Documento
Documento
Documento
TÍTULO I
DISPOSICIONES GENERALES
Capítulo I
Del Objeto de la Ley
Objeto
Artículo 1. La presente Ley es de orden público y de observancia general en toda
la República, reglamentaria del artículo 6o. de la Constitución Política de los
Estados Unidos Mexicanos, en materia de protección de datos personales en
posesión de sujetos obligados.
Tiene por objeto establecer las bases, principios y procedimientos para garantizar
el derecho que tiene toda persona a la protección de sus datos personales, en
posesión de los sujetos obligados.
Son sujetos regulados por esta Ley, en el ámbito federal, estatal y municipal:
I. Cualquier autoridad, entidad, órgano y organismo de los Poderes Ejecutivo,
Legislativo y Judicial, órganos autónomos, partidos políticos, fideicomisos y fondos
públicos, y
II. Los sindicatos, personas físicas o morales de carácter privado, cuando reciban
y ejerzan recursos públicos o realicen actos de autoridad, exclusivamente respecto
al tratamiento de datos personales llevado a cabo en tales supuestos.
En todos los demás supuestos diferentes a los mencionados en el inciso anterior,
las personas físicas y morales se sujetarán a lo previsto en la Ley Federal de
Protección de Datos Personales en Posesión de los Particulares.
Objetivos específicos
Artículo 2. Son objetivos de la presente Ley:
I. Distribuir competencias entre los Organismos garantes de la Federación y las
Entidades Federativas, en materia de protección de datos personales en posesión
de sujetos obligados;
II. Establecer las bases mínimas que regirán los procedimientos para garantizar el
ejercicio del derecho de protección de datos personales en posesión de sujetos
obligados;
III. Establecer los procedimientos y condiciones homogéneas que regirán el
ejercicio de los derechos de acceso, rectificación, cancelación y oposición, y al
1
2
3
4
5
6
7
8
II. Fomentar entre la sociedad una cultura de protección de los datos personales;
III. Analizar, opinar y proponer a las instancias facultadas para ello proyectos de
reforma o modificación de la normativa en la materia;
IV. Acordar y establecer los mecanismos de coordinación que permitan la
formulación y ejecución de instrumentos y políticas públicas integrales,
sistemáticas, continuas y evaluables, tendentes a cumplir con los objetivos y fines
del Sistema Nacional, de la presente Ley y demás disposiciones que resulten
aplicables en la materia;
V. Emitir acuerdos y resoluciones generales para el funcionamiento del Sistema
Nacional;
VI. Formular, establecer y ejecutar políticas generales en materia de protección de
datos personales;
VII. Promover la coordinación efectiva de las instancias que integran el Sistema
Nacional y dar seguimiento a las acciones que para tal efecto se establezcan;
VIII. Promover la homologación y desarrollo de los procedimientos previstos en la
presente Ley y evaluar sus avances;
IX. Diseñar e implementar políticas en materia de protección de datos personales;
X. Establecer mecanismos eficaces para que la sociedad participe en los procesos
de evaluación de las políticas y las instituciones integrantes del Sistema Nacional;
XI. Desarrollar proyectos comunes de alcance nacional para medir el cumplimiento
y los avances de los responsables;
XII. Suscribir convenios de colaboración que tengan por objeto coadyuvar al
cumplimiento de los objetivos del Sistema Nacional y aquellos previstos en la
presente Ley y demás disposiciones que resulten aplicables en la materia;
XIII. Promover e implementar acciones para garantizar condiciones de
accesibilidad para que los grupos vulnerables puedan ejercer, en igualdad de
circunstancias, su derecho a la protección de datos personales;
XIV. Proponer códigos de buenas prácticas o modelos en materia de protección de
datos personales;
XV. Promover la comunicación y coordinación con autoridades nacionales,
federales, de los Estados, del Distrito Federal, municipales, autoridades y
organismos internacionales, con la finalidad de impulsar y fomentar los objetivos
de la presente Ley;
XVI. Proponer acciones para vincular el Sistema Nacional con otros sistemas y
programas nacionales, regionales o locales;
9
TÍTULO II
PRINCIPIOS Y DEBERES
Capítulo I
De los Principios
10
III. Informada: que el titular tenga conocimiento del aviso de privacidad previo al
tratamiento a que serán sometidos sus datos personales.
