Ley de Protección de Datos

REGLAMENTO DE LA LEY FEDERAL DE PROTECCIN DE DATOS PERSONALES EN POSESIN DE LOS PARTICULARES
CMARA DE DIPUTADOS DEL H. CONGRESO DE LA UNIN

Secretara General Secretara de Servicios Parlamentarios
Nuevo Reglamento DOF 21-12-2011

TEXTO VIGENTE Nuevo Reglamento u!l"#a$o en el D"a%"o O&"#"al $e la Fe$e%a#"'n el () $e $"#"em!%e $e (*))
Al margen un sello con el Escudo Nacional, que dice: Estados Unidos Mexicanos.- Presidencia de la Repblica. FELIPE DE +ES,S CALDERN -INO+OSA, Presidente de los Estados Unidos Mexicanos, en e ercicio de la !acultad que me con!iere el art"culo #$, !racci%n & de la 'onstituci%n Pol"tica de los Estados Unidos Mexicanos, con !undamento en los art"culos () de la *e+ ,rg-nica de la Administraci%n Pblica .ederal + (, !racci%n /, 0#, ltimo p-rra!o, )1, ltimo p-rra!o, )2, segundo p-rra!o, 1), ltimo p-rra!o, 23, ltimo p-rra!o + 24, ltimo p-rra!o de la *e+ .ederal de Protecci%n de 5atos Personales en Posesi%n de los Particulares, 6e tenido a bien expedir el siguiente REGLAMENTO DE LA LEY FEDERAL DE PROTECCIN DE DATOS PERSONALES EN POSESIN DE LOS PARTICULARES Ca .tulo I D"/ o/"#"one/ Gene%ale/ O!0eto A%t.#ulo )1 El presente ordenamiento tiene por ob eto reglamentar las disposiciones de la *e+ .ederal de Protecci%n de 5atos Personales en Posesi%n de los Particulares. De&"n"#"one/ A%t.#ulo (1 Adem-s de las de!iniciones establecidas en el art"culo ( de la *e+ .ederal de Protecci%n de 5atos Personales en Posesi%n de los Particulares, para los e!ectos del presente Reglamento se entender- por: I1 5ependencias: *as se7aladas en el art"culo 42 de la *e+ ,rg-nica de la Administraci%n Pblica .ederal8 II1 5erec6os AR',: 9on los derec6os de acceso, recti!icaci%n, cancelaci%n + oposici%n8 III1 Entorno digital: Es el -mbito con!ormado por la con unci%n de 6ard:are, so!t:are, redes, aplicaciones, ser;icios o cualquier otra tecnolog"a de la sociedad de la in!ormaci%n que permiten el intercambio o procesamiento in!ormati<ado o digitali<ado de datos8 IV1 *istado de exclusi%n: =ase de datos que tiene por ob eto registrar de manera gratuita la negati;a del titular al tratamiento de sus datos personales8 V1 Medidas de seguridad administrati;as: 'on unto de acciones + mecanismos para establecer la gesti%n, soporte + re;isi%n de la seguridad de la in!ormaci%n a ni;el organi<acional, la identi!icaci%n + clasi!icaci%n de la in!ormaci%n, as" como la concienciaci%n, !ormaci%n + capacitaci%n del personal, en materia de protecci%n de datos personales8 VI1 Medidas de seguridad !"sicas: 'on unto de acciones + mecanismos, +a sea que empleen o no la tecnolog"a, destinados para: a2 Pre;enir el acceso no autori<ado, el da7o o inter!erencia a las instalaciones !"sicas, -reas cr"ticas de la organi<aci%n, equipo e in!ormaci%n8 !2 Proteger los equipos m%;iles, port-tiles o de !-cil remoci%n, situados dentro o !uera de las instalaciones8 #2 Pro;eer a los equipos que contienen o almacenan datos personales de un mantenimiento que asegure su disponibilidad, !uncionalidad e integridad, + $2 >aranti<ar la eliminaci%n de datos de !orma segura8 VII1 Medidas de seguridad t?cnicas: 'on unto de acti;idades, controles o mecanismos con resultado medible, que se ;alen de la tecnolog"a para asegurar que: a2 El acceso a las bases de datos l%gicas o a la in!ormaci%n en !ormato l%gico sea por usuarios identi!icados + autori<ados8 1 de 31

!2 El acceso re!erido en el inciso anterior sea nicamente para que el usuario lle;e a cabo las acti;idades que requiere con moti;o de sus !unciones8 #2 9e inclu+an acciones para la adquisici%n@ operaci%n, desarrollo + mantenimiento de sistemas seguros, + $2 9e lle;e a cabo la gesti%n de comunicaciones + operaciones de los recursos in!orm-ticos que se utilicen en el tratamiento de datos personales8 VIII1 Persona !"sica identi!icable: Aoda persona !"sica cu+a identidad pueda determinarse, directa o indirectamente, mediante cualquier in!ormaci%n. No se considera persona !"sica identi!icable cuando para lograr la identidad de ?sta se requieran pla<os o acti;idades desproporcionadas8 IX1 Remisi%n: *a comunicaci%n de datos personales entre el responsable + el encargado, dentro o !uera del territorio mexicano8 X1 9oporte electr%nico: Medio de almacenamiento al que se pueda acceder s%lo mediante el uso de algn aparato con circuitos electr%nicos que procese su contenido para examinar, modi!icar o almacenar los datos personales, incluidos los micro!ilms8 XI1 9oporte !"sico: Medio de almacenamiento inteligible a simple ;ista, es decir, que no requiere de ningn aparato que procese su contenido para examinar, modi!icar o almacenar los datos personales, + XII1 9upresi%n: Acti;idad consistente en eliminar, borrar o destruir el o los datos personales, una ;e< concluido el periodo de bloqueo, ba o las medidas de seguridad pre;iamente establecidas por el responsable. 3m!"to o!0et"vo $e a l"#a#"'n A%t.#ulo 41 El presente Reglamento ser- de aplicaci%n al tratamiento de datos personales que obren en soportes !"sicos o electr%nicos, que 6agan posible el acceso a los datos personales con arreglo a criterios determinados, con independencia de la !orma o modalidad de su creaci%n, tipo de soporte, procesamiento, almacenamiento + organi<aci%n. No se aplicar-n las disposiciones del presente Reglamento cuando para acceder a los datos personales, se requieran pla<os o acti;idades desproporcionadas. En t?rminos del art"culo (, !racci%n B de la *e+, los datos personales podr-n estar expresados en !orma num?rica, al!ab?tica, gr-!ica, !otogr-!ica, acstica o de cualquier otro tipo, concerniente a una persona !"sica identi!icada o persona !"sica identi!icable. 3m!"to te%%"to%"al $e a l"#a#"'n A%t.#ulo 51 El presente Reglamento ser- de aplicaci%n obligatoria a todo tratamiento cuando: I1 9ea e!ectuado en un establecimiento del responsable ubicado en territorio mexicano8 II1 9ea e!ectuado por un encargado con independencia de su ubicaci%n, a nombre de un responsable establecido en territorio mexicano8 III1 El responsable no est? establecido en territorio mexicano pero le resulte aplicable la legislaci%n mexicana, deri;ado de la celebraci%n de un contrato o en t?rminos del derec6o internacional, + IV1 El responsable no est? establecido en territorio mexicano + utilice medios situados en dic6o territorio, sal;o que tales medios se utilicen nicamente con !ines de tr-nsito que no impliquen un tratamiento. Para e!ectos de esta !racci%n, el responsable deber- pro;eer los medios que resulten necesarios para el e!ecti;o cumplimiento de las obligaciones que impone la *e+, su Reglamento + dem-s disposiciones aplicables, deri;ado del tratamiento de datos personales. Para ello, podr- designar un representante o implementar el mecanismo que considere pertinente, siempre que a tra;?s del mismo se garantice que el responsable estar- en posibilidades de cumplir de manera e!ecti;a, en territorio mexicano, con las obligaciones que la normati;a aplicable imponen a aquellas personas !"sicas o morales que tratan datos personales en M?xico.
2 de 31

'uando el responsable no se encuentre ubicado en territorio mexicano, pero el encargado lo est?, a este ltimo le ser-n aplicables las disposiciones relati;as a las medidas de seguridad contenidas en el 'ap"tulo &&& del presente Reglamento. En el caso de personas !"sicas, el establecimiento se entender- como el local en donde se encuentre el principal asiento de sus negocios o el que utilicen para el desempe7o de sus acti;idades o su casa 6abitaci%n. Arat-ndose de personas morales, el establecimiento se entender- como el local en donde se encuentre la administraci%n principal del negocio8 si se trata de personas morales residentes en el extran ero, el local en donde se encuentre la administraci%n principal del negocio en territorio mexicano, o en su de!ecto el que designen, o cualquier instalaci%n estable que permita el e ercicio e!ecti;o o real de una acti;idad. In&o%ma#"'n $e e%/ona/ &./"#a/ #on a#t"v"$a$ #ome%#"al 6 $ato/ $e %e %e/enta#"'n 6 #onta#to A%t.#ulo 71 *as disposiciones del presente Reglamento no ser-n aplicables a la in!ormaci%n siguiente: I1 *a relati;a a personas morales8 II1 Aqu?lla que re!iera a personas !"sicas en su calidad de comerciantes + pro!esionistas, + III1 *a de personas !"sicas que presten sus ser;icios para alguna persona moral o persona !"sica con acti;idades empresariales +Co prestaci%n de ser;icios, consistente nicamente en su nombre + apellidos, las !unciones o puestos desempe7ados, as" como algunos de los siguientes datos laborales: domicilio !"sico, direcci%n electr%nica, tel?!ono + nmero de !ax8 siempre que esta in!ormaci%n sea tratada para !ines de representaci%n del empleador o contratista. T%atam"ento $e%"va$o $e una %ela#"'n 0u%.$"#a A%t.#ulo 81 'uando el tratamiento tenga como prop%sito cumplir con una obligaci%n deri;ada de una relaci%n ur"dica, no se considerar- para uso exclusi;amente personal. Fuente/ $e a##e/o 9!l"#o A%t.#ulo :1 Para los e!ectos del art"culo (, !racci%n / de la *e+, se consideran !uentes de acceso pblico: I1 *os medios remotos o locales de comunicaci%n electr%nica, %ptica + de otra tecnolog"a, siempre que el sitio donde se encuentren los datos personales est? concebido para !acilitar in!ormaci%n al pblico + est? abierto a la consulta general8 II1 *os directorios tele!%nicos en t?rminos de la normati;a espec"!ica8 III1 *os diarios, gacetas o boletines o!iciales, de acuerdo con su normati;a, + IV1 *os medios de comunicaci%n social. Para que los supuestos enumerados en el presente art"culo sean considerados !uentes de acceso pblico sernecesario que su consulta pueda ser reali<ada por cualquier persona no impedida por una norma limitati;a, o sin m-s exigencia que, en su caso, el pago de una contraprestaci%n, derec6o o tari!a. No se considerar- una !uente de acceso pblico cuando la in!ormaci%n contenida en la misma sea o tenga una procedencia il"cita. El tratamiento de datos personales obtenidos a tra;?s de !uentes de acceso pblico, respetar- la expectati;a ra<onable de pri;acidad, a que se re!iere el tercer p-rra!o del art"culo D de la *e+. G%u o/ /"n e%/onal"$a$ 0u%.$"#a A%t.#ulo ;1 *as personas integrantes de un grupo que acte sin personalidad ur"dica + que trate datos personales para !inalidades espec"!icas o propias del grupo se considerar-n tambi?n responsables o encargados, segn sea el caso. Ca .tulo II De lo/ P%"n#" "o/ $e P%ote##"'n $e Dato/ Pe%/onale/ Se##"'n I P%"n#" "o/ 3 de 31

P%"n#" "o/ $e P%ote##"'n $e Dato/ A%t.#ulo <1 5e acuerdo con lo pre;isto en el art"culo 2 de la *e+, los responsables deben cumplir con los siguientes principios rectores de la protecci%n de datos personales: I1 *icitud8 II1 'onsentimiento8 III1 &n!ormaci%n8 IV1 'alidad8 V1 .inalidad8 VI1 *ealtad8 VII1 Proporcionalidad, + VIII1 Responsabilidad. Asimismo, el responsable deberobser;ar los deberes de seguridad + con!idencialidad a que se re!ieren los art"culos 0$ + 40 de la *e+. P%"n#" "o $e l"#"tu$ A%t.#ulo )*1 El principio de licitud obliga al responsable a que el tratamiento sea con apego + cumplimiento a lo dispuesto por la legislaci%n mexicana + el derec6o internacional. P%"n#" "o $e #on/ent"m"ento A%t.#ulo ))1 El responsable deber- obtener el consentimiento para el tratamiento de los datos personales, a menos que no sea exigible con arreglo a lo pre;isto en el art"culo 03 de la *e+. *a solicitud del consentimiento deberir re!erida a una !inalidad o !inalidades determinadas, pre;istas en el a;iso de pri;acidad. 'uando los datos personales se obtengan personalmente o de manera directa de su titular, el consentimiento deber- ser pre;io al tratamiento. Ca%a#te%./t"#a/ $el #on/ent"m"ento A%t.#ulo )(1 *a obtenci%n del consentimiento t-cito o expreso deber- ser: I1 *ibre: sin que medie error, mala !e, ;iolencia o dolo, que puedan a!ectar la mani!estaci%n de ;oluntad del titular8 II1 Espec"!ica: re!erida a una o ;arias !inalidades determinadas que usti!iquen el tratamiento, + III1 &n!ormada: que el titular tenga conocimiento del a;iso de pri;acidad pre;io al tratamiento a que ser-n sometidos sus datos personales + las consecuencias de otorgar su consentimiento. El consentimiento expreso tambi?n deber- ser inequ";oco, es decir, que existan elementos que de manera indubitable demuestren su otorgamiento. Con/ent"m"ento t=#"to A%t.#ulo )41 9al;o que la *e+ exi a el consentimiento expreso del titular, ser- ;-lido el consentimiento t-cito como regla general, con!orme a lo dispuesto en los art"culos 00 + 04 del presente Reglamento. Sol"#"tu$ $el #on/ent"m"ento t=#"to A%t.#ulo )51 'uando el responsable pretenda recabar los datos personales directa o personalmente de su titular, deber- pre;iamente poner a disposici%n de ?ste el a;iso de pri;acidad, el cual debe contener un mecanismo para que, en su caso, el titular pueda mani!estar su negati;a al tratamiento de sus datos personales para las !inalidades que sean distintas a aqu?llas que son necesarias + den origen a la relaci%n ur"dica entre el responsable + el titular. En los casos en que los datos personales se obtengan de manera indirecta del titular + tenga lugar un cambio de las !inalidades que !ueron consentidas en la trans!erencia, el responsable deber- poner a disposici%n del titular el a;iso de pri;acidad pre;io al apro;ec6amiento de los datos personales. 'uando el a;iso de pri;acidad no se 6aga del 4 de 31

