicos.
• Se consideran fuentes de acceso público las páginas de Internet, directorios telefónicos, diarios, gacetas, medios de comunicación social y registros públicos, siempre que sean de consulta general y no tengan procedencia ilícita.

Garantías del Estado y Límites al Derecho de Protección de Datos

• El Estado garantiza la privacidad y debe velar porque terceros no afecten arbitrariamente la privacidad de los individuos.
• El derecho a la protección de datos personales se limitará por razones de seguridad nacional, orden público, seguridad y salud públicas, o para proteger los derechos de terceros.
• No se pueden tratar datos personales sensibles como regla general, salvo consentimiento expreso del titular o en los casos del artículo 22 de esta Ley.
• En el tratamiento de datos personales de menores de edad se debe privilegiar su interés superior.
• La aplicación e interpretación de la Ley se realizará conforme a la Constitución, tratados internacionales y resoluciones especializadas en la materia.
• En la interpretación se tomarán en cuenta los criterios de organismos nacionales e internacionales.
• En caso de falta de disposición expresa, se aplicarán supletoriamente el Código Federal de Procedimientos Civiles y la Ley Federal de Procedimiento Administrativo.

Sistema Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales

• El Sistema Nacional se conformará acorde a la Ley General de Transparencia y Acceso a la Información Pública.
• En materia de protección de datos personales, dicho Sistema coordinará y evaluará las acciones relativas a la política pública transversal de protección de datos personales.
• Contribuirá a mantener la plena vigencia del derecho a la protección de datos personales a nivel nacional.
• Implementará políticas públicas con apego a la normatividad aplicable, respeto al derecho a la protección de datos personales y difusión de una cultura de este derecho.
• El Sistema Nacional tendrá como objetivo diseñar, ejecutar y evaluar un Programa Nacional de Protección de Datos Personales, que defina la política pública y establezca objetivos, estrategias, acciones y metas.
• Dicho programa debe promover la educación y cultura de protección de datos personales entre la sociedad mexicana, así como el ejercicio de los derechos de acceso, rectificación, cancelación y oposición.
• Además, debe capacitar a los sujetos obligados en materia de protección de datos personales e impulsar un sistema de gestión de seguridad.
• El Programa Nacional de Protección de Datos Personales se constituirá como un instrumento rector para la integración y coordinación del Sistema Nacional.
• Se evaluará y actualizará al final de cada ejercicio anual y definirá las actividades y proyectos que deberán ser ejecutados durante el siguiente ejercicio.
• El Sistema Nacional contará con un Consejo Nacional cuya integración, organización, funcionamiento y atribuciones se regirán por la Ley General de Transparencia y Acceso a la Información Pública.
• El Sistema Nacional tendrá funciones en materia de protección de datos personales como promover el ejercicio del derecho a la protección de datos personales en toda la República Mexicana y fomentar una cultura de protección de datos personales.

Cumplimiento de la Ley

• El responsable debe rendir cuentas sobre el tratamiento de datos personales y observar la Constitución y los Tratados Internacionales.
• Puede valerse de estándares o mejores prácticas nacionales o internacionales.
• El responsable debe destinar recursos, elaborar políticas y programas de protección.
• Poner en práctica un programa de capacitación del personal.
• Establecer un sistema de supervisión interna y/o externa y establecer procedimientos para recibir y responder dudas y quejas de los titulares.
• Está obligado a diseñar, desarrollar e implementar sus políticas públicas, programas, servicios, sistemas o plataformas informáticas, aplicaciones electrónicas o cualquier otra tecnología que implique el tratamiento de datos personales, de conformidad con las disposiciones previstas en la presente Ley.

Deberes del responsable

• Debe establecer y mantener medidas de seguridad administrativas, físicas y técnicas para la protección de los datos personales.
• Las medidas de seguridad adoptadas por el responsable deberán considerar el riesgo inherente a los datos personales tratados, la sensibilidad de los datos personales tratados, el desarrollo tecnológico, consecuencias de una vulneración para los titulares, transferencias de datos personales que se realicen, el número de titulares, las vulneraciones previas ocurridas en los sistemas de tratamiento, y el riesgo por el valor potencial cuantitativo o cualitativo que pudieran tener los datos personales tratados para una tercera persona no autorizada para su posesión.
• El responsable debe crear políticas internas para la gestión y tratamiento de los datos personales, definir las funciones y obligaciones del personal, elaborar un inventario de datos personales y de los sistemas de tratamiento y realizar un análisis de riesgo de los datos personales.
• El responsable debe estar dispuesto crear un análisis, elaborar un plan de trabajo para la implementación de las medidas de seguridad faltantes y diseñar y aplicar diferentes niveles de capacitación del personal bajo su mando, dependiendo de sus roles y responsabilidades respecto del tratamiento de los datos personales.
• Debe elaborarse un documento de seguridad a través de un sistema de gestión, y actualizar periódicamente cuando ocurran modificaciones sustanciales al tratamiento de datos personales.
• El responsable deberá asegurar si se presento una vulneración a la seguridad y poder implementar acciones preventivas y de corrección.
• Además de las leyes respectivas y la normatividad aplicable, se considerarán como vulneraciones de seguridad, en cualquier fase del tratamiento de datos, al menos, las siguientes: La pérdida o destrucción no autorizada, El robo, extravío o copia no autorizada, El uso, acceso o tratamiento no autorizado, o El daño, la alteración o modificación no autorizada.
• El responsable deberá llevar una bitácora de las vulneraciones a la seguridad en la que se describa ésta, la fecha en la que ocurrió, , el motivo y acciones correctivas.