En la obtención del consentimiento de menores de edad o de personas que se
encuentren en estado de interdicción o incapacidad declarada conforme a Ley, se
estará a lo dispuesto en las reglas de representación previstas en la legislación
civil que resulte aplicable.
Modalidades del consentimiento
Artículo 19. El consentimiento para la transmisión de datos personales no
previstos en las normas aplicables, podrá manifestarse de forma expresa o tácita.
Se deberá entender que el consentimiento es expreso cuando la voluntad del
titular se manifieste verbalmente, por escrito, por medios electrónicos, ópticos,
signos inequívocos o por cualquier otra tecnología.
Por regla general será válido el consentimiento tácito, salvo que la Ley o las
disposiciones aplicables exijan que la voluntad del titular se manifieste
expresamente.
Excepciones al principio del consentimiento
Artículo 20. El responsable no estará obligado a recabar el consentimiento del
titular para el tratamiento y transmisión de sus datos personales en los siguientes
casos:
I. Cuando una ley así lo disponga;
II. Cuando las transferencias que se realicen entre responsables, sean sobre datos
personales que se utilicen para el ejercicio de facultades propias, compatibles o
análogas con la finalidad que motivó el tratamiento de los datos personales;
III. Cuando exista una orden judicial, resolución o mandato fundado y motivado de
autoridad competente;
IV. Para el reconocimiento o defensa de derechos del titular ante autoridad
competente;
V. Cuando los datos personales se requieran para ejercer un derecho o cumplir
obligaciones derivadas de una relación jurídica entre el titular y el responsable;
VI. Cuando exista una situación de emergencia que potencialmente pueda dañar a
un individuo en su persona o en sus bienes;
VII. Cuando los datos personales sean necesarios para efectuar un tratamiento
para la prevención, diagnóstico, la prestación de asistencia sanitaria; tratamientos
médicos, o la gestión de servicios sanitarios; mientras el titular no esté en
condiciones de otorgar el consentimiento, en los términos que establece la Ley
General de Salud y demás disposiciones jurídicas aplicables.
11
VIII. Cuando los datos personales figuren en fuentes de acceso público. Este
supuesto será aplicable únicamente en caso de que los datos personales que
obren en la fuente de acceso público, tengan una procedencia conforme a las
disposiciones establecidas en la presente Ley y demás normativa aplicable, o
IX. Cuando los datos personales se sometan a un procedimiento previo de
disociación.
Principio de calidad
Artículo 21. El responsable deberá adoptar las medidas necesarias para
mantener exactos, completos, correctos y actualizados los datos personales en su
posesión, a fin de que no se altere la veracidad de éstos.
Se presume que se cumple con la calidad en los datos personales cuando éstos
son proporcionados directamente por el titular y hasta que éste no manifieste y
acredite lo contrario.
Cuando los datos personales hayan dejado de ser necesarios para el
cumplimiento de las finalidades previstas en el aviso de privacidad y que
motivaron su tratamiento conforme a las disposiciones que resulten aplicables,
deberán ser suprimidos, previo bloqueo en su caso, y una vez que concluya el
plazo de conservación de los mismos.
Los plazos de conservación de los datos personales no deberán exceder aquéllos
que sean necesarios para el cumplimiento de las finalidades que justificaron su
tratamiento, y deberán atender a las disposiciones aplicables en la materia de que
se trate y considerar los aspectos administrativos, contables, fiscales, jurídicos e
históricos de los datos personales.
Principio de proporcionalidad
Artículo 22. El responsable sólo deberá tratar los datos personales que resulten
adecuados, relevantes y estrictamente necesarios para la finalidad que justifica su
tratamiento.
Principio de información
Artículo 23. El responsable deberá informar al titular, a través del aviso de
privacidad, la existencia y características principales del tratamiento al que serán
sometidos sus datos personales, a fin de que pueda tomar decisiones informadas
al respecto.
Por regla general, el aviso de privacidad deberá ser difundido por los medios
electrónicos y físicos con que cuente el responsable.
Para que el aviso de privacidad cumpla de manera eficiente con su función de
informar, deberá estar redactado y estructurado de manera clara y sencilla.