conocimiento del titular de manera directa o personal, el titular tendr- un pla<o de cinco d"as para que, de ser el caso, mani!ieste su negati;a para el tratamiento de sus datos personales para las !inalidades que sean distintas a aqu?llas que son necesarias + den origen a la relaci%n ur"dica entre el responsable + el titular. 9i el titular no mani!iesta su negati;a para el tratamiento de sus datos de con!ormidad con lo anterior, se entender- que 6a otorgado su consentimiento para el tratamiento de los mismos, sal;o prueba en contrario. 'uando el responsable utilice mecanismos en medios remotos o locales de comunicaci%n electr%nica, %ptica u otra tecnolog"a, que le permitan recabar datos personales de manera autom-tica + simult-nea al tiempo que el titular 6ace contacto con los mismos, en ese momento se deber- in!ormar al titular sobre el uso de esas tecnolog"as, que a tra;?s de las mismas se obtienen datos personales + la !orma en que se podr-n des6abilitar. Con/ent"m"ento e> %e/o A%t.#ulo )71 El responsable deber- obtener el consentimiento expreso del titular cuando: I1 *o exi a una le+ o reglamento8 II1 9e trate de datos !inancieros o patrimoniales8 III1 9e trate de datos sensibles8 IV1 *o solicite el responsable para acreditar el mismo, o V1 *o acuerden as" el titular + el responsable. Sol"#"tu$ $el #on/ent"m"ento e> %e/o A%t.#ulo )81 'uando el consentimiento expreso sea exigido en t?rminos de una disposici%n legal o reglamentaria, el responsable deber- !acilitar al titular un medio sencillo + gratuito para que, en su caso, lo pueda mani!estar. E>#e #"one/ al %"n#" "o $el #on/ent"m"ento A%t.#ulo ):1 En t?rminos de lo dispuesto por los art"culos 03, !racci%n &B + (D, !racci%n B&& de la *e+, no se requerir- el consentimiento t-cito o expreso para el tratamiento de los datos personales cuando ?stos deri;en de una relaci%n ur"dica entre el titular + el responsable. No resulta aplicable lo establecido en el p-rra!o anterior cuando el tratamiento de datos personales sea para !inalidades distintas a aqu?llas que son necesarias + den origen a la relaci%n ur"dica entre el responsable + el titular. En ese caso, para la obtenci%n del consentimiento t-cito, el responsable deberobser;ar lo dispuesto en los art"culos #, tercer p-rra!o de la *e+ + 00, 04 + 0( del presente Reglamento, + trat-ndose de datos sensibles, !inancieros + patrimoniales, deber- obtener el consentimiento expreso, o bien, expreso + por escrito, segn lo exi a la *e+. Con/ent"m"ento ve%!al A%t.#ulo );1 9e considera que el consentimiento expreso se otorg% ;erbalmente cuando el titular lo externa oralmente de manera presencial o mediante el uso de cualquier tecnolog"a que permita la interlocuci%n oral. Con/ent"m"ento e/#%"to A%t.#ulo )<1 9e considerar- que el consentimiento expreso se otorg% por escrito cuando el titular lo externe mediante un documento con su !irma aut%gra!a, 6uella dactilar o cualquier otro mecanismo autori<ado por la normati;a aplicable. Arat-ndose del entorno digital, podr-n utili<arse !irma electr%nica o cualquier mecanismo o procedimiento que al e!ecto se estable<ca + permita identi!icar al titular + recabar su consentimiento. P%ue!a a%a $emo/t%a% la o!ten#"'n $el #on/ent"m"ento A%t.#ulo (*1 Para e!ectos de demostrar la obtenci%n del consentimiento, la carga de la prueba recaer-, en todos los casos, en el responsable. Revo#a#"'n $el #on/ent"m"ento
5 de 31

A%t.#ulo ()1 En cualquier momento, el titular podr- re;ocar su consentimiento para el tratamiento de sus datos personales, para lo cual el responsable deber- establecer mecanismos sencillos + gratuitos, que permitan al titular re;ocar su consentimiento al menos por el mismo medio por el que lo otorg%, siempre + cuando no lo impida una disposici%n legal. *os mecanismos o procedimientos que el responsable estable<ca para atender las solicitudes de re;ocaci%n del consentimiento no podr-n exceder los pla<os pre;istos en el art"culo (4 de la *e+. 'uando el titular solicite la con!irmaci%n del cese del tratamiento de sus datos personales, el responsable deberresponder expresamente a dic6a solicitud. En caso de que los datos personales 6ubiesen sido remitidos con anterioridad a la !ec6a de re;ocaci%n del consentimiento + sigan siendo tratados por encargados, el responsable deber- 6acer de su conocimiento dic6a re;ocaci%n, para que procedan a e!ectuar lo conducente. P%o#e$"m"ento ante la negat"va al #e/e en el t%atam"ento A%t.#ulo ((1 En caso de negati;a por parte del responsable al cese en el tratamiento ante la re;ocaci%n del consentimiento, el titular podr- presentar ante el &nstituto la denuncia correspondiente a que re!iere el 'ap"tulo &/ del presente Reglamento. P%"n#" "o $e "n&o%ma#"'n A%t.#ulo (41 El responsable deber- dar a conocer al titular la in!ormaci%n relati;a a la existencia + caracter"sticas principales del tratamiento a que ser-n sometidos sus datos personales a tra;?s del a;iso de pri;acidad, de con!ormidad con lo pre;isto en la *e+ + el presente Reglamento. Ca%a#te%./t"#a/ $el av"/o $e %"va#"$a$ A%t.#ulo (51 El a;iso de pri;acidad deber- caracteri<arse por ser sencillo, con in!ormaci%n necesaria, expresado en lengua e claro + comprensible, + con una estructura + dise7o que !acilite su entendimiento. Me$"o/ $e $"&u/"'n A%t.#ulo (71 Para la di!usi%n de los a;isos de pri;acidad, el responsable podr- ;alerse de !ormatos !"sicos, electr%nicos, medios ;erbales o cualquier otra tecnolog"a, siempre + cuando garantice + cumpla con el deber de in!ormar al titular. Elemento/ $el av"/o $e %"va#"$a$ A%t.#ulo (81 El a;iso de pri;acidad deber- contener los elementos a que se re!ieren los art"culos #, 01, 02, (( + (2 de la *e+, as" como los que se estable<can en los lineamientos a que se re!iere el art"culo )(, !racci%n &&& de la *e+. Av"/o $e %"va#"$a$ a%a la o!ten#"'n $"%e#ta $e lo/ $ato/ e%/onale/ A%t.#ulo (:1 En t?rminos del art"culo 0D, !racci%n && de la *e+, cuando los datos personales sean obtenidos directamente del titular, el responsable deber- proporcionar de manera inmediata al menos la siguiente in!ormaci%n: I1 *a identidad + domicilio del responsable8 II1 *as !inalidades del tratamiento, + III1 *os mecanismos que el responsable o!rece para que el titular cono<ca el a;iso de pri;acidad de con!ormidad con el art"culo 42 del presente Reglamento. *a di;ulgaci%n inmediata de la in!ormaci%n antes se7alada no exime al responsable de la obligaci%n de pro;eer los mecanismos para que el titular cono<ca el contenido del a;iso de pri;acidad, de con!ormidad con el art"culo 42 del presente Reglamento. Av"/o $e %"va#"$a$ en &o%mato/ #on e/ a#"o l"m"ta$o
6 de 31

A%t.#ulo (;1 El responsable podr- poner a disposici%n del titular el a;iso de pri;acidad en t?rminos del art"culo anterior, cuando obtenga los datos personales por medios impresos, siempre que el espacio utili<ado para la obtenci%n de los datos personales sea m"nimo + limitado, de !orma tal que los datos personales obtenidos tambi?n sean m"nimos. Av"/o $e %"va#"$a$ a%a o!ten#"'n "n$"%e#ta $e $ato/ e%/onale/ A%t.#ulo (<1 'uando los datos personales sean obtenidos de manera indirecta del titular, el responsable deberobser;ar lo siguiente para la puesta a disposici%n del a;iso de pri;acidad: I1 'uando los datos personales sean tratados para una !inalidad pre;ista en una trans!erencia consentida o se 6a+an obtenido de una !uente de acceso pblico, el a;iso de pri;acidad se deber- dar a conocer en el primer contacto que se tenga con el titular, o II1 'uando el responsable pretenda utili<ar los datos para una !inalidad distinta a la consentida, es decir, ;a+a a tener lugar un cambio de !inalidad, el a;iso de pri;acidad deber- darse a conocer pre;io el apro;ec6amiento de los mismos. T%atam"ento a%a &"ne/ me%#a$ot?#n"#o/@ u!l"#"ta%"o/ o $e %o/ e##"'n #ome%#"al A%t.#ulo 4*1 Entre las !inalidades del tratamiento a las que re!iere la !racci%n && del art"culo 02 de la *e+, en su caso, se deber-n incluir las relati;as al tratamiento para !ines mercadot?cnicos, publicitarios o de prospecci%n comercial. *o anterior sin per uicio de lo establecido por las disposiciones ;igentes que regulen el tratamiento para los !ines se7alados en el p-rra!o anterior, cuando ?stas contemplen una protecci%n ma+or para el titular que la dispuesta en la *e+ + el presente Reglamento. P%ue!a $el av"/o $e %"va#"$a$ A%t.#ulo 4). Para e!ectos de demostrar la puesta a disposici%n del a;iso de pri;acidad en cumplimiento del principio de in!ormaci%n, la carga de la prueba recaer-, en todos los casos, en el responsable. Me$"$a/ #om en/ato%"a/ A%t.#ulo 4(1 En t?rminos del tercer p-rra!o del art"culo 0# de la *e+, cuando resulte imposible dar a conocer el a;iso de pri;acidad al titular o exi a es!uer<os desproporcionados, en consideraci%n al nmero de titulares o a la antigEedad de los datos, el responsable podr- instrumentar medidas compensatorias de comunicaci%n masi;a de acuerdo con los criterios generales expedidos por el &nstituto, mismos que ser-n publicados en el 5iario ,!icial de la .ederaci%n, ba o los cuales podr-n utili<arse los medios que se establecen en el art"culo (1 del presente Reglamento. *os casos que no actualicen los criterios generales emitidos por el &nstituto requerir-n la autori<aci%n expresa de ?ste, pre;io a la instrumentaci%n de la medida compensatoria, de con!ormidad con el procedimiento establecido en los art"culos (( + () del presente Reglamento. Sol"#"tu$ a%a auto%"Aa#"'n $e me$"$a/ #om en/ato%"a/ A%t.#ulo 441 El procedimiento para que el &nstituto autorice el uso de medidas compensatorias de comunicaci%n masi;a, al que re!iere el segundo p-rra!o del art"culo anterior, iniciar- siempre a petici%n del responsable. El responsable presentar- su solicitud directamente ante el &nstituto o a tra;?s de cualquier otro medio que ?ste 6a+a 6abilitado para tal e!ecto. *a solicitud deber- contener la siguiente in!ormaci%n: I1 Nombre, denominaci%n o ra<%n social del responsable que la promue;a +, en su caso, de su representante, as" como copia de la identi!icaci%n o!icial que acredite su personalidad + original para su cote o. En el caso del representante, se deber- presentar copia del documento que acredite la representaci%n del responsable + original para su cote o8 II1 5omicilio para o"r + recibir noti!icaciones, + nombre de la persona autori<ada para recibirlas8 7 de 31

III1 Aratamiento al que pretende aplicar la medida compensatoria + sus caracter"sticas principales, tales como !inalidad8 tipo de datos personales tratados8 si se e!ectan trans!erencias8 particularidades de los titulares, entre ellas edad, ubicaci%n geogr-!ica, ni;el educati;o + socioecon%mico, entre otros8 IV1 'ausas o usti!icaci%n de la imposibilidad de dar a conocer el a;iso de pri;acidad a los titulares o el es!uer<o desproporcionado que esto exige. El responsable deber- in!ormar sobre el nmero de titulares a!ectados, antigEedad de los datos, si existe o no contacto directo con los titulares, + su capacidad econ%mica8 V1 Aipo de medida compensatoria que pretende aplicar + por qu? periodo la publicar"a8 VI1 Aexto propuesto para la medida compensatoria, + VII1 5ocumentos que el responsable considere necesarios presentar ante el &nstituto. P%o#e$"m"ento a%a la auto%"Aa#"'n $e me$"$a/ #om en/ato%"a/ A%t.#ulo 451 El &nstituto tendr- un pla<o de die< d"as siguientes a la recepci%n de la solicitud de medida compensatoria, para emitir la resoluci%n correspondiente. 9i el &nstituto no resuel;e en el pla<o establecido, la solicitud de medida compensatoria se entender- como autori<ada. Una ;e< presentada la solicitud por el responsable ante el &nstituto, ?ste ;alorar- los es!uer<os desproporcionados para dar a conocer el a;iso de pri;acidad, tomando en cuenta lo siguiente: I1 El nmero de titulares8 II1 *a antigEedad de los datos8 III1 *a capacidad econ%mica del responsable8 IV1 El -mbito territorial + sectorial de operaci%n del responsable, + V1 *a medida compensatoria a utili<ar. En caso de que el &nstituto en su ;aloraci%n considere que la medida compensatoria propuesta no cumple con el principio de in!ormaci%n, podrproponer al responsable la adopci%n de alguna medida compensatoria alterna a la propuesta por el responsable en su solicitud. *a propuesta del &nstituto se 6ar- del conocimiento del responsable, a !in de que ?ste exponga lo que a su derec6o con;enga en un pla<o no ma+or a cinco d"as, contados a partir del d"a siguiente en que 6a+a recibido la noti!icaci%n. 9i el responsable no responde en el pla<o que se7ala el p-rra!o anterior, el &nstituto resol;er- con los elementos que consten en el expediente. 'uando el &nstituto determine que el responsable no usti!ic% la imposibilidad de dar a conocer el a;iso de pri;acidad al titular o que ello exige es!uer<os desproporcionados, no ser- autori<ado el uso de medidas compensatorias. *a autori<aci%n que en su caso otorgue el &nstituto estar- ;igente mientras no se modi!iquen las circunstancias ba o las cuales se autori<% la medida compensatoria. Mo$al"$a$e/ $e me$"$a/ #om en/ato%"a/ A%t.#ulo 471 *as medidas compensatorias de comunicaci%n masi;a deber-n contener la in!ormaci%n pre;ista en el art"culo 4D del presente Reglamento + se dar-n a conocer a tra;?s de a;isos de pri;acidad que se publicar-n en cualquiera de los medios siguientes: I1 5iarios de circulaci%n nacional8 II1 5iarios locales o re;istas especiali<adas, cuando se demuestre que los titulares de los datos personales residan en una determinada entidad !ederati;a o pertene<can a una determinada acti;idad8 8 de 31