Obligaciones del titular

• El responsable deberá informar sin dilación alguna al titular, las vulneraciones que afecten de forma significativa los derechos patrimoniales o morales.
• La naturaleza e incidente de los datos personales comprometidos deben revelarse al titular.
• El titular debe ser informado acerca de las medidas que éste puede adoptar en cuanto correcciones y demás mecanismos.
• Protegerá e informara a los intervinientes en la protección de datos y guardará confidencialidad.
• El titular o representante podrán solicitar al responsable, el acceso, rectificación, cancelación u oposición al tratamiento de los datos personales que le conciernen.
• Eserá posible acceder, rectificar o denegar el tratamiento de forma gratuita.
• El responsable deberá establecer procedimientos sencillos que permitan el ejercicio de los derechos ARCO, cuyo plazo de respuesta no deberá exceder de veinte días contados a partir del día siguiente a la recepción de la solicitud.
• El nombre, domicilio y representación deben ser requeridos así lo documentos pertinentes que acrediten al titular.
• Previo a la solicitud de cancelación, hay que señalar las causas y motivos que lo generaron así como las consecuencias derivadas a daños personales por dicho tratamiento.
• Será admisible la Unidad de transparencia del solicitante, podrá ser libre, a través de escritos, correos o cualquier herramienta que faculte al instituto.
• Cuando el uso se ha determinado incompetente podrá ser redireccionado al titular con un plazo de máximo de 3 días y orientarlo.
• En caso de inexistencia de los datos personales, el Comité de Transparencia deberá confirmarlo.

En que no se aplica el los derechos de ARCO

• Cuando el titular o su representante no estén debidamente acreditados para ello;
• Cuando los datos personales no se encuentren en posesión del responsable;
• Cuando exista un impedimento legal;
• Cuando se lesionen los derechos de un tercero;
• Cuando se obstaculicen actuaciones judiciales o administrativas;
• Cuando exista una resolución de autoridad competente que restrinja el acceso a los datos personales o no permita la rectificación, cancelación u oposición de los mismos;
• Cuando la cancelación u oposición haya sido previamente realizada;
• Cuando el responsable no sea competente;
• Cuando sean necesarios para proteger intereses jurídicamente tutelados del titular;
• Cuando sean necesarios para dar cumplimiento a obligaciones legalmente adquiridas por el titular;
• Cuando en función de sus atribuciones legales el uso cotidiano, resguardo y manejo sean necesarios y proporcionales para mantener la integridad, estabilidad y permanencia del Estado mexicano, o
• Cuando los datos personales sean parte de la información que las entidades sujetas a la regulación y supervisión financiera del sujeto obligado hayan proporcionado a éste, en cumplimiento a requerimientos de dicha información sobre sus operaciones, organización y actividades.

Portabilidad de los Datos

• Cuando se traten datos personales por vía electrónica en un formato estructurado y comúnmente utilizado, el titular tendrá derecho a obtener del responsable una copia de los datos objeto de tratamiento en un formato electrónico estructurado y comúnmente utilizado que le permita seguir utilizándolos.

Enajenación o transferencia de datos personales

• Los responsables deberán tener sus documentos con validez jurídica o acuerdo mutuo en el cual se acredite la existencia.
• Los servicios estarán autorizados y podrán ser aplicables en el nube siempre y cuando el proveedor garantice la protección de datos en la presente ley.
• Al ser transferidos se deberá garantizar la confidencialidad de los mismo

Transferencias y remisiones

• El titular deberá dar consentimiento en datos nacional e internacional salvo excepciones en el artículo 22, 66 y 70 de esta ley.
• Toda transferencia tendrá cláusulas contractuales legales que permitan demostrar el tratamiento de datos.
• No aplica cuando la transferencia es nacional, o cuando la transferencia sea internacional y se encuentre prevista y ratificada.
• El receptor deberá tratar y garantizar su manejo.
• El responsable podrá transferir datos en el supuesto de que la transmisión sea de un convenio suscritos, entre responsables, siempre y cuando se utilicen facultades propias.
• La revisión del tratamiento de vulneraciones debe ser informada al titular