12
Aviso de privacidad
Artículo 24. El aviso de privacidad que el responsable difunda a través de los
medios previstos en el artículo 23 de esta Ley deberá contener la siguiente
información:
I. El área responsable del tratamiento de los datos personales y su domicilio;
II. Las finalidades del tratamiento para las cuales se obtienen los datos
personales;
III. Los datos personales que serán sometidos a tratamiento, identificando
aquéllos que son sensibles;
IV. El fundamento legal que faculta al responsable para llevar a cabo el
tratamiento;
V. Cuando se realicen transferencias de datos personales no previstas en las
disposiciones aplicables y que requieran consentimiento del titular, se deberá
informar:
a) El sujeto al que se transfieren los datos personales;
b) Las finalidades de estas transferencias de datos personales, y
c) El fundamento que faculte al responsable para llevarlas a cabo;
VI. Los mecanismos y medios y procedimientos disponibles para que el titular
ejerza los derechos ARCO, y en su caso, pueda manifestar su negativa para la
transmisión de sus datos personales, para finalidades y transferencias de datos
personales que requieren el consentimiento del titular, y no se encuentren
previstas en las disposiciones aplicables, y
VII. El domicilio de la Unidad de Transparencia.
Principio de responsabilidad
Artículo 25. El responsable deberá implementar los mecanismos previstos en el
artículo 26 de la presente Ley para acreditar el cumplimiento de los principios,
deberes y obligaciones establecidos en la presente Ley y rendir cuentas sobre el
tratamiento de datos personales en su posesión al titular e Instituto o a los
organismos garantes, según corresponda, caso en el cual deberá observar la
Constitución y los tratados internacionales en los que el Estado mexicano sea
parte.
Mecanismos para cumplir con el principio de responsabilidad
Artículo 26. Entre los mecanismos que deberá adoptar el responsable para
cumplir con el principio de responsabilidad establecido en la presente Ley están, al
menos, los siguientes:
13
Deber de seguridad
Artículo 27. Con independencia del tipo de sistema en el que se encuentren los
datos personales o el tipo de tratamiento que se efectúe, el responsable deberá
establecer y mantener las medidas de seguridad de carácter administrativo, físico
y técnico para la protección de los datos personales, que permitan protegerlos
contra daño, pérdida, alteración, destrucción o su uso, acceso o tratamiento no
autorizado, así como garantizar su confidencialidad, integridad y disponibilidad.
Factores para determinar la implementación de medidas de seguridad
Artículo 28. Las medidas de seguridad adoptadas por el responsable deberán
considerar:
I. El riesgo inherente a los datos personales tratados;
II. La sensibilidad de los datos personales tratados;
III. El desarrollo tecnológico;
IV. Las posibles consecuencias de una vulneración para los titulares;
14
15
Artículo 30. Las acciones relacionadas con las medidas de seguridad para el
tratamiento de los datos personales deberán estar documentadas y contenidas en
un sistema de gestión.
Se entenderá por sistema de gestión al conjunto de elementos y actividades
interrelacionadas para establecer, implementar, operar, monitorear, revisar,
mantener y mejorar el tratamiento y seguridad de los datos personales, de
conformidad con lo previsto en la presente Ley y las demás disposiciones que le
resulten aplicables en la materia.
Documento de seguridad
Artículo 31. De manera particular, el responsable deberá elaborar un documento
de seguridad que contenga, al menos, lo siguiente:
I. El inventario de datos personales y de los sistemas de tratamiento;
II. Las funciones y obligaciones de las personas que traten datos personales;
III. El análisis de riesgos;
IV. El análisis de brecha;
V. El plan de trabajo;
VI. Los mecanismos de monitoreo y revisión de las medidas de seguridad, y
VII. El programa general de capacitación.
Actualización del documento de seguridad
Artículo 32. El responsable deberá actualizar el documento de seguridad cuando
ocurran los siguientes eventos:
I. Se produzcan modificaciones sustanciales al tratamiento de datos
personales que deriven en un cambio en el nivel de riesgo;
II. Como resultado de un proceso de mejora continua, derivado del monitoreo
y revisión del sistema de gestión, y
III. Como resultado de un proceso de mejora para mitigar el impacto de una
vulneración a la seguridad ocurrida.
IV. Implementación de acciones correctivas y preventivas ante una vulneración de
seguridad.
Vulneración a la seguridad
Artículo 33. En caso de que ocurra una vulneración a la seguridad, el responsable
deberá analizar las causas por las cuales se presentó e implementar en su plan de
trabajo las acciones preventivas y correctivas para adecuar las medidas de
seguridad y el tratamiento de los datos personales si fuese el caso.