III1 P-gina de &nternet del responsable8 IV1 Fiperenlaces o 6iper;"nculos situados en una p-gina de &nternet del &nstituto, 6abilitados para dic6o !in, cuando el responsable no cuente con una p-gina de &nternet propia8 V1 'arteles in!ormati;os8 VI1 5i!usi%n en c-psulas in!ormati;as en radiodi!usoras, o VII1 ,tros medios alternos de comunicaci%n masi;a. P%"n#" "o $e #al"$a$ A%t.#ulo 481 9e cumple con el principio de calidad cuando los datos personales tratados sean exactos, completos, pertinentes, correctos + actuali<ados segn se requiera para el cumplimiento de la !inalidad para la cual son tratados. 9e presume que se cumple con la calidad en los datos personales cuando ?stos son proporcionados directamente por el titular, + 6asta que ?ste no mani!ieste + acredite lo contrario, o bien, el responsable cuente con e;idencia ob eti;a que los contradiga. 'uando los datos personales no !ueron obtenidos directamente del titular, el responsable deber- adoptar medidas ra<onables para que ?stos respondan al principio de calidad, de acuerdo con el tipo de datos personales + las condiciones del tratamiento. El responsable deber- adoptar los mecanismos que considere necesarios para procurar que los datos personales que trate sean exactos, completos, pertinentes, correctos + actuali<ados, a !in de que no se altere la ;eracidad de la in!ormaci%n, ni que ello tenga como consecuencia que el titular se ;ea a!ectado por dic6a situaci%n. PlaAo/ $e #on/e%va#"'n $e lo/ $ato/ e%/onale/ A%t.#ulo 4:1 *os pla<os de conser;aci%n de los datos personales no deber-n exceder aqu?llos que sean necesarios para el cumplimiento de las !inalidades que usti!icaron el tratamiento, + deber-n atender las disposiciones aplicables a la materia de que se trate, + tomar en cuenta los aspectos administrati;os, contables, !iscales, ur"dicos e 6ist%ricos de la in!ormaci%n. Una ;e< cumplida la o las !inalidades del tratamiento, + cuando no exista disposici%n legal o reglamentaria que estable<ca lo contrario, el responsable deber- proceder a la cancelaci%n de los datos en su posesi%n pre;io bloqueo de los mismos, para su posterior supresi%n. P%o#e$"m"ento/ a%a #on/e%va#"'n@ !loBueo 6 /u %e/"'n $e lo/ $ato/ e%/onale/ A%t.#ulo 4;1 El responsable establecer- + documentar- procedimientos para la conser;aci%n +, en su caso, bloqueo + supresi%n de los datos personales, que inclu+an los periodos de conser;aci%n de los mismos, de con!ormidad con el art"culo anterior. P%ue!a $el #um l"m"ento $e lo/ laAo/ $e #on/e%va#"'n A%t.#ulo 4<1 Al responsable le corresponde demostrar que los datos personales se conser;an o, en su caso, bloquean, suprimen o cancelan cumpliendo los pla<os pre;istos en el art"culo (D del presente Reglamento, o bien, en atenci%n a una solicitud de derec6o de cancelaci%n. P%"n#" "o $e &"nal"$a$ A%t.#ulo 5*1 *os datos personales s%lo podr-n ser tratados para el cumplimiento de la !inalidad o !inalidades establecidas en el a;iso de pri;acidad, en t?rminos del art"culo 04 de la *e+. Para e!ectos del p-rra!o anterior, la !inalidad o las !inalidades establecidas en el a;iso de pri;acidad deber-n ser determinadas, lo cual se logra cuando con claridad, sin lugar a con!usi%n + de manera ob eti;a se especi!ica para qu? ob eto ser-n tratados los datos personales. D"&e%en#"a#"'n $e &"nal"$a$e/
9 de 31

A%t.#ulo 5)1 El responsable identi!icar- + distinguir- en el a;iso de pri;acidad entre las !inalidades que dieron origen + son necesarias para la relaci%n ur"dica entre el responsable + el titular, de aqu?llas que no lo son. O o/"#"'n $el t%atam"ento a%a &"nal"$a$e/ $"/t"nta/ A%t.#ulo 5(1 El titular podr- negar o re;ocar su consentimiento, as" como oponerse para el tratamiento de sus datos personales para las !inalidades que sean distintas a aqu?llas que son necesarias + den origen a la relaci%n ur"dica entre el responsable + el titular, sin que ello tenga como consecuencia la conclusi%n del tratamiento para estas ltimas !inalidades. T%atam"ento a%a &"nal"$a$e/ $"/t"nta/ A%t.#ulo 541 El responsable no podr- lle;ar a cabo tratamientos para !inalidades distintas que no resulten compatibles o an-logas con aqu?llas para las que 6ubiese recabado de origen los datos personales + que 6a+an sido pre;istas en el a;iso de pri;acidad, a menos que: I1 *o permita de !orma expl"cita una le+ o reglamento, o II1 El responsable 6a+a obtenido el consentimiento para el nue;o tratamiento. P%"n#" "o $e lealta$ A%t.#ulo 551 El principio de lealtad establece la obligaci%n de tratar los datos personales pri;ilegiando la protecci%n de los intereses del titular + la expectati;a ra<onable de pri;acidad, en los t?rminos establecidos en el art"culo D de la *e+. No se podr-n utili<ar medios enga7osos o !raudulentos para recabar + tratar datos personales. Existe una actuaci%n !raudulenta o enga7osa cuando: I1 Exista dolo, mala !e o negligencia en la in!ormaci%n proporcionada al titular sobre el tratamiento8 II1 9e ;ulnere la expectati;a ra<onable de pri;acidad del titular a la que re!iere el art"culo D de la *e+, o III1 *as !inalidades no son las in!ormadas en el a;iso de pri;acidad. P%"n#" "o $e %o o%#"onal"$a$ A%t.#ulo 571 9%lo podr-n ser ob eto de tratamiento los datos personales que resulten necesarios, adecuados + rele;antes en relaci%n con las !inalidades para las que se 6a+an obtenido. C%"te%"o $e m"n"m"Aa#"'n A%t.#ulo 581 El responsable deber- reali<ar es!uer<os ra<onables para que los datos personales tratados sean los m"nimos necesarios de acuerdo con la !inalidad del tratamiento que tenga lugar. P%"n#" "o $e %e/ on/a!"l"$a$ A%t.#ulo 5:1 En t?rminos de los art"culos 2 + 0) de la *e+, el responsable tiene la obligaci%n de ;elar + responder por el tratamiento de los datos personales que se encuentren ba o su custodia o posesi%n, o por aqu?llos que 6a+a comunicado a un encargado, +a sea que este ltimo se encuentre o no en territorio mexicano. Para cumplir con esta obligaci%n, el responsable podr- ;alerse de est-ndares, me ores pr-cticas internacionales, pol"ticas corporati;as, esquemas de autorregulaci%n o cualquier otro mecanismo que determine adecuado para tales !ines. Me$"$a/ a%a el %"n#" "o $e %e/ on/a!"l"$a$ A%t.#ulo 5;1 En t?rminos del art"culo 0) de la *e+, el responsable deber- adoptar medidas para garanti<ar el debido tratamiento, pri;ilegiando los intereses del titular + la expectati;a ra<onable de pri;acidad. Entre las medidas que podr- adoptar el responsable se encuentran por lo menos las siguientes:
10 de 31

I1 Elaborar pol"ticas + programas de pri;acidad obligatorios + exigibles al interior de la organi<aci%n del responsable8 II1 Poner en pr-ctica un programa de capacitaci%n, actuali<aci%n + concienti<aci%n del personal sobre las obligaciones en materia de protecci%n de datos personales8 III1 Establecer un sistema de super;isi%n + ;igilancia interna, ;eri!icaciones o auditor"as externas para comprobar el cumplimiento de las pol"ticas de pri;acidad8 IV1 5estinar recursos para la instrumentaci%n de los programas + pol"ticas de pri;acidad8 V1 &nstrumentar un procedimiento para que se atienda el riesgo para la protecci%n de datos personales por la implementaci%n de nue;os productos, ser;icios, tecnolog"as + modelos de negocios, as" como para mitigarlos8 VI1 Re;isar peri%dicamente las pol"ticas + programas de seguridad para determinar las modi!icaciones que se requieran8 VII1 Establecer procedimientos para recibir + responder dudas + que as de los titulares de los datos personales8 VIII1 5isponer de mecanismos para el cumplimiento de las pol"ticas + programas de pri;acidad, as" como de sanciones por su incumplimiento8 IX1 Establecer medidas para el aseguramiento de los datos personales, es decir, un con unto de acciones t?cnicas + administrati;as que permitan garanti<ar al responsable el cumplimiento de los principios + obligaciones que establece la *e+ + el presente Reglamento, o X1 Establecer medidas para la tra<abilidad de los datos personales, es decir, acciones, medidas + procedimientos t?cnicos que permiten rastrear a los datos personales durante su tratamiento. F"gu%a $el en#a%ga$o A%t.#ulo 5<1 El encargado es la persona !"sica o moral, pblica o pri;ada, a ena a la organi<aci%n del responsable, que sola o con untamente con otras, trata datos personales por cuenta del responsable, como consecuencia de la existencia de una relaci%n ur"dica que le ;incula con el mismo + delimita el -mbito de su actuaci%n para la prestaci%n de un ser;icio. O!l"ga#"one/ $el en#a%ga$o A%t.#ulo 7*1 El encargado tendr- las siguientes obligaciones respecto del tratamiento que realice por cuenta del responsable: I1 Aratar nicamente los datos personales con!orme a las instrucciones del responsable8 II1 Abstenerse de tratar los datos personales para !inalidades distintas a las instruidas por el responsable8 III1 &mplementar las medidas de seguridad con!orme a la *e+, el Reglamento + las dem-s disposiciones aplicables8 IV1 >uardar con!idencialidad respecto de los datos personales tratados8 V1 9uprimir los datos personales ob eto de tratamiento una ;e< cumplida la relaci%n ur"dica con el responsable o por instrucciones del responsable, siempre + cuando no exista una pre;isi%n legal que exi a la conser;aci%n de los datos personales, + VI1 Abstenerse de trans!erir los datos personales sal;o en el caso de que el responsable as" lo determine, la comunicaci%n deri;e de una subcontrataci%n, o cuando as" lo requiera la autoridad competente. *os acuerdos entre el responsable + el encargado relacionados con el tratamiento deber-n estar acordes con el a;iso de pri;acidad correspondiente. Rela#"'n ent%e el %e/ on/a!le 6 el en#a%ga$o
11 de 31