Actos preventivos

• Para el cumplimiento deberán adoptarse, en lo individual o acuerdos de otras partes, para elevar el nivel de cumplimiento.
• Tendrán que armonizar el tratamiento de datos personales y facilitar el ejercicio respeto del derecho de ARCO.
• Se deberá completar la disposición de la presente Ley y demostrar ante la ley el cumplimiento.
• Cualquier esquema de mejoramiento tiene que ser reconocido y aprobado tanto en el instituto como en los organismos garantes.
• Al implementar políticas deberá realizarse una evaluación de impacto, en el caso de ser intensivo o relevante deberá ser sometido al instituto salvo los casos en los que exista una razón de emergencia o urgencia.

Proteccion de datos

• La obtención y tratamiento estará regida por el principio de licitud , aquellos que resulten necesarios para el ejercicio de las funciones y deberán ser almacenados en las bases de datos.
• La protección de datos deberá garantizar nivel alto y la autoridad judicial faculta a la ley o la entidad federativa que podrá autorizar la intervención privada.

Responsabilidades de Protección

• El instituto y los responsables tendrán visión al órgano interno de control respeto a su unidad de transparencia.
• Las herramientas en la gestión deberán ser de fácil acceso, propondrá al Comité de transparencia procedimientos internos, asesores y transparencia.
• El responsable procurará las personas con discapacidad y el instituto deberá generar condiciones de igualdad procurando acuerdos.

Recurso de revisión

• Solo si el titular o quien lo represente podrán interponer un recurso de revisión o inconformidad ante al Instituto o a la Unidad de transparencia.
• Deberá ser acreditado y en un plazo no mayor de 15 días contados a partir de la fecha en que fue interpuesta.
• Deberán contar con lo estipulado en el artículo 105 de la presente Ley.

Recurso de Inconformidad

• Interpuesto por el recurrente en contra del artículo 112.
• La improcedencia del recurso , su muerte .
• El Instituto deberá entregar las notificaciones a más tardar 3 días después de su ejecución.
• Las resoluciones del Instituto serán definitivas tanto vinculantes como inatacables para los responsables.
• Podrán ser juzgados en la federación mediante juicios de amparo.

Atracción a los Recursos de Revisión

• El Pleno del Instituto podrá ejercer la facultad de atracción para aquellos temas que ameriten interés.
• La finalidad, número de datos, sensibilidad, consecuencias y relevancia deben ser considerados.
• En dicho capítulo se establecen todas a detalle

Autoridad de verificación

• Deberá vigilar y verificar cualquier incumplimiento con la presente Ley.
• El responsable no podrá negar el acceso, las verificaciones podrán ser iniciadas de oficio cuando se presume fundada o en base a una denuncia interpuesta en tiempo y forma.
• El proceso deberá tener duración de hasta 50 días con medidas cautelares bajo daño inminente e irreparable.
• El instituto podrá crear un reglamento para establecer el procedimiento de verificación.
• Los responsables por motivos de audoría deberán someter a juicio adaptación y eficacia . El Instituto evaluará y dictaminará las medidas y controles.

Capítulo I, De las Medidas de Apremio

Para los responsables que han de observar sus reglamentos , deberán ser sujetos al poder del capítulo VI del título Octavo de su sustracción si llegasen a estar en contra en su información pública.

• Se impondrán en la aplicación de los siguientes determinaciones:
  • La amonestación pública
  • La multa en cuanto a la cantidad de 150 hasta mil quinientas veces el valor diario.

De las sanciones

• Quedará sin efecto en los casos que estén como causa de sanción por negligencia , dolo, plazos de atención no ejecutados , uso , divulgación, sustracción...
• Para la gravedad de la falta , se determinarán como daños causados , indicios de intencionalidad o afectaciones al servicio.

TRANSITORIOS

• La presente ley entrará en vigor el día siguiente de publicación en el Diario Oficial de la Federación.
• El Congreso de La Unión en caso de omisiones tendrán la capacidad de generar leyes de carácter suplementario
• Si fuera el caso de que el presunto infractor cuente con las cualidades de servidor público , deberá tener la calidad la remisión a la autoridad correspondiente y la descripción , omisiones y afectaciones tendrán juicios correspondientes al responsable

Description

El Sistema Nacional busca fomentar los derechos ARCO y promover una cultura de protección de datos personales en México. El sistema se enfoca en la implementación de políticas públicas y la coordinación del Programa Nacional de Protección de Datos Personales. El Consejo Nacional del Sistema Nacional se rige por la Ley Federal.