16
Deber de confidencialidad
Artículo 34. El responsable deberá establecer controles o mecanismos que
tengan por objeto que todas aquellas personas que intervengan en cualquier fase
del tratamiento de los datos personales, guarden sigilo respecto de éstos,
obligación que subsistirá aún después de finalizar sus relaciones con el mismo.
Lo anterior, sin menoscabo de lo establecido en las disposiciones de acceso a la
información pública.
TÍTULO III
Derechos ARCO
Artículo 35. En todo momento el titular o su representante podrán solicitar al
responsable, el acceso, rectificación, cancelación u oposición al tratamiento de los
datos personales que le conciernen, de conformidad con lo establecido en el
presente Título. El ejercicio de cualquiera de los derechos ARCO no es requisito
previo, ni impide el ejercicio de otro.
Derecho de acceso
Artículo 36. El titular tendrá derecho de acceder a sus datos personales que
obren en posesión del responsable, así como conocer la información relacionada
con las condiciones y generalidades de su tratamiento.
Derecho de rectificación
Artículo 37. El titular tendrá derecho a solicitar al responsable la rectificación o
corrección de sus datos personales, cuando éstos resulten ser inexactos,
incompletos o no se encuentren actualizados.
Derecho de cancelación
Artículo 38. El titular tendrá derecho a solicitar la supresión de sus datos
personales de los archivos, registros, expedientes y sistemas del responsable, a
fin de que los mismos ya no estén en su posesión y dejen de ser tratados por este
último.
Derecho de oposición
Artículo 39. El titular podrá oponerse al tratamiento de sus datos personales o
exigir que se cese en el mismo, cuando:
17
I. Cuando aun siendo lícito el tratamiento, el mismo debe cesar para evitar que su
persistencia cause un daño o perjuicio al titular, y
II. Sus datos personales sean objeto de un tratamiento automatizado contrario
a las disposiciones legales aplicables, el cual le produzca efectos jurídicos no
deseados o afecte de manera significativa sus intereses, derechos o libertades, y
estén destinados a evaluar, sin intervención humana, determinados aspectos
personales del mismo o analizar o predecir, en particular, su rendimiento
profesional, situación económica, estado de salud, preferencias sexuales,
fiabilidad o comportamiento.
Capítulo II
Del Ejercicio de los Derechos de Acceso, Rectificación, Cancelación y
Oposición
18
Para efectos de acceso a datos personales, las leyes que establezcan los costos
de reproducción y certificación deberán considerar en su determinación que los
montos permitan o faciliten el ejercicio de este derecho.
Cuando el titular proporcione el medio magnético, electrónico o el mecanismo
necesario para reproducir los datos personales, los mismos deberán ser
entregados sin costo a éste.
Plazo para el ejercicio de los derechos ARCO
Artículo 43. El responsable deberá establecer procedimientos sencillos que
permitan el ejercicio de los derechos ARCO, cuyo plazo de respuesta no deberá
exceder de veinte días contados a partir del día siguiente a la recepción de la
solicitud.
El plazo referido en el párrafo anterior podrá ser ampliado por una sola vez hasta
por diez días cuando así lo justifiquen las circunstancias, y siempre y cuando se le
notifique al titular dentro del plazo de respuesta.
En caso de resultar procedente el ejercicio de los derechos ARCO, el responsable
deberá hacerlo efectivo en un plazo que no podrá exceder de quince días
contados a partir del día siguiente en que se haya notificado la respuesta al titular.
Requisitos de la solicitud para el ejercicio de los derechos ARCO
Artículo 44. En la solicitud para el ejercicio de los derechos ARCO no podrán
imponerse mayores requisitos que los siguientes:
I. El nombre del titular y su domicilio o cualquier otro medio para recibir
notificaciones;
II. Los documentos que acrediten la identidad del titular, y en su caso, la
personalidad e identidad de su representante;
III. El área responsable que trata los datos personales y ante el cual se
presenta la solicitud;
IV. La descripción clara y precisa de los datos personales respecto de los que
se busca ejercer alguno de los derechos ARCO;
V. La descripción del derecho ARCO que se pretende ejercer, o bien, lo que
solicita el titular, y
VI. Cualquier otro elemento o documento que facilite la localización de los
datos personales, en su caso.
Tratándose de una solicitud de acceso a datos personales, el titular deberá
señalar la modalidad en la que prefiere que éstos se reproduzcan. En el caso de
una solicitud de rectificación, se deberán señalar las modificaciones a realizarse y
aportar la documentación que dé sustento a la petición.