A%t.#ulo 7)1 *a relaci%n entre el responsable + el encargado deber- estar establecida mediante cl-usulas contractuales u otro instrumento ur"dico que decida el responsable, que permita acreditar su existencia, alcance + contenido. T%atam"ento $e $ato/ e%/onale/ en el $enom"na$o #'m uto en la nu!e A%t.#ulo 7(1 Para el tratamiento de datos personales en ser;icios, aplicaciones e in!raestructura en el denominado c%mputo en la nube, en los que el responsable se ad6iera a los mismos mediante condiciones o cl-usulas generales de contrataci%n, s%lo podr- utili<ar aquellos ser;icios en los que el pro;eedor: I1 'umpla, al menos, con lo siguiente: a2 Aener + aplicar pol"ticas de protecci%n de datos personales a!ines a los principios + deberes aplicables que establece la *e+ + el presente Reglamento8 !2 Aransparentar las subcontrataciones que in;olucren la in!ormaci%n sobre la que se presta el ser;icio8 #2 Abstenerse de incluir condiciones en la prestaci%n del ser;icio que le autoricen o permitan asumir la titularidad o propiedad de la in!ormaci%n sobre la que presta el ser;icio, + $2 >uardar con!idencialidad respecto de los datos personales sobre los que se preste el ser;icio, + II1 'uente con mecanismos, al menos, para: a2 5ar a conocer cambios en sus pol"ticas de pri;acidad o condiciones del ser;icio que presta8 !2 Permitir al responsable limitar el tipo de tratamiento de los datos personales sobre los que se presta el ser;icio8 #2 Establecer + mantener medidas de seguridad adecuadas para la protecci%n de los datos personales sobre los que se preste el ser;icio8 $2 >aranti<ar la supresi%n de los datos personales una ;e< que 6a+a concluido el ser;icio prestado al responsable, + que este ltimo 6a+a podido recuperarlos, + e2 &mpedir el acceso a los datos personales a personas que no cuenten con pri;ilegios de acceso, o bien en caso de que sea a solicitud !undada + moti;ada de autoridad competente, in!ormar de ese 6ec6o al responsable. En cualquier caso, el responsable no podr- ad6erirse a ser;icios que no garanticen la debida protecci%n de los datos personales. Para !ines del presente Reglamento, por c%mputo en la nube se entender- al modelo de pro;isi%n externa de ser;icios de c%mputo ba o demanda, que implica el suministro de in!raestructura, plata!orma o so!t:are, que se distribu+en de modo !lexible, mediante procedimientos de ;irtuali<aci%n, en recursos compartidos din-micamente. *as dependencias reguladoras, en el -mbito de sus competencias, en coad+u;ancia con el &nstituto, emitir-n criterios para el debido tratamiento de datos personales en el denominado c%mputo en la nube. Rem"/"one/ $e $ato/ e%/onale/ A%t.#ulo 741 *as remisiones nacionales e internacionales de datos personales entre un responsable + un encargado no requerir-n ser in!ormadas al titular ni contar con su consentimiento. El encargado, ser- considerado responsable con las obligaciones propias de ?ste, cuando: I1 5estine o utilice los datos personales con una !inalidad distinta a la autori<ada por el responsable, o II1 E!ecte una trans!erencia, incumpliendo las instrucciones del responsable. El encargado no incurrir- en responsabilidad cuando, pre;ia indicaci%n expresa del responsable, remita los datos personales a otro encargado designado por este ltimo, al que 6ubiera encomendado la prestaci%n de un ser;icio, o trans!iera los datos personales a otro responsable con!orme a lo pre;isto en el presente Reglamento. Su!#ont%ata#"'n $e /e%v"#"o/ A%t.#ulo 751 Aoda subcontrataci%n de ser;icios por parte del encargado que implique el tratamiento de datos personales deber- ser autori<ada por el responsable, + se reali<ar- en nombre + por cuenta de este ltimo. 12 de 31

Una ;e< obtenida la autori<aci%n, el encargado deber- !ormali<ar la relaci%n con el subcontratado a tra;?s de cl-usulas contractuales u otro instrumento ur"dico que permita acreditar su existencia, alcance + contenido. *a persona !"sica o moral subcontratada asumir- las mismas obligaciones que se estable<can para el encargado en la *e+, el presente Reglamento + dem-s disposiciones aplicables. *a obligaci%n de acreditar que la subcontrataci%n se reali<% con autori<aci%n del responsable corresponder- al encargado. Auto%"Aa#"'n $e la /u!#ont%ata#"'n A%t.#ulo 771 'uando las cl-usulas contractuales o los instrumentos ur"dicos mediante los cuales se 6a+a !ormali<ado la relaci%n entre el responsable + el encargado, pre;ean que este ltimo pueda lle;ar a cabo a su ;e< las subcontrataciones de ser;icios, la autori<aci%n a la que re!iere el art"culo anterior se entender- como otorgada a tra;?s de lo estipulado en ?stos. En caso de que la subcontrataci%n no 6a+a sido pre;ista en las cl-usulas contractuales o en los instrumentos ur"dicos a los que re!iere el p-rra!o anterior, el encargado deber- obtener la autori<aci%n correspondiente del responsable pre;io a la subcontrataci%n. En ambos casos, se deberobser;ar lo pre;isto en el art"culo anterior. Se##"'n II De lo/ Dato/ Pe%/onale/ Sen/"!le/ Su ue/to/ a%a la #%ea#"'n $e !a/e/ $e $ato/ e%/onale/ /en/"!le/ A%t.#ulo 781 En t?rminos de lo pre;isto en el art"culo $, segundo p-rra!o de la *e+, s%lo podr-n crearse bases de datos que contengan datos personales sensibles cuando: I1 ,bede<ca a un mandato legal8 II1 9e usti!ique en t?rminos del art"culo ) de la *e+, o III1 El responsable lo requiera para !inalidades leg"timas, concretas + acordes con las acti;idades o !ines expl"citos que persiga. Ca .tulo III De la/ Me$"$a/ $e Segu%"$a$ en el T%atam"ento $e Dato/ Pe%/onale/ Al#an#e A%t.#ulo 7:1 El responsable +, en su caso, el encargado deber-n establecer + mantener las medidas de seguridad administrati;as, !"sicas +, en su caso, t?cnicas para la protecci%n de los datos personales, con arreglo a lo dispuesto en la *e+ + el presente 'ap"tulo, con independencia del sistema de tratamiento. 9e entender- por medidas de seguridad para los e!ectos del presente 'ap"tulo, el control o grupo de controles de seguridad para proteger los datos personales. *o anterior sin per uicio de lo establecido por las disposiciones ;igentes en materia de seguridad emitidas por las autoridades competentes al sector que corresponda, cuando ?stas contemplen una protecci%n ma+or para el titular que la dispuesta en la *e+ + el presente Reglamento. Atenua#"'n $e /an#"one/ A%t.#ulo 7;1 En t?rminos de lo dispuesto en el art"culo 21, !racci%n &&& de la *e+, en los casos en que ocurra una ;ulneraci%n a la seguridad de los datos personales, el &nstituto podr- tomar en consideraci%n el cumplimiento de sus recomendaciones para determinar la atenuaci%n de la sanci%n que corresponda. Fun#"one/ $e /egu%"$a$ A%t.#ulo 7<1 Para establecer + mantener de manera e!ecti;a las medidas de seguridad, el responsable podrdesarrollar las !unciones de seguridad por s" mismo, o bien, contratar a una persona !"sica o moral para tal !in.
13 de 31

Fa#to%e/ a%a $ete%m"na% la/ me$"$a/ $e /egu%"$a$ A%t.#ulo 8*1 El responsable determinar- las medidas de seguridad aplicables a los datos personales que trate, considerando los siguientes !actores: I1 El riesgo in6erente por tipo de dato personal8 II1 *a sensibilidad de los datos personales tratados8 III1 El desarrollo tecnol%gico, + IV1 *as posibles consecuencias de una ;ulneraci%n para los titulares. 5e manera adicional, el responsable procurar- tomar en cuenta los siguientes elementos: I1 El nmero de titulares8 II1 *as ;ulnerabilidades pre;ias ocurridas en los sistemas de tratamiento8 III1 El riesgo por el ;alor potencial cuantitati;o o cualitati;o que pudieran tener los datos personales tratados para una tercera persona no autori<ada para su posesi%n, + IV1 5em-s !actores que puedan incidir en el ni;el de riesgo o que resulten de otras le+es o regulaci%n aplicable al responsable. A##"one/ a%a la /egu%"$a$ $e lo/ $ato/ e%/onale/ A%t.#ulo 8)1 A !in de establecer + mantener la seguridad de los datos personales, el responsable deberconsiderar las siguientes acciones: I1 Elaborar un in;entario de datos personales + de los sistemas de tratamiento8 II1 5eterminar las !unciones + obligaciones de las personas que traten datos personales8 III1 'ontar con un an-lisis de riesgos de datos personales que consiste en identi!icar peligros + estimar los riesgos a los datos personales8 IV1 Establecer las medidas de seguridad aplicables a los datos personales e identi!icar aqu?llas implementadas de manera e!ecti;a8 V1 Reali<ar el an-lisis de brec6a que consiste en la di!erencia de las medidas de seguridad existentes + aqu?llas !altantes que resultan necesarias para la protecci%n de los datos personales8 VI1 Elaborar un plan de traba o para la implementaci%n de las medidas de seguridad !altantes, deri;adas del an-lisis de brec6a8 VII1 *le;ar a cabo re;isiones o auditor"as8 VIII1 'apacitar al personal que e!ecte el tratamiento, + IX1 Reali<ar un registro de los medios de almacenamiento de los datos personales. El responsable deber- contar con una relaci%n de las medidas de seguridad deri;adas de las !racciones anteriores. A#tual"Aa#"one/ $e la/ me$"$a/ $e /egu%"$a$ A%t.#ulo 8(1 *os responsables deber-n actuali<ar la relaci%n de las medidas de seguridad, cuando ocurran los siguientes e;entos: I1 9e modi!iquen las medidas o procesos de seguridad para su me ora continua, deri;ado de las re;isiones a la pol"tica de seguridad del responsable8 II1 9e produ<can modi!icaciones sustanciales en el tratamiento que deri;en en un cambio del ni;el de riesgo8 III1 9e ;ulneren los sistemas de tratamiento, de con!ormidad con lo dispuesto en el art"culo 43 de la *e+ + 2( del presente Reglamento, o IV1 Exista una a!ectaci%n a los datos personales distinta a las anteriores.
14 de 31

En el caso de datos personales sensibles, los responsables procurar-n re;isar +, en su caso, actuali<ar las relaciones correspondientes una ;e< al a7o. Vulne%a#"one/ $e /egu%"$a$ A%t.#ulo 841 *as ;ulneraciones de seguridad de datos personales ocurridas en cualquier !ase del tratamiento son: I1 *a p?rdida o destrucci%n no autori<ada8 II1 El robo, extra;"o o copia no autori<ada8 III1 El uso, acceso o tratamiento no autori<ado, o IV1 El da7o, la alteraci%n o modi!icaci%n no autori<ada. Not"&"#a#"'n $e vulne%a#"one/ $e /egu%"$a$ A%t.#ulo 851 El responsable deber- in!ormar al titular las ;ulneraciones que a!ecten de !orma signi!icati;a sus derec6os patrimoniales o morales, en cuanto con!irme que ocurri% la ;ulneraci%n + 6a+a tomado las acciones encaminadas a detonar un proceso de re;isi%n ex6austi;a de la magnitud de la a!ectaci%n, + sin dilaci%n alguna, a !in de que los titulares a!ectados puedan tomar las medidas correspondientes. In&o%ma#"'n m.n"ma al t"tula% en #a/o $e vulne%a#"one/ $e /egu%"$a$ A%t.#ulo 871 El responsable deber- in!ormar al titular al menos lo siguiente: I1 *a naturale<a del incidente8 II1 *os datos personales comprometidos8 III1 *as recomendaciones al titular acerca de las medidas que ?ste pueda adoptar para proteger sus intereses8 IV1 *as acciones correcti;as reali<adas de !orma inmediata, + V1 *os medios donde puede obtener m-s in!ormaci%n al respecto. Me$"$a/ #o%%e#t"va/ en #a/o $e vulne%a#"one/ $e /egu%"$a$ A%t.#ulo 881 En caso de que ocurra una ;ulneraci%n a los datos personales, el responsable deber- anali<ar las causas por las cuales se present% e implementar las acciones correcti;as, pre;enti;as + de me ora para adecuar las medidas de seguridad correspondientes, a e!ecto de e;itar que la ;ulneraci%n se repita. Ca .tulo IV De la/ T%an/&e%en#"a/ $e Dato/ Pe%/onale/ Se##"'n I D"/ o/"#"one/ Gene%ale/ Al#an#e A%t.#ulo 8:. *a trans!erencia implica la comunicaci%n de datos personales dentro o !uera del territorio nacional, reali<ada a persona distinta del titular, del responsable o del encargado. Con$"#"one/ a%a la t%an/&e%en#"a A%t.#ulo 8;1 Aoda trans!erencia de datos personales, sea ?sta nacional o internacional, se encuentra su eta al consentimiento de su titular, sal;o las excepciones pre;istas en el art"culo (D de la *e+8 deber- ser in!ormada a este ltimo mediante el a;iso de pri;acidad + limitarse a la !inalidad que la usti!ique. P%ue!a $el #um l"m"ento $e la/ o!l"ga#"one/ en mate%"a $e t%an/&e%en#"a/
15 de 31

A%t.#ulo 8<1 Para e!ectos de demostrar que la trans!erencia, sea ?sta nacional o internacional, se reali<% con!orme a lo que establece la *e+ + el presente Reglamento la carga de la prueba recaer-, en todos los casos, en el responsable que trans!iere + en el receptor de los datos personales. T%an/&e%en#"a/ $ent%o $el m"/mo g%u o $el %e/ on/a!le A%t.#ulo :*1 En el caso de trans!erencias de datos personales entre sociedades controladoras, subsidiarias o a!iliadas ba o el control comn del mismo grupo del responsable, o a una sociedad matri< o a cualquier sociedad del mismo grupo del responsable, el mecanismo para garanti<ar que el receptor de los datos personales cumplir- con las disposiciones pre;istas en la *e+, el presente Reglamento + dem-s normati;a aplicable, podr- ser la existencia de normas internas de protecci%n de datos personales cu+a obser;ancia sea ;inculante, siempre + cuando ?stas cumplan con lo establecido en la *e+, el presente Reglamento + dem-s normati;a aplicable. Se##"'n II T%an/&e%en#"a/ na#"onale/ Con$"#"one/ e/ e#.&"#a/ a%a la/ t%an/&e%en#"a/ na#"onale/ A%t.#ulo :)1 Para reali<ar una trans!erencia de datos personales dentro del territorio nacional sernecesario que el responsable cumpla con lo pre;isto en los art"culos (2 de la *e+ + 2# del presente Reglamento. Re#e to% $e lo/ $ato/ e%/onale/ A%t.#ulo :(1 El receptor de los datos personales ser- un su eto regulado por la *e+ + el presente Reglamento en su car-cter de responsable, + deber- tratar los datos personales con!orme a lo con;enido en el a;iso de pri;acidad que le comunique el responsable trans!erente. Fo%mal"Aa#"'n $e la/ t%an/&e%en#"a/ na#"onale/ A%t.#ulo :41 *a trans!erencia deber- !ormali<arse mediante algn mecanismo que permita demostrar que el responsable trans!erente comunic% al responsable receptor las condiciones en las que el titular consinti% el tratamiento de sus datos personales. Se##"'n III T%an/&e%en#"a/ Inte%na#"onale/ Con$"#"one/ e/ e#.&"#a/ a%a la/ t%an/&e%en#"a/ "nte%na#"onale/ A%t.#ulo :51 9in per uicio de lo dispuesto en el art"culo (D de la *e+, las trans!erencias internacionales de datos personales ser-n posibles cuando el receptor de los datos personales asuma las mismas obligaciones que corresponden al responsable que trans!iri% los datos personales. Fo%mal"Aa#"'n $e la/ t%an/&e%en#"a/ "nte%na#"onale/ A%t.#ulo :71 A tal e!ecto, el responsable que trans!iera los datos personales podr- ;alerse de cl-usulas contractuales u otros instrumentos ur"dicos en los que se pre;ean al menos las mismas obligaciones a las que se encuentra su eto el responsable que trans!iere los datos personales, as" como las condiciones en las que el titular consinti% el tratamiento de sus datos personales. O "n"'n $el In/t"tuto %e/ e#to $e la/ t%an/&e%en#"a/ A%t.#ulo :81 *os responsables, en caso de considerarlo necesario, podr-n solicitar la opini%n del &nstituto respecto a si las trans!erencias internacionales que realicen cumplen con lo dispuesto por la *e+ + el presente Reglamento. Ca .tulo V De la Coo%$"na#"'n ent%e Auto%"$a$e/ Em"/"'n $e %egula#"'n /e#un$a%"a
16 de 31