19
Con relación a una solicitud de cancelación, el titular deberá señalar las causas
que lo motiven a solicitar la supresión de sus datos personales en los archivos,
registros o bases de datos del responsable.
En el caso de la solicitud de oposición, el titular deberá manifestar las causas
legítimas o la situación específica que lo llevan a solicitar el cese en el tratamiento,
así como el daño o perjuicio que le causaría la persistencia del tratamiento, o en
su caso, las finalidades específicas respecto de las cuales requiere ejercer el
derecho de oposición.
Las solicitudes para el ejercicio de los derechos ARCO deberán presentarse ante
la Unidad de Transparencia del responsable, que el titular considere competente,
a través de escrito libre, formatos, medios electrónicos o cualquier otro medio que
al efecto establezca el responsable.
Trámites específicos
Artículo 45. Cuando las disposiciones aplicables a determinados tratamientos de
datos personales establezcan un trámite o procedimiento específico para solicitar
el ejercicio de los derechos ARCO, el responsable deberá informar al titular sobre
la existencia del mismo a efecto de que este último decida si ejerce sus derechos
a través del trámite específico, o bien, por medio del procedimiento que el
responsable haya institucionalizado para la atención de solicitudes para el ejercicio
de los derechos ARCO conforme a las disposiciones establecidas en este
Capítulo.
Causales de improcedencia del ejercicio de los derechos ARCO
Artículo 46. Las únicas causas en las que el ejercicio de los derechos ARCO no
será procedente son:
I. Cuando el titular o su representante no estén debidamente acreditados para
ello;
II. Cuando los datos personales no se encuentren en posesión del
responsable;
III. Cuando exista un impedimento legal;
IV. Cuando se lesionen los derechos de un tercero;
V. Cuando se obstaculicen actuaciones judiciales o administrativas;
VI. Cuando exista una resolución de autoridad competente que restrinja el
acceso a los datos personales o no permita la rectificación, cancelación u
oposición de los mismos;
VII. Cuando la cancelación u oposición haya sido previamente realizada;
VIII. Cuando el responsable no sea competente;
20
TÍTULO IV
21
Subcontratación de servicios
Artículo 51. El encargado podrá, a su vez, subcontratar servicios que impliquen el
tratamiento de datos personales por cuenta del responsable, siempre y cuando
medie la autorización expresa de este último. El subcontratado asumirá el carácter
de encargado en los términos de la presente la Ley y demás disposiciones que
resulten aplicables en la materia.
Formalización de la relación jurídica entre responsable y subcontratante
Artículo 52. Una vez obtenida la autorización expresa del responsable, el
encargado deberá formalizar la relación adquirida con el subcontratado a través de
un contrato o cualquier otro instrumento jurídico que decida, de conformidad con la
normatividad que le resulte aplicable, y permita acreditar la existencia, alcance y
contenido de la prestación del servicio en términos de lo previsto en el presente
Capítulo.
Contratación de servicios de cómputo en la nube y otras materias
Artículo 53. El responsable podrá contratar o adherirse a servicios, aplicaciones e
infraestructura en el cómputo en la nube, y otras materias que impliquen el
tratamiento de datos personales, siempre y cuando el proveedor externo garantice
políticas de protección de datos personales equivalentes a los principios y deberes
establecidos en la presente Ley y demás disposiciones que resulten aplicables en
la materia.
En su caso, el responsable deberá delimitar el tratamiento de los datos personales
por parte del proveedor externo a través de cláusulas contractuales u otros
instrumentos jurídicos.
TÍTULO V
22
23
TÍTULO VI
24
TÍTULO VII
25
26
TÍTULO VIII
ORGANISMOS GARANTES
Capítulo I
Del Instituto Nacional de Transparencia, Acceso a la Información y
Protección de Datos Personales
27
28
29
30
31
TÍTULO IX
Capítulo I
Del Recurso de Revisión ante el Instituto y los Organismos Garantes
32
33
34
suplencia de la queja a favor del titular, así como garantizar que las partes puedan
presentar los argumentos y constancias que funden y motiven sus pretensiones.
Requerimiento de información al titular
Artículo 78. Si en el escrito de interposición del recurso de revisión el titular no
cumple con alguno de los requisitos previstos en el artículo 74 de la presente Ley
y el Instituto y los organismos garantes, según corresponda, no cuenten con
elementos para subsanarlos, éstos deberán requerir al titular, por una sola
ocasión, la información que subsane las omisiones en un plazo que no podrá
exceder de cinco días, contados a partir del día siguiente de la presentación del
escrito.