A%t.#ulo ::1 'uando la dependencia competente, atendiendo a las necesidades que ad;ierta sobre el sector que regule, determine la necesidad de normar el tratamiento de datos personales en posesi%n de los particulares podr-, en el -mbito de sus competencias, emitir o modi!icar regulaci%n espec"!ica, en coad+u;ancia con el &nstituto. Asimismo, cuando el &nstituto deri;ado del e ercicio de sus atribuciones ad;ierta la necesidad de emitir o modi!icar regulaci%n espec"!ica para normar el tratamiento de datos personales en un sector o acti;idad determinada, podrproponer a la dependencia competente la elaboraci%n de un antepro+ecto. Me#an"/mo/ $e #oo%$"na#"'n A%t.#ulo :;1 Para la elaboraci%n, emisi%n + publicaci%n de la regulaci%n a que se re!iere el art"culo )3 de la *e+, la dependencia + el &nstituto establecer-n los mecanismos de coordinaci%n correspondientes. En todos los casos, la dependencia + el &nstituto, en el -mbito de sus atribuciones, determinar-n las disposiciones que normen el tratamiento de datos personales en el sector o acti;idad que corresponda. Ca .tulo VI De la Auto%%egula#"'n V"n#ulante O!0eto $e la auto%%egula#"'n A%t.#ulo :<1 5e con!ormidad con lo establecido en el art"culo )) de la *e+, las personas !"sicas o morales podr-n con;enir entre ellas o con organi<aciones ci;iles o gubernamentales, nacionales o extran eras, esquemas de autorregulaci%n ;inculante en materia de protecci%n de datos personales, que complementen lo dispuesto por la *e+, el presente Reglamento + las disposiciones que se emitan por las dependencias en desarrollo del mismo + en el -mbito de sus atribuciones. Asimismo, a tra;?s de dic6os esquemas el responsable podr- demostrar ante el &nstituto el cumplimiento de las obligaciones pre;istas en dic6a normati;a. *o anterior con el ob eto de armoni<ar los tratamientos que lle;en a cabo quienes se ad6ieren a los mismos + !acilitar el e ercicio de los derec6os de los titulares. O!0et"vo/ e/ e#.&"#o/ $e la auto%%egula#"'n A%t.#ulo ;*1 *os esquemas de autorregulaci%n podr-n traducirse en c%digos deontol%gicos o de buenas pr-cticas pro!esionales, sellos de con!ian<a, pol"ticas de pri;acidad, reglas de pri;acidad corporati;as u otros mecanismos, que incluir-n reglas o est-ndares espec"!icos + tendr-n los siguientes ob eti;os primordiales: I1 'oad+u;ar al cumplimiento del principio de responsabilidad al que re!iere la *e+ + el presente Reglamento8 II1 Establecer procesos + pr-cticas cualitati;os en el -mbito de la protecci%n de datos personales que complementen lo dispuesto en la *e+8 III1 .omentar que los responsables estable<can pol"ticas, procesos + buenas pr-cticas para el cumplimiento de los principios de protecci%n de datos personales, garanti<ando la pri;acidad + con!idencialidad de la in!ormaci%n personal que est? en su posesi%n8 IV1 Promo;er que los responsables de manera ;oluntaria cuenten con constancias o certi!icaciones sobre el cumplimiento de lo establecido en la *e+, + mostrar a los titulares su compromiso con la protecci%n de datos personales8 V1 &denti!icar a los responsables que cuenten con pol"ticas de pri;acidad alineadas al cumplimiento de los principios + derec6os pre;istos en la *e+, as" como de competencia laboral para el debido cumplimiento de sus obligaciones en la materia8 VI1 .acilitar la coordinaci%n entre los distintos esquemas de autorregulaci%n reconocidos internacionalmente8 VII1 .acilitar las trans!erencias con responsables que cuenten con esquemas de autorregulaci%n como puerto seguro8
17 de 31

VIII1 Promo;er el compromiso de los responsables con la rendici%n de cuentas + adopci%n de pol"ticas internas consistentes con criterios externos, as" como para auspiciar mecanismos para implementar pol"ticas de pri;acidad, inclu+endo 6erramientas, transparencia, super;isi%n interna continua, e;aluaciones de riesgo, ;eri!icaciones externas + sistemas de remediaci%n, + IX1 Encau<ar mecanismos de soluci%n alternati;a de contro;ersias entre responsables, titulares + terceras personas, como son los de conciliaci%n + mediaci%n. Estos esquemas ser-n ;inculantes para quienes se ad6ieran a los mismos8 no obstante, la ad6esi%n ser- de car-cter ;oluntario. In#ent"vo/ a%a la auto%%egula#"'n A%t.#ulo ;)1 'uando un responsable adopte + cumpla un esquema de autorregulaci%n, dic6a circunstancia sertomada en consideraci%n para determinar la atenuaci%n de la sanci%n que corresponda, en caso de ;eri!icarse algn incumplimiento a lo dispuesto por la *e+ + el presente Reglamento, por parte del &nstituto. Asimismo, el &nstituto podr- determinar otros incenti;os para la adopci%n de esquemas de autorregulaci%n, as" como mecanismos que !aciliten procesos administrati;os ante el mismo. Conten"$o m.n"mo $e lo/ e/Buema/ $e auto%%egula#"'n A%t.#ulo ;(1 *os esquemas de autorregulaci%n deber-n considerar los par-metros que emita la 9ecretar"a, en coad+u;ancia con el &nstituto, para el correcto desarrollo de este tipo de mecanismos + medidas de autorregulaci%n, considerando al menos lo siguiente: I1 El tipo de esquema con;enido, que podr- constituirse en c%digos deontol%gicos, c%digo de buena pr-ctica pro!esional, sellos de con!ian<a, u otros que posibilite a los titulares identi!icar a los responsables comprometidos con la protecci%n de sus datos personales8 II1 Gmbito de aplicaci%n de los esquemas de autorregulaci%n8 III1 *os procedimientos o mecanismos que se emplear-n para 6acer e!ica< la protecci%n de datos personales por parte de los ad6eridos, as" como para medir la e!icacia8 IV1 9istemas de super;isi%n + ;igilancia internos + externos8 V1 Programas de capacitaci%n para quienes traten los datos personales8 VI1 *os mecanismos para !acilitar los derec6os de los titulares de los datos personales8 VII1 *a identi!icaci%n de las personas !"sicas o morales ad6eridas, que posibilite reconocer a los responsables que satis!acen los requisitos exigidos por determinado esquema de autorregulaci%n + que se encuentran comprometidos con la protecci%n de los datos personales que poseen, + VIII1 *as medidas correcti;as e!icaces en caso de incumplimiento. Ce%t"&"#a#"'n en %ote##"'n $e $ato/ e%/onale/ A%t.#ulo ;41 *os esquemas de autorregulaci%n ;inculante podr-n incluir la certi!icaci%n de los responsables en materia de protecci%n de datos personales. En caso de que el responsable decida someterse a un procedimiento de certi!icaci%n, ?sta deber- ser otorgada por una persona !"sica o moral certi!icadora a ena al responsable, de con!ormidad con los criterios que para tal !in estable<can los par-metros a los que re!iere el art"culo )(, !racci%n B de la *e+. Pe%/ona/ &./"#a/ o mo%ale/ a#%e$"ta$a/ A%t.#ulo ;51 *as personas !"sicas o morales acreditadas como certi!icadores tendr-n la !unci%n principal de certi!icar que las pol"ticas, programas + procedimientos de pri;acidad instrumentados por los responsables que de manera ;oluntaria se sometan a su actuaci%n, aseguren el debido tratamiento + que las medidas de seguridad adoptadas son las adecuadas para su protecci%n. Para ello, los certi!icadores podr-n ;alerse de mecanismos como ;eri!icaciones + auditor"as.
18 de 31

El procedimiento de acreditaci%n de los certi!icadores a los que re!iere el p-rra!o anterior, se lle;ar- a cabo de acuerdo con los par-metros que pre;? el art"culo )(, !racci%n B de *e+. Estos certi!icadores deber-n garanti<ar la independencia e imparcialidad para el otorgamiento de certi!icados, as" como el cumplimiento de los requisitos + criterios que se estable<can en los par-metros en menci%n. Pa%=met%o/ $e auto%%egula#"'n A%t.#ulo ;71 *os par-metros de autorregulaci%n a los que se re!iere el art"culo )(, !racci%n B de la *e+ contendr-n los mecanismos para acreditar + re;ocar a las personas !"sicas o morales certi!icadoras, as" como sus !unciones8 los criterios generales para otorgar los certi!icados en materia de protecci%n de datos personales, + el procedimiento de noti!icaci%n de los esquemas de autorregulaci%n ;inculante. Reg"/t%o $e e/Buema/ $e auto%%egula#"'n A%t.#ulo ;81 *os esquemas de autorregulaci%n noti!icados en t?rminos del ltimo p-rra!o del art"culo )) de la *e+ !ormar-n parte de un registro, que ser- administrado por el &nstituto + en el que se incluir-n aqu?llos que cumplan con los requisitos que estable<can los par-metros pre;istos en el art"culo )(, !racci%n B de la *e+. Ca .tulo VII De lo/ De%e#Co/ $e lo/ T"tula%e/ $e Dato/ Pe%/onale/ 6 /u E0e%#"#"o Se##"'n I D"/ o/"#"one/ Gene%ale/ E0e%#"#"o $e lo/ $e%e#Co/ A%t.#ulo ;:1 El e ercicio de cualquiera de los derec6os AR', no exclu+e la posibilidad de e ercer alguno de los otros, ni puede constituir requisito pre;io para el e ercicio de cualquiera de estos derec6os. Re/t%"##"one/ al e0e%#"#"o $e lo/ $e%e#Co/ A%t.#ulo ;;1 El e ercicio de los derec6os AR', podr- restringirse por ra<ones de seguridad nacional, disposiciones de orden pblico, seguridad + salud pblicas o para proteger los derec6os de terceras personas, en los casos + con los alcances pre;istos en las le+es aplicables en la materia, o bien mediante resoluci%n de la autoridad competente debidamente !undada + moti;ada. Pe%/ona/ &a#ulta$a/ a%a el e0e%#"#"o $e lo/ $e%e#Co/ A%t.#ulo ;<1 *os derec6os AR', se e ercer-n: I1 Por el titular, pre;ia acreditaci%n de su identidad, a tra;?s de la presentaci%n de copia de su documento de identi!icaci%n + 6abiendo ex6ibido el original para su cote o. Aambi?n podr-n ser admisibles los instrumentos electr%nicos por medio de los cuales sea posible identi!icar !e6acientemente al titular, u otros mecanismos de autenticaci%n permitidos por otras disposiciones legales o reglamentarias, o aqu?llos pre;iamente establecidos por el responsable. *a utili<aci%n de !irma electr%nica a;an<ada o del instrumento electr%nico que lo sustitu+a eximir- de la presentaci%n de la copia del documento de identi!icaci%n, + II1 Por el representante del titular, pre;ia acreditaci%n de: a2 *a identidad del titular8 !2 *a identidad del representante, + #2 *a existencia de la representaci%n, mediante instrumento pblico o carta poder !irmada ante dos testigos, o declaraci%n en comparecencia personal del titular. Para el e ercicio de los derec6os AR', de datos personales de menores de edad o de personas que se encuentren en estado de interdicci%n o incapacidad establecida por le+, se estar- a las reglas de representaci%n dispuestas en el '%digo 'i;il .ederal. Me$"o/ a%a el e0e%#"#"o $e lo/ $e%e#Co/
19 de 31