El titular contará con un plazo que no podrá exceder de cinco días, contados a
partir del día siguiente al de la notificación de la prevención, para subsanar las
omisiones, con el apercibimiento de que en caso de no cumplir con el
requerimiento, se desechará el recurso de revisión.
La prevención tendrá el efecto de interrumpir el plazo que tienen el Instituto y los
organismos garantes para resolver el recurso, por lo que comenzará a computarse
a partir del día siguiente a su desahogo.
Resolución del recurso de revisión
Artículo 79. Las resoluciones del Instituto o, en su caso, de los organismos
garantes podrán:
I. Sobreseer o desechar el recurso de revisión por improcedente;
II. Confirmar la respuesta del responsable;
III. Revocar o modificar la respuesta del responsable, o
IV. Ordenar la entrega de los datos personales, en caso de omisión del
responsable.
Las resoluciones establecerán, en su caso, los plazos y términos para su
cumplimiento y los procedimientos para asegurar su ejecución. Los responsables
deberán informar al Instituto o, en su caso, a los organismos garantes el
cumplimiento de sus resoluciones.
Ante la falta de Þ resolución por parte del Instituto, o en su caso, de los
organismos garantes, se entenderá confirmada la respuesta del responsable.
Cuando el Instituto, o en su caso, los organismos garantes, determinen durante la
sustanciación del recurso de revisión que se pudo haber incurrido en una probable
responsabilidad por el incumplimiento a las obligaciones previstas en la presente
Ley y demás disposiciones que resulten aplicables en la materia, deberán hacerlo
35
36
Artículo 83. Las resoluciones del Instituto y de los organismos garantes serán
vinculantes, definitivas e inatacables para los responsables.
Los titulares podrán impugnar dichas resoluciones ante los tribunales
competentes.
Excepción a la definitividad de las resoluciones
Artículo 84. Tratándose de las resoluciones a los recursos de revisión de los
Organismos garantes de las Entidades Federativas, los particulares podrán optar
por acudir ante el Instituto interponiendo el recurso de inconformidad previsto en
esta Ley o ante los tribunales correspondientes.
Capítulo II
Del Recurso de Inconformidad ante el Instituto
37
39
40
Facultad de atracción
Artículo 97. Para efectos de la presente Ley, el Pleno del Instituto, cuando así lo
apruebe la mayoría de sus Comisionados, de oficio o a petición fundada de los
organismos garantes, podrá ejercer la facultad de atracción para conocer de
aquellos recursos de revisión pendientes de resolución en materia de protección
de datos personales, que por su interés y trascendencia así lo ameriten y cuya
competencia original corresponde a los organismos garantes, conforme a lo
dispuesto en la Ley General de Transparencia y Acceso a la Información Pública y
demás normativa aplicable.
Los recurrentes podrán hacer del conocimiento del Instituto la existencia de
recursos de revisión que de oficio podría conocer.
Por lo que hace a los lineamientos y criterios generales de observancia obligatoria
que el Instituto deberá emitir para determinar los recursos de revisión de interés y
trascendencia que está obligado a conocer, conforme a la Ley General de
Transparencia y Acceso a la Información Pública, adicionalmente en la atracción
de recursos de revisión en materia de protección de datos personales se deberán
considerar los siguientes factores:
I. La finalidad del tratamiento de los datos personales;
II. El número y tipo de titulares involucrados en el tratamiento de datos
personales llevado a cabo por el responsable;
III. La sensibilidad de los datos personales tratados;
IV. Las posibles consecuencias que se derivarían de un tratamiento indebido o
indiscriminado de datos personales, y
V. La relevancia del tratamiento de datos personales, en atención al impacto
social o económico del mismo y del interés público para conocer del recurso de
revisión atraído.
41
Artículo 98. Para efectos del ejercicio de la facultad de atracción a que se refiere
este Capítulo, el Instituto motivará y fundamentará que el caso es de tal
relevancia, novedad o complejidad, que su resolución podrá repercutir de manera
sustancial en la solución de casos futuros para garantizar la tutela efectiva del
derecho de protección de datos personales en posesión de sujetos obligados.
En los casos en los que el organismo garante de la Entidad Federativa sea el
sujeto obligado recurrido, deberá notificar al Instituto, en un plazo que no excederá
de tres días, a partir de que sea interpuesto el recurso. El Instituto atraerá y
resolverá dichos recursos de revisión, conforme a lo establecido en el presente
Capítulo.
Estudio preliminar de la atracción
Artículo 99. Las razones emitidas por el Instituto para ejercer la facultad de
atracción de un caso, únicamente constituirán un estudio preliminar para
determinar si el asunto reúne los requisitos constitucionales y legales de interés y
trascendencia, conforme al precepto anterior, por lo que no será necesario que
formen parte del análisis de fondo del asunto.
Lineamientos para determinar la atracción de recursos
Artículo 100. El Instituto emitirá lineamientos y criterios generales de observancia
obligatoria que permitan determinar los recursos de revisión de interés y
trascendencia que estará obligado a conocer, así como los procedimientos
internos para su tramitación, atendiendo a los plazos máximos señalados para el
recurso de revisión.
Reglas para la atracción de recursos
Artículo 101. La facultad de atracción conferida al Instituto se deberá ejercer
conforme a las siguientes reglas:
I. Cuando se efectúe de oficio, el Pleno del Instituto, cuando así lo aprueben la
mayoría de sus Comisionados, podrá ejercer la atracción en cualquier momento,
en tanto no haya sido resuelto el recurso de revisión por el organismo garante
competente, para lo cual notificará a las partes y requerirá el Expediente al
organismo garante correspondiente, o
II. Cuando la petición de atracción sea formulada por el organismo garante de la
Entidad Federativa, éste contará con un plazo no mayor a cinco días, salvo lo
dispuesto en el último párrafo del artículo 98 de esta Ley, para solicitar al Instituto
que analice y, en su caso, ejerza la facultad de atracción sobre el asunto puesto a
su consideración.
Transcurrido dicho plazo se tendrá por precluido el derecho del organismo garante
respectivo para hacer la solicitud de atracción.
42
El Instituto contará con un plazo no mayor a diez días para determinar si ejerce la
facultad de atracción, en cuyo caso, notificará a las partes y solicitará el
Expediente del recurso de revisión respectivo.
Interrupción del plazo
Artículo 102. La solicitud de atracción del recurso de revisión interrumpirá el plazo
que tienen los Organismos garantes locales para resolverlo. El cómputo
continuará a partir del día siguiente al en que el Instituto haya notificado la
determinación de no atraer el recurso de revisión.
Análisis de la atracción del recurso
Artículo 103. Previo a la decisión del Instituto sobre el ejercicio de la facultad de
atracción a que se refiere el artículo anterior, el organismo garante de la Entidad
Federativa a quien corresponda el conocimiento originario del asunto, deberá
agotar el análisis de todos los aspectos cuyo estudio sea previo al fondo del
asunto, hecha excepción del caso en que los aspectos de importancia y
trascendencia deriven de la procedencia del recurso.
Si el Pleno del Instituto, cuando así lo apruebe la mayoría de sus Comisionados,
decide ejercer la facultad de atracción se avocará al conocimiento o estudio de
fondo del asunto materia del recurso de revisión atraído.
El o los Comisionados que en su momento hubiesen votado en contra de ejercer
la facultad de atracción, no estarán impedidos para pronunciarse respecto del
fondo del asunto.
Impugnación de las resoluciones de los recursos de revisión atraídos
Artículo 104. La resolución del Instituto será definitiva e inatacable para el
organismo garante y para el sujeto obligado de que se trate.
En todo momento, los particulares podrán impugnar las resoluciones del Instituto
ante el Poder Judicial de la Federación.
Excepción a la definitividad de las resoluciones del Instituto
Artículo 105. Únicamente el Consejero Jurídico del Gobierno podrá interponer
recurso de revisión en materia de seguridad nacional ante la Suprema Corte de
Justicia de la Nación, en el caso que las resoluciones del Instituto a los recursos
descritos en este Título, puedan poner en peligro la seguridad nacional.
Dicho recurso de revisión en materia de seguridad nacional se tramitará en los
términos que se establecen en el siguiente Capítulo IV denominado “Del Recurso
de Revisión en materia de Seguridad Nacional”, del presente Título.
43
Capítulo IV
Del recurso de revisión en materia de seguridad nacional
Artículo 106. El Consejero Jurídico del Gobierno Federal podrá interponer recurso
de revisión en materia de seguridad nacional directamente ante la Suprema Corte
de Justicia de la Nación, cuando considere que las resoluciones emitidas por el
Instituto ponen en peligro la seguridad nacional.