A%t.#ulo <*1 El titular, para el e ercicio de los derec6os AR',, podr- presentar, por s" mismo o a tra;?s de su representante, la solicitud ante el responsable con!orme a los medios establecidos en el a;iso de pri;acidad. Para tal !in, el responsable pondr- a disposici%n del titular, medios remotos o locales de comunicaci%n electr%nica u otros que considere pertinentes. Asimismo, el responsable podr- establecer !ormularios, sistemas + otros m?todos simpli!icados para !acilitar a los titulares el e ercicio de los derec6os AR',, lo cual deber- in!ormarse en el a;iso de pri;acidad. Se%v"#"o/ $e aten#"'n al 9!l"#o A%t.#ulo <)1 'uando el responsable disponga de ser;icios de cualquier "ndole para la atenci%n a su pblico o el e ercicio de reclamaciones relacionadas con el ser;icio prestado o los productos o!ertados, podr- atender las solicitudes para el e ercicio de los derec6os AR', a tra;?s de dic6os ser;icios, siempre + cuando los pla<os no contra;engan los establecidos en el art"culo (4 de la *e+. En tal caso, la identidad del titular se consideraracreditada por los medios establecidos por el responsable para la identi!icaci%n de los titulares en la prestaci%n de sus ser;icios o contrataci%n de sus productos, siempre que a tra;?s de dic6os medios se garantice la identidad del titular. P%o#e$"m"ento/ e/ e#.&"#o/ a%a el e0e%#"#"o $e lo/ $e%e#Co/ ARCO A%t.#ulo <(1 'uando las disposiciones aplicables a determinadas bases de datos o tratamientos estable<can un procedimiento espec"!ico para solicitar el e ercicio de los derec6os AR',, se estar- a lo dispuesto en aqu?llas que o!re<can ma+ores garant"as al titular, + no contra;engan las disposiciones pre;istas en la *e+. Co/to/ A%t.#ulo <41 El e ercicio de los derec6os AR', ser- sencillo + gratuito, debiendo cubrir el titular nicamente los gastos de en;"o, reproducci%n +, en su caso, certi!icaci%n de documentos, sal;o la excepci%n pre;ista en el segundo p-rra!o del art"culo (1 de la *e+. *os costos de reproducci%n no podr-n ser ma+ores a los costos de recuperaci%n del material correspondiente. El responsable no podr- establecer como nica ;"a para la presentaci%n de las solicitudes del e ercicio de los derec6os AR', algn ser;icio o medio con costo. Dom"#"l"o $el t"tula% A%t.#ulo <51 En la solicitud de acceso, para los e!ectos del art"culo 4$, !racci%n & de la *e+, se deber- indicar el domicilio o cualquier otro medio para que sea noti!icada la respuesta. En caso de no cumplir con este requisito, el responsable tendr- por no presentada la solicitud, de ando constancia de ello. Reg"/t%o $e /ol"#"tu$e/ A%t.#ulo <71 El responsable deber- dar tr-mite a toda solicitud para el e ercicio de los derec6os AR',. El pla<o para que se atienda la solicitud empe<ar- a computarse a partir del d"a en que la misma 6a+a sido recibida por el responsable, en cu+o caso ?ste anotar- en el acuse de recibo que entregue al titular la correspondiente !ec6a de recepci%n. El pla<o se7alado se interrumpir- en caso de que el responsable requiera in!ormaci%n al titular, en t?rminos de lo dispuesto por el art"culo siguiente. ReBue%"m"ento $e "n&o%ma#"'n a$"#"onal A%t.#ulo <81 En el caso de que la in!ormaci%n proporcionada en la solicitud sea insu!iciente o err%nea para atenderla, o bien, no se acompa7en los documentos a que 6acen re!erencia los art"culos 4$, !racci%n && + (0 de la *e+, el responsable podr- requerir al titular, por una ;e< + dentro de los cinco d"as siguientes a la recepci%n de la solicitud, que aporte los elementos o documentos necesarios para dar tr-mite a la misma. El titular contar- con die< d"as para atender el requerimiento, contados a partir del d"a siguiente en que lo 6a+a recibido. 5e no dar respuesta en dic6o pla<o, se tendr- por no presentada la solicitud correspondiente. En caso de que el titular atienda el requerimiento de in!ormaci%n, el pla<o para que el responsable d? respuesta a la solicitud empe<ar- a correr al d"a siguiente de que el titular 6a+a atendido el requerimiento. 20 de 31

En caso de que el responsable no requiera al titular documentaci%n adicional para la acreditaci%n de su identidad o de la personalidad de su representante, se entender- por acreditada la misma con la documentaci%n aportada por el titular desde la presentaci%n de su solicitud. Am l"a#"'n $e lo/ laAo/ A%t.#ulo <:. En t?rminos del art"culo (4, segundo p-rra!o de la *e+, en caso de que el responsable determine ampliar el pla<o de respuesta a una solicitud para el e ercicio de los derec6os AR', o aqu?l para 6acer e!ecti;a la respuesta, ?ste deber- noti!icar al solicitante las causas que usti!icaron dic6a ampliaci%n, en cualquiera de los siguientes pla<os: I1 En caso de ampliar los ;einte d"as para comunicar la determinaci%n adoptada sobre la procedencia de la solicitud, la usti!icaci%n de la ampliaci%n deber- noti!icarse dentro del mismo pla<o contado a partir del d"a en que se recibi% la solicitud, o II1 En caso de ampliar los quince d"as para 6acer e!ecti;o el e ercicio del derec6o que corresponda, la usti!icaci%n de la ampliaci%n deber- noti!icarse dentro del mismo pla<o contado a partir del d"a en que se noti!ic% la procedencia de la solicitud. Re/ ue/ta o% a%te $el %e/ on/a!le A%t.#ulo <;1 En todos los casos, el responsable deber- dar respuesta a las solicitudes de derec6os AR', que reciba, con independencia de que !iguren o no datos personales del titular en sus bases de datos, de con!ormidad con los pla<os establecidos en el art"culo (4 de la *e+. *a respuesta al titular deber- re!erirse exclusi;amente a los datos personales que espec"!icamente se 6a+an indicado en la solicitud correspondiente, + deber- presentarse en un !ormato legible + comprensible + de !-cil acceso. En caso de uso de c%digos, siglas o cla;es se deber-n proporcionar los signi!icados correspondientes. A##e/o a lo/ $ato/ e%/onale/ en /"t"o A%t.#ulo <<1 'uando el acceso a los datos personales sea en sitio, el responsable deber- determinar el periodo durante el cual el titular podr- presentarse a consultarlos, mismo que no podr- ser menor a quince d"as. Aranscurrido ese pla<o, sin que el titular 6a+a acudido a tener acceso a sus datos personales, ser- necesaria la presentaci%n de una nue;a solicitud. Negat"va o% a%te $el %e/ on/a!le A%t.#ulo )**1 El responsable que niegue el e ercicio de cualquiera de los derec6os AR', deber- usti!icar su respuesta, as" como in!ormar al titular el derec6o que le asiste para solicitar el inicio del procedimiento de protecci%n de derec6os ante el &nstituto. Se##"'n II Del De%e#Co $e A##e/o 6 /u E0e%#"#"o De%e#Co $e a##e/o A%t.#ulo )*)1 El titular, en t?rminos de lo dispuesto por el art"culo 4( de la *e+, tiene derec6o a obtener del responsable sus datos personales, as" como in!ormaci%n relati;a a las condiciones + generalidades del tratamiento. Me$"o/ a%a el #um l"m"ento $el $e%e#Co $e A##e/o A%t.#ulo )*(1 *a obligaci%n de acceso se dar- por cumplida cuando el responsable ponga a disposici%n del titular los datos personales en sitio, respetando el periodo se7alado en el art"culo $$ del presente Reglamento, o bien, mediante la expedici%n de copias simples, medios magn?ticos, %pticos, sonoros, ;isuales u 6ologr-!icos, o utili<ando otras tecnolog"as de la in!ormaci%n que se 6a+an pre;isto en el a;iso de pri;acidad. En todos los casos, el acceso deber- ser en !ormatos legibles o comprensibles para el titular. 'uando el responsable as" lo considere con;eniente, podr- acordar con el titular medios de reproducci%n de la in!ormaci%n distintos a los in!ormados en el a;iso de pri;acidad. Se##"'n III
21 de 31

Del De%e#Co $e Re#t"&"#a#"'n 6 /u E0e%#"#"o De%e#Co $e %e#t"&"#a#"'n A%t.#ulo )*41 5e con!ormidad con lo dispuesto por el art"culo 4) de la *e+, el titular podr- solicitar en todo momento al responsable que recti!ique sus datos personales que resulten ser inexactos o incompletos. ReBu"/"to/ a%a el e0e%#"#"o $el $e%e#Co $e %e#t"&"#a#"'n A%t.#ulo )*51 *a solicitud de recti!icaci%n deber- indicar a qu? datos personales se re!iere, as" como la correcci%n que 6a+a de reali<arse + deberir acompa7ada de la documentaci%n que ampare la procedencia de lo solicitado. El responsable podr- o!recer mecanismos que !aciliten el e ercicio de este derec6o en bene!icio del titular. Se##"'n IV Del De%e#Co $e Can#ela#"'n 6 /u E0e%#"#"o De%e#Co $e #an#ela#"'n A%t.#ulo )*71 En t?rminos del art"culo 41 de la *e+, la cancelaci%n implica el cese en el tratamiento por parte del responsable, a partir de un bloqueo de los mismos + su posterior supresi%n. E0e%#"#"o $el $e%e#Co $e #an#ela#"'n A%t.#ulo )*81 El titular podr- solicitar en todo momento al responsable la cancelaci%n de los datos personales cuando considere que los mismos no est-n siendo tratados con!orme a los principios + deberes que establece la *e+ + el presente Reglamento. *a cancelaci%n proceder- respecto de la totalidad de los datos personales del titular contenidos en una base de datos, o s%lo parte de ellos, segn lo 6a+a solicitado. DloBueo A%t.#ulo )*:1 5e resultar procedente la cancelaci%n, + sin per uicio de lo establecido en el art"culo (4 de la *e+, el responsable deber-: I1 Establecer un periodo de bloqueo con el nico prop%sito de determinar posibles responsabilidades en relaci%n con su tratamiento 6asta el pla<o de prescripci%n legal o contractual de ?stas, + noti!icarlo al titular o a su representante en la respuesta a la solicitud de cancelaci%n, que se emita dentro del pla<o de ;einte d"as que establece el art"culo (4 de la *e+8 II1 Atender las medidas de seguridad adecuadas para el bloqueo8 III1 *le;ar a cabo el bloqueo en el pla<o de quince d"as que establece el art"culo (4 de la *e+, + IV1 Aranscurrido el periodo de bloqueo, lle;ar a cabo la supresi%n correspondiente, ba o las medidas de seguridad pre;iamente establecidas por el responsable. P%o '/"to/ $el !loBueo A%t.#ulo )*;1 En t?rminos del art"culo (, !racci%n &&& de la *e+, el bloqueo tiene como prop%sito impedir el tratamiento, a excepci%n del almacenamiento, o posible acceso por persona alguna, sal;o que alguna disposici%n legal pre;ea lo contrario. El periodo de bloqueo ser- 6asta el pla<o de prescripci%n legal o contractual correspondiente. Se##"'n V Del De%e#Co $e O o/"#"'n 6 /u E0e%#"#"o De%e#Co $e o o/"#"'n A%t.#ulo )*<1 En t?rminos del art"culo 4D de la *e+, el titular podr-, en todo momento, oponerse al tratamiento de sus datos personales o exigir que se cese en el mismo cuando:
22 de 31

I1 Exista causa leg"tima + su situaci%n espec"!ica as" lo requiera, lo cual debe usti!icar que aun siendo l"cito el tratamiento, el mismo debe cesar para e;itar que su persistencia cause un per uicio al titular, o II1 Requiera mani!estar su oposici%n para el tratamiento de sus datos personales a !in de que no se lle;e a cabo el tratamiento para !ines espec"!icos. No proceder- el e ercicio del derec6o de oposici%n en aquellos casos en los que el tratamiento sea necesario para el cumplimiento de una obligaci%n legal impuesta al responsable. L"/ta$o/ $e e>#lu/"'n A%t.#ulo ))*1 Para el e ercicio del derec6o de oposici%n, los responsables podr-n gestionar listados de exclusi%n propios en los que inclu+an los datos de las personas que 6an mani!estado su negati;a para que trate sus datos personales, +a sea para sus productos o de terceras personas. Asimismo, los responsables podr-n gestionar listados comunes de exclusi%n por sectores o generales. En ambos casos, la inscripci%n del titular a dic6os listados deber- ser gratuita + otorgar al titular una constancia de su inscripci%n al mismo, a tra;?s de los mecanismos que el responsable determine. Reg"/t%o P9!l"#o $e Con/um"$o%e/ 6 Reg"/t%o P9!l"#o $e U/ua%"o/ A%t.#ulo )))1 El Registro Pblico de 'onsumidores pre;isto en la *e+ .ederal de Protecci%n al 'onsumidor + el Registro Pblico de Usuarios pre;isto en la *e+ de Protecci%n + 5e!ensa al Usuario de 9er;icios .inancieros, continuar-n ;igentes + se regir-n de con!ormidad con lo que estable<can las le+es en cita + las disposiciones aplicables que de ellas deri;en. Se##"'n VI De la/ $e#"/"one/ /"n "nte%ven#"'n Cumana valo%at"va T%atam"ento $e $ato/ e%/onale/ en $e#"/"one/ /"n "nte%ven#"'n Cumana valo%at"va A%t.#ulo ))(1 'uando se traten datos personales como parte de un proceso de toma de decisiones sin que inter;enga la ;aloraci%n de una persona !"sica, el responsable deber- in!ormar al titular que esta situaci%n ocurre. Asimismo, el titular podr- e ercer su derec6o de acceso, a !in de conocer los datos personales que se utili<aron como parte de la toma de decisi%n correspondiente +, de ser el caso, el derec6o de recti!icaci%n, cuando considere que alguno de los datos personales utili<ados sea inexacto o incompleto, para que, de acuerdo con los mecanismos que el responsable tenga implementados para tal !in, est? en posibilidad de solicitar la reconsideraci%n de la decisi%n tomada. Ca .tulo VIII Del P%o#e$"m"ento $e P%ote##"'n $e De%e#Co/ In"#"o A%t.#ulo ))41 *a solicitud para iniciar el procedimiento de protecci%n de derec6os deber- presentarse por el titular o su representante8 +a sea mediante escrito libre, en los !ormatos que para tal e!ecto determine el &nstituto o a tra;?s del sistema que ?ste estable<ca, en el pla<o pre;isto en el art"culo )1 de la *e+. Aanto el !ormato como el sistema deber-n ser puestos a disposici%n por el &nstituto en su sitio de &nternet + en cada una de las o!icinas 6abilitadas que ?ste determine. Al promo;er una solicitud de protecci%n de derec6os, el titular o su representante deber-n acreditar su identidad o personalidad respecti;amente, en los t?rminos establecidos en el art"culo #$ del presente Reglamento. En el caso del titular, ?ste tambi?n podr- acreditar su identidad a tra;?s de medios electr%nicos u otros, en t?rminos de lo que pre;ean las disposiciones legales o reglamentarias aplicables. El &nstituto podr- tener por reconocida la identidad del titular o la personalidad del representante cuando la misma +a 6ubiere sido acreditada ante el responsable al e ercer su derec6o AR',. Me$"o/ a%a %e/enta% la /ol"#"tu$ $e %ote##"'n $e $e%e#Co/
23 de 31

A%t.#ulo ))51 *a solicitud de protecci%n de derec6os podr- presentarse en el domicilio del &nstituto, en sus o!icinas 6abilitadas, por correo certi!icado con acuse de recibo o en el sistema al que re!iere el art"culo anterior, en este ltimo caso, siempre que el particular cuente con la certi!icaci%n del medio de identi!icaci%n electr%nica a que se re!iere el art"culo 2$-' de la *e+ .ederal de Procedimiento Administrati;o u otras disposiciones legales aplicables. En todo caso, se entregar- al promo;ente un acuse de recibo en el cual conste de manera !e6aciente la !ec6a de la presentaci%n de la solicitud. 'uando el promo;ente presente su solicitud por medios electr%nicos a tra;?s del sistema que estable<ca el &nstituto, se entender- que acepta que las noti!icaciones le sean e!ectuadas por dic6o sistema o a tra;?s de otros medios electr%nicos generados por ?ste, sal;o que se7ale un medio distinto para e!ectos de las noti!icaciones. 'uando la solicitud sea presentada por el titular o su representante en la o!icina 6abilitada por el &nstituto, ?sta 6ar- constar la acreditaci%n de la identidad o, en su caso, de la personalidad del representante, + podr- en;iar o registrar por medios electr%nicos, tanto la solicitud, como los documentos ex6ibidos. En este caso, la solicitud se tendr- por recibida, para e!ectos del pla<o a que se re!iere el art"culo )D de la *e+, cuando el &nstituto, a tra;?s de ese mismo medio, genere el acuse de recibo correspondiente. *o anterior, sin per uicio de que la o!icina 6abilitada remita al &nstituto por correo certi!icado, la constancia de identidad del titular o el documento de acreditaci%n de la personalidad del representante, as" como la solicitud + los documentos anexos, para su integraci%n al expediente respecti;o. En el caso de que el titular en;"e la solicitud + sus anexos por correo certi!icado, el pla<o a que se re!iere el art"culo )D de la *e+ empe<ar- a contar a partir de la !ec6a que conste en el sello de recepci%n del &nstituto. Cau/ale/ $e %o#e$en#"a A%t.#ulo ))71 El procedimiento de protecci%n de derec6os proceder- cuando exista una incon!ormidad por parte del titular, deri;ada de acciones u omisiones del responsable con moti;o del e ercicio de los derec6os AR', cuando: I1 El titular no 6a+a recibido respuesta por parte del responsable8 II1 El responsable no otorgue acceso a los datos personales solicitados o lo 6aga en un !ormato incomprensible8 III1 El responsable se niegue a e!ectuar las recti!icaciones a los datos personales8 IV1 El titular no est? con!orme con la in!ormaci%n entregada por considerar que es incompleta o no corresponde a la solicitada, o bien, con el costo o modalidad de la reproducci%n8 V1 El responsable se niegue a cancelar los datos personales8 VI1 El responsable persista en el tratamiento a pesar de 6aber procedido la solicitud de oposici%n, o bien, se niegue a atender la solicitud de oposici%n, + VII1 Por otras causas que a uicio del &nstituto sean procedentes con!orme a la *e+ o al presente Reglamento. ReBu"/"to/ $e la /ol"#"tu$ $e %ote##"'n $e $e%e#Co/ A%t.#ulo ))81 El promo;ente, en t?rminos del art"culo )2 de la *e+, deber- ad untar a su solicitud de protecci%n de derec6os la in!ormaci%n + documentos siguientes: I1 'opia de la solicitud del e ercicio de derec6os que corresponda, as" como copia de los documentos anexos para cada una de las partes, de ser el caso8 II1 El documento que acredite que acta por su propio derec6o o en representaci%n del titular8 III1 El documento en que conste la respuesta del responsable, de ser el caso8 IV1 En el supuesto en que impugne la !alta de respuesta del responsable, deber- acompa7ar una copia en la que obre el acuse o constancia de recepci%n de la solicitud del e ercicio de derec6os por parte del responsable8 V1 *as pruebas documentales que o!rece para demostrar sus a!irmaciones8 VI1 El documento en el que se7ale las dem-s pruebas que o!re<ca, en t?rminos del art"culo 00$ del presente Reglamento, + VII1 'ualquier otro documento que considere procedente someter a uicio del &nstituto. 24 de 31

9i el titular no pudiera acreditar que acudi% con el responsable, +a sea porque ?ste se 6ubiere negado a recibir la solicitud de e ercicio de derec6os AR', o a emitir el acuse de recibido, lo 6ar- del conocimiento del &nstituto mediante escrito, + ?ste le dar- ;ista al responsable para que mani!ieste lo que a su derec6o con;enga, a !in de garanti<ar al titular el e ercicio de sus derec6os AR',. A#ue%$o $e a$m"/"'n A%t.#ulo )):1 En su caso, el &nstituto deber- acordar la admisi%n de la solicitud de protecci%n de derec6os en un pla<o no ma+or a die< d"as a partir de su recepci%n. Acordada la admisi%n, el &nstituto noti!icar- la misma al promo;ente + correr- traslado al responsable, en un pla<o no ma+or a die< d"as, anexando copia de todos los documentos que el titular 6ubiere aportado, a e!ecto de que mani!ieste lo que a su derec6o con;enga en un pla<o de quince d"as a partir de la noti!icaci%n, debiendo o!recer las pruebas que considere pertinentes. A$m"/"'n o $e/e#Cam"ento $e la/ %ue!a/ A%t.#ulo ));1 El &nstituto dictar- un acuerdo de admisi%n o desec6amiento de las pruebas, + de ser necesario ?stas ser-n desa6ogadas en una audiencia, de la cual se noti!icar- el lugar o medio, la !ec6a + 6ora a las partes. O&%e#"m"ento $e %ue!a/ A%t.#ulo ))<1 *os medios de prueba que podr-n o!recerse son los siguientes: I1 *a documental pblica8 II1 *a documental pri;ada8 III1 *a inspecci%n, siempre + cuando se realice a tra;?s de la autoridad competente8 IV1 *a presuncional, en su doble aspecto, legal + 6umana8 V1 *a pericial8 VI1 *a testimonial, + VII1 *as !otogra!"as, p-ginas electr%nicas, escritos + dem-s elementos aportados por la ciencia + tecnolog"a. En caso de que se o!re<ca prueba pericial o testimonial, se precisar-n los 6ec6os sobre los que deban ;ersar + se se7alar-n los nombres + domicilios del perito o de los testigos, ex6ibi?ndose el cuestionario o el interrogatorio respecti;o en preparaci%n de las mismas. 9in estos se7alamientos se tendr-n por no o!recidas dic6as pruebas. Con#"l"a#"'n A%t.#ulo )(*1 Admitida la solicitud + sin per uicio de lo dispuesto por el art"culo 1) de la *e+, el &nstituto promo;er- la conciliaci%n entre las partes, de con!ormidad con el siguiente procedimiento: I1 En el acuerdo de admisi%n de la solicitud de protecci%n de derec6os, el &nstituto requerir- a las partes que mani!iesten, por cualquier medio, su ;oluntad de conciliar, en un pla<o no ma+or a die< d"as, contados a partir de la noti!icaci%n de dic6o acuerdo, mismo que contendr- un resumen de la solicitud de protecci%n de datos personales + de la respuesta del responsable si la 6ubiere, se7alando los elementos comunes + los puntos de contro;ersia. *a conciliaci%n podr- celebrarse presencialmente, por medios remotos o locales de comunicaci%n electr%nica o por cualquier otro medio que determine el &nstituto. En cualquier caso, la conciliaci%n 6abr- de 6acerse constar por el medio que permita acreditar su existencia. Hueda exceptuado de la etapa de conciliaci%n, cuando el titular sea menor de edad + se 6a+a ;ulnerado alguno de los derec6os contemplados en la *e+ para la Protecci%n de los 5erec6os de Ni7as, Ni7os + Adolescentes, ;inculados con la *e+ + el presente Reglamento, sal;o que cuente con representaci%n legal debidamente acreditada8 II1 Aceptada la posibilidad de conciliar por las partes, el &nstituto se7alar- el lugar o medio, d"a + 6ora para la celebraci%n de una audiencia de conciliaci%n, la cual deber- reali<arse dentro de los ;einte d"as siguientes en que el &nstituto 6a+a recibido la mani!estaci%n de la ;oluntad de conciliar de las partes, en la que se procurar- a;enir los intereses entre el titular + el responsable. 25 de 31

El conciliador podr-, en todo momento en la etapa de conciliaci%n, requerir a las partes que presenten en un pla<o m-ximo de cinco d"as, los elementos de con;icci%n que estime necesarios para la conciliaci%n. El conciliador podr- suspender cuando lo estime pertinente o a instancia de ambas partes la audiencia de conciliaci%n 6asta en dos ocasiones. En caso de que se suspenda la audiencia, el conciliador se7alar- d"a + 6ora para su reanudaci%n. 5e toda audiencia de conciliaci%n se le;antar- el acta respecti;a, en la que conste el resultado de la misma. En caso de que el responsable o el titular o sus respecti;os representantes no !irmen el acta, ello no a!ectar- su ;alide<, debi?ndose 6acer constar dic6a negati;a8 III1 9i alguna de las partes no acude a la audiencia de conciliaci%n + usti!ica su ausencia en un pla<o de tres d"as, ser- con;ocado a una segunda audiencia de conciliaci%n8 en caso de que no acuda a esta ltima, se continuar- con el procedimiento de protecci%n de derec6os. 'uando alguna de las partes no acuda a la audiencia de conciliaci%n sin usti!icaci%n alguna, se continuar- con el procedimiento8 IV1 5e no existir acuerdo en la audiencia de conciliaci%n, se continuar- con el procedimiento de protecci%n de derec6os8 V1 En caso de que en la audiencia se logre la conciliaci%n, el acuerdo deber- constar por escrito + tendr- e!ectos ;inculantes + se7alar-, en su caso, el pla<o de su cumplimiento, + VI1 El cumplimiento del acuerdo dar- por concluido el procedimiento de protecci%n de derec6os, en caso contrario, el &nstituto reanudar- el procedimiento. El pla<o al que se re!iere el art"culo )D de la *e+ ser- suspendido durante el periodo de cumplimiento del acuerdo de conciliaci%n. El procedimiento establecido en el presente art"culo no obsta para que, en t?rminos del art"culo 1) de la *e+, el &nstituto pueda buscar la conciliaci%n en cualquier momento del procedimiento de protecci%n de derec6os. Au$"en#"a A%t.#ulo )()1 Para los e!ectos del penltimo p-rra!o del art"culo )1 de la *e+, el &nstituto determinar-, en su caso, el lugar o medio, !ec6a + 6ora para la celebraci%n de la audiencia, la cual podr- posponerse s%lo por causa usti!icada. En dic6a audiencia se desa6ogar-n las pruebas que por su naturale<a as" lo requieran + se le;antar- el acta correspondiente. P%e/enta#"'n $e alegato/ A%t.#ulo )((1 5ictado el acuerdo que tenga por desa6ogadas todas las pruebas, se pondr-n las actuaciones a disposici%n de las partes, para que ?stos, en caso de quererlo, !ormulen alegatos en un pla<o de cinco d"as, contados a partir de la noti!icaci%n del acuerdo a que se re!iere este art"culo. Al t?rmino de dic6o pla<o, se cerrar- la instrucci%n + el &nstituto emitir- su resoluci%n en el pla<o establecido en el art"culo )D de la *e+. Te%#e%o "nte%e/a$o A%t.#ulo )(41 En caso de que no se 6a+a se7alado tercero interesado, ?ste podr- apersonarse en el procedimiento mediante escrito en el que acredite inter?s ur"dico para inter;enir en el asunto, 6asta antes del cierre de instrucci%n. 5eber- ad untar a su escrito el documento en el que se acredite su personalidad cuando no acte en nombre propio + las pruebas documentales que o!re<ca. Falta $e %e/ ue/ta A%t.#ulo )(51 En caso de que el procedimiento se inicie por !alta de respuesta del responsable a una solicitud de e ercicio de los derec6os AR',, el &nstituto correr- traslado al responsable para que, en su caso, acredite 6aber dado respuesta a la misma, o bien, a !alta de ?sta, emita la respuesta correspondiente + la noti!ique al titular con copia al &nstituto, en un pla<o de die< d"as contados a partir de la noti!icaci%n. En caso de que el responsable acredite 6aber dado respuesta a la solicitud de e ercicio de derec6os en tiempo + !orma, + 6aberla noti!icado al titular o su representante, el procedimiento de protecci%n de derec6os ser- sobrese"do por quedar sin materia, de con!ormidad con lo pre;isto en el art"culo 1(, !racci%n &B de la *e+. 26 de 31

'uando el responsable acredite 6aber dado respuesta a la solicitud de e ercicio de derec6os en tiempo + !orma, + la solicitud de protecci%n de derec6os no 6a+a sido presentada por el titular en el pla<o que establece la *e+ + el presente Reglamento, el procedimiento de protecci%n de derec6os se sobreseer- por extempor-neo, de con!ormidad con lo pre;isto en el art"culo 1(, !racci%n &&& de la *e+, en relaci%n con el art"culo 14, !racci%n B del mismo ordenamiento. En caso de que la respuesta sea emitida por el responsable durante el procedimiento de protecci%n de derec6os o 6ubiere sido emitida !uera del pla<o establecido por el art"culo (4 de la *e+, el responsable noti!icar- dic6a respuesta al &nstituto + al titular, para que este ltimo, en un pla<o de quince d"as contados a partir de la noti!icaci%n, mani!ieste lo que a su derec6o con;enga, a e!ecto de continuar el curso del procedimiento. 9i el titular mani!iesta su con!ormidad con la respuesta, el procedimiento ser- sobrese"do por quedar sin materia. 'uando el responsable no atienda el requerimiento al que re!iere el primer p-rra!o del presente art"culo, el &nstituto resol;er- con!orme a los elementos que consten en el expediente. Re/olu#"one/ A%t.#ulo )(71 *as resoluciones del &nstituto deber-n cumplirse en el pla<o + t?rminos que las mismas se7alen, + podr-n instruir el inicio de otros procedimientos pre;istos en la *e+. Me$"o/ $e "m ugna#"'n A%t.#ulo )(81 'ontra la resoluci%n al procedimiento de protecci%n de derec6os procede el uicio de nulidad ante el Aribunal .ederal de Iusticia .iscal + Administrati;a. Re#on$u##"'n $el %o#e$"m"ento A%t.#ulo )(:1 En caso de que la solicitud de protecci%n de derec6os no actualice alguna de las causales de procedencia pre;istas en el art"culo 001 del presente Reglamento, sino que re!iera al procedimiento de ;eri!icaci%n contenido en el 'ap"tulo &/ de este Reglamento, ?sta se turnar- a la unidad administrati;a competente, en un pla<o no ma+or a die< d"as, contados a partir del d"a en que se recibi% la solicitud. Ca .tulo IX Del P%o#e$"m"ento $e Ve%"&"#a#"'n In"#"o A%t.#ulo )(;1 El &nstituto, con el ob eto de comprobar el cumplimiento de las disposiciones pre;istas en la *e+ o en la regulaci%n que de ella deri;e, podr- iniciar el procedimiento de ;eri!icaci%n, requiriendo al responsable la documentaci%n necesaria o reali<ando las ;isitas en el establecimiento en donde se encuentren las bases de datos respecti;as. Cau/ale/ $e %o#e$en#"a A%t.#ulo )(<1 El procedimiento de ;eri!icaci%n se iniciar- de o!icio o a petici%n de parte, por instrucci%n del Pleno del &nstituto. 'ualquier persona podr- denunciar ante el &nstituto las presuntas ;iolaciones a las disposiciones pre;istas en la *e+ + dem-s ordenamientos aplicables, siempre que no se ubiquen en los supuestos de procedencia del procedimiento de protecci%n de derec6os. En este caso, el Pleno determinar-, de manera !undada + moti;ada, la procedencia de iniciar la ;eri!icaci%n correspondiente. Fe 9!l"#a A%t.#ulo )4*1 En el e ercicio de las !unciones de ;eri!icaci%n, el personal del &nstituto estar- dotado de !e pblica para constatar la ;eracidad de los 6ec6os en relaci%n con los tr-mites a su cargo. ReBu"/"to/ $e la $enun#"a A%t.#ulo )4)1 *a denuncia deber- indicar lo siguiente: I1 Nombre del denunciante + el domicilio o el medio para recibir noti!icaciones, en su caso8
27 de 31

II1 Relaci%n de los 6ec6os en los que basa su denuncia + los elementos con los que cuente para probar su dic6o, + III1 Nombre + domicilio del denunciado o, en su caso, datos para su ubicaci%n. *a denuncia podr- presentarse en los mismos medios establecidos para el procedimiento de protecci%n de derec6os. 'uando la denuncia se presente por medios electr%nicos a tra;?s del sistema que estable<ca el &nstituto, se entender- que se acepta que las noti!icaciones sean e!ectuadas por dic6o sistema o a tra;?s de otros medios electr%nicos generados por ?ste, sal;o que se se7ale un medio distinto para e!ectos de las mismas. 'uando las actuaciones se lle;en a cabo como consecuencia de una denuncia, el &nstituto acusar- recibo de la misma, pudiendo solicitar la documentaci%n que estime oportuna para el desarrollo del procedimiento. De/a%%ollo $e la ve%"&"#a#"'n A%t.#ulo )4(1 El procedimiento de ;eri!icaci%n tendr- una duraci%n m-xima de ciento oc6enta d"as, este pla<o comen<ar- a contar a partir de la !ec6a en que el Pleno 6ubiera dictado el acuerdo de inicio + concluir- con la determinaci%n del mismo, el cual no exceder- de ciento oc6enta d"as. El Pleno del &nstituto podr- ampliar por una ;e< + 6asta por un periodo igual este pla<o. El &nstituto podr- reali<ar di;ersas ;isitas de ;eri!icaciones para allegarse de los elementos de con;icci%n necesarios, las cuales se desarrollar-n en un pla<o m-ximo de die< d"as cada una. Este pla<o deber- ser noti!icado al responsable o encargado +, en su caso, al denunciante. V"/"ta/ $e ve%"&"#a#"'n A%t.#ulo )441 El personal del &nstituto que lle;e a cabo las ;isitas de ;eri!icaci%n deber- estar pro;isto de orden escrita !undada + moti;ada con !irma aut%gra!a de la autoridad competente del &nstituto, en la que deber- precisarse el lugar en donde se encuentra el establecimiento del responsable, o bien en donde se encuentren las bases de datos ob eto de la ;eri!icaci%n, el ob eto de la ;isita, el alcance que deba tener la misma + las disposiciones legales que lo !undamenten. I$ent"&"#a#"'n $el e%/onal ve%"&"#a$o% A%t.#ulo )451 Al iniciar la ;isita, el personal ;eri!icador deber- ex6ibir credencial ;igente con !otogra!"a, expedida por el &nstituto que lo acredite para desempe7ar dic6a !unci%n, as" como la orden escrita !undada + moti;ada a la que se re!iere el art"culo anterior, de la que deber- de ar copia con quien se entendi% la ;isita. A#ta $e ve%"&"#a#"'n A%t.#ulo )471 *as ;isitas de ;eri!icaci%n concluir-n con el le;antamiento del acta correspondiente, en la que quedar- constancia de las actuaciones practicadas durante la ;isita o ;isitas de ;eri!icaci%n. 5ic6a acta se le;antaren presencia de dos testigos propuestos por la persona con quien se 6ubiera entendido la diligencia o por quien la practique si aqu?lla se 6ubiera negado a proponerlos. El acta que se emita por duplicado ser- !irmada por el personal ;eri!icador actuante + por el responsable, encargado o con quien se 6a+a entendido la actuaci%n, quien podr- mani!estar lo que a su derec6o con;enga. En caso de que el ;eri!icado se niegue a !irmar el acta, se 6ar- constar expresamente esta circunstancia en la misma. 5ic6a negati;a no a!ectar- la ;alide< de las actuaciones o de la propia acta. *a !irma del ;eri!icado no supondr- su con!ormidad, sino tan s%lo la recepci%n de la misma. 9e entregar- al ;eri!icado uno de los originales del acta de ;eri!icaci%n, incorpor-ndose el otro a las actuaciones. Conten"$o $e la/ a#ta/ $e ve%"&"#a#"'n A%t.#ulo )481 En las actas de ;eri!icaci%n se 6ar- constar: I1 Nombre, denominaci%n o ra<%n social del ;eri!icado8 28 de 31

II1 Fora, d"a, mes + a7o en que se inicie + conclu+a la ;eri!icaci%n8 III1 *os datos que identi!iquen plenamente el domicilio, tales como calle, nmero, poblaci%n o colonia, municipio o delegaci%n, c%digo postal + entidad !ederati;a en que se encuentre ubicado el lugar en que se practique la ;eri!icaci%n, as" como nmero tele!%nico u otra !orma de comunicaci%n disponible con el ;eri!icado8 IV1 Nmero + !ec6a del o!icio de comisi%n que la moti;%8 V1 Nombre + cargo de la persona con quien se entendi% la ;eri!icaci%n8 VI1 Nombre + domicilio de las personas que !ungieron como testigos8 VII1 5atos relati;os a la actuaci%n8 VIII1 5eclaraci%n del ;eri!icado, si quisiera 6acerla, + IX1 Nombre + !irma de quienes inter;inieron en la ;eri!icaci%n, inclu+endo los de quienes la 6ubieran lle;ado a cabo. 9i se negara a !irmar el ;eri!icado, su representante legal o la persona con quien se entendi% la ;eri!icaci%n, ello no a!ectar- la ;alide< del acta, debiendo el personal ;eri!icador asentar la ra<%n relati;a. *os ;eri!icados a quienes se 6a+a le;antado acta de ;eri!icaci%n, podr-n !ormular obser;aciones en el acto de la ;eri!icaci%n + mani!estar lo que a su derec6o con;enga en relaci%n a los 6ec6os contenidos en ella, o bien, por escrito dentro del t?rmino de los cinco d"as siguientes a la !ec6a en que se 6ubiere le;antado. Re/olu#"'n A%t.#ulo )4:1 El procedimiento de ;eri!icaci%n concluir- con la resoluci%n que emita el Pleno del &nstituto, en la cual, en su caso, se establecer-n las medidas que deber- adoptar el responsable en el pla<o que la misma estable<ca. *a resoluci%n del Pleno podr- instruir el inicio del procedimiento de imposici%n de sanciones o establecer un pla<o para su inicio, el cual se lle;ar- a cabo con!orme a lo dispuesto por la *e+ + el presente Reglamento. *a determinaci%n del Pleno ser- noti!icada al ;eri!icado + al denunciante. Me$"o/ $e "m ugna#"'n A%t.#ulo )4;1 En contra de la resoluci%n al procedimiento de ;eri!icaci%n, se podr- interponer el uicio de nulidad ante el Aribunal .ederal de Iusticia .iscal + Administrati;a. Re#on$u##"'n $el %o#e$"m"ento A%t.#ulo )4<1 En caso de que la denuncia presentada no re!iera al procedimiento pre;isto en el presente cap"tulo, sino que actualice alguna de las causales de procedencia del procedimiento de protecci%n de derec6os, contenidas en el art"culo 001 del presente Reglamento, ?sta se turnar- a la unidad administrati;a competente, en un pla<o no ma+or a die< d"as, contados a partir del d"a en que se recibi% la solicitud. Ca .tulo X Del P%o#e$"m"ento $e Im o/"#"'n $e San#"one/ In"#"o A%t.#ulo )5*1 Para e!ectos del art"culo 20 de la *e+, el &nstituto iniciar- el procedimiento de imposici%n de sanciones cuando de los procedimientos de protecci%n de derec6os o de ;eri!icaci%n, se determinen presuntas in!racciones a la *e+ susceptibles de ser sancionadas con!orme al art"culo 2) de la misma. 5esa6ogado el procedimiento respecti;o, se emitir- la resoluci%n correspondiente. El procedimiento iniciar- con la noti!icaci%n que se 6aga al presunto in!ractor, en el domicilio que el &nstituto tenga registrado, deri;ado de los procedimientos de protecci%n de derec6os o de ;eri!icaci%n. *a noti!icaci%n ir- acompa7ada de un in!orme que describa los 6ec6os constituti;os de la presunta in!racci%n, empla<ando al presunto in!ractor para que en un t?rmino de quince d"as, contados a partir de que surta e!ectos la noti!icaci%n, mani!ieste lo que a su derec6o con;enga + rinda las pruebas que estime con;enientes. O&%e#"m"ento 6 $e/aCogo $e %ue!a/ 29 de 31

A%t.#ulo )5)1 El presunto in!ractor en su contestaci%n se mani!estar- concretamente respecto de cada uno de los 6ec6os que se le imputen de manera expresa, a!irm-ndolos, neg-ndolos, se7alando que los ignora por no ser propios o exponiendo c%mo ocurrieron, segn sea el caso8 + presentar- los argumentos por medio de los cuales des;irte la in!racci%n que se presume + las pruebas correspondientes. En caso de que se o!re<ca prueba pericial o testimonial, se precisar-n los 6ec6os sobre los que deban ;ersar + se se7alar-n los nombres + domicilios del perito o de los testigos, ex6ibi?ndose el cuestionario o el interrogatorio respecti;o en preparaci%n de las mismas. 9in estos se7alamientos se tendr-n por no o!recidas dic6as pruebas. A$m"/"'n o $e/e#Cam"ento $e la/ %ue!a/ A%t.#ulo )5(1 Al o!recimiento de pruebas del presunto in!ractor, deber- recaer un acuerdo de admisi%n o desec6amiento de las mismas, + se proceder- a su desa6ogo. 5e ser necesario, se determinar- lugar, !ec6a + 6ora para el desa6ogo de pruebas, que por su naturale<a as" lo requieran. 9e le;antar- un acta de la celebraci%n de la audiencia + del desa6ogo de las pruebas. C"e%%e $e "n/t%u##"'n 6 %e/olu#"'n A%t.#ulo )541 5esa6ogadas, en su caso, las pruebas, se noti!icar- al presunto in!ractor que cuenta con cinco d"as para presentar alegatos, contados a partir del d"a siguiente de que surta e!ectos la noti!icaci%n. Al t?rmino de dic6o pla<o se cerrar- la instrucci%n + la resoluci%n del &nstituto deber- emitirse en un pla<o no ma+or de cincuenta d"as, siguientes a los que inici% el procedimiento. 'uando 6a+a causa usti!icada, el Pleno del &nstituto podr- ampliar por una ;e< + 6asta por un per"odo igual el pla<o de cincuenta d"as al que re!iere el p-rra!o anterior. Me$"o/ $e "m ugna#"'n A%t.#ulo )551 En contra de la resoluci%n al procedimiento de imposici%n de sanciones procede el uicio de nulidad ante el Aribunal .ederal de Iusticia .iscal + Administrati;a. TRANSITORIOS PRIMERO. El presente Reglamento entrar- en ;igor al d"a siguiente al de su publicaci%n en el 5iario ,!icial de la .ederaci%n. SEGUNDO. 'ualquier tratamiento regulado por la *e+ + el presente Reglamento que se realice con posterioridad a la !ec6a de entrada en ;igor de la *e+, deber- a ustarse a las disposiciones pre;istas en dic6os ordenamientos, con independencia de que los datos personales 6a+an sido obtenidos o la base de datos correspondiente 6a+a sido con!ormada o creada con anterioridad a la entrada en ;igor de la *e+. No sernecesario recabar el consentimiento de los titulares de los datos personales obtenidos con anterioridad a la entrada en ;igor de la *e+, siempre + cuando se cumpla con lo dispuesto por el siguiente p-rra!o. *os responsables que 6a+an recabado