El recurso deberá interponerse durante los siete días siguientes a aquél en el que
el organismo garante notifique la resolución al sujeto obligado. La Suprema Corte
de Justicia de la Nación determinará, de inmediato, en su caso, la suspensión de
la ejecución de la resolución y dentro de los cinco días siguientes a la interposición
del recurso resolverá sobre su admisión o improcedencia.
Artículo 107. En el escrito del recurso, el Consejero Jurídico del Gobierno Federal
deberá señalar la resolución que se impugna, los fundamentos y motivos por los
cuales considera que se pone en peligro la seguridad nacional, así como los
elementos de prueba necesarios.
Artículo 108. La información reservada o confidencial que, en su caso, sea
solicitada por la Suprema Corte de Justicia de la Nación por resultar indispensable
para resolver el asunto, deberá ser mantenida con ese carácter y no estará
disponible en el Expediente, salvo en las excepciones previstas en el artículo 120
de la Ley General de Transparencia y Acceso a la Información Pública.
En todo momento, los Ministros deberán tener acceso a la información clasificada
para determinar su naturaleza, según se requiera. El acceso se dará de
conformidad con la normatividad previamente establecida para el resguardo o
salvaguarda de la información por parte de los sujetos obligados.
Artículo 109. La Suprema Corte de Justicia de la Nación resolverá con plenitud de
jurisdicción, y en ningún caso, procederá el reenvío.
Artículo 110. Si la Suprema Corte de Justicia de la Nación confirma el sentido de
la resolución recurrida, el sujeto obligado deberá dar cumplimiento en los términos
que establece la disposición correspondiente de esta Ley.
En caso de que se revoque la resolución, el Instituto deberá actuar en los términos
que ordene la Suprema Corte de Justicia de la Nación.
Capítulo V
De los Criterios de Interpretación
44
Artículo 111. Una vez que hayan causado ejecutoria las resoluciones dictadas
con motivo de los recursos que se sometan a su competencia, el Instituto podrá
emitir los criterios de interpretación que estime pertinentes y que deriven de lo
resuelto en los mismos, conforme a lo dispuesto en la Ley General de
Transparencia y Acceso a la Información Pública y demás normativa aplicable.
El Instituto podrá emitir criterios de carácter orientador para los Organismos
garantes locales, que se establecerán por reiteración al resolver tres casos
análogos de manera consecutiva en el mismo sentido, por al menos dos terceras
partes del Pleno del Instituto, derivados de resoluciones que hayan causado
estado.
Contenido de los criterios
Artículo 112. Los criterios se compondrán de un rubro, un texto y el precedente o
precedentes que, en su caso, hayan originado su emisión.
Todo criterio que emita el Instituto deberá contener una clave de control para su
debida identificación.
TÍTULO X
45
46
TÍTULO XI
47
48
49
De las sanciones
Artículo 132. Serán causas de sanción por incumplimiento de las obligaciones
establecidas en la materia de la presente Ley, las siguientes:
I. Actuar con negligencia, dolo o mala fe durante la sustanciación de las
solicitudes para el ejercicio de los derechos ARCO;
II. Incumplir los plazos de atención previstos en la presente Ley para
responder las solicitudes para el ejercicio de los derechos ARCO o para hacer
efectivo el derecho de que se trate;
III. Usar, sustraer, divulgar, ocultar, alterar, mutilar, destruir o inutilizar, total o
parcialmente y de manera indebida datos personales, que se encuentren bajo su
custodia o a los cuales tengan acceso o conocimiento con motivo de su empleo,
cargo o comisión;
IV. Dar tratamiento, de manera intencional, a los datos personales en
contravención a los principios y deberes establecidos en la presente Ley;
V. No contar con el aviso de privacidad, o bien, omitir en el mismo alguno de
los elementos a que refiere el artículos 24 de la presente Ley, según sea el caso, y
demás disposiciones que resulten aplicables en la materia;
VI. Declarar la incompetencia del responsable, teniendo atribuciones en la
materia;
VII. Clasificar como confidencial, con dolo o negligencia, datos personales sin
que se cumplan las características señaladas en las leyes que resulten aplicables.
La sanción sólo procederá cuando exista una resolución previa, que haya quedado
firme, respecto del criterio de clasificación de los datos personales;
50
51
52
53
54
TRANSITORIOS
55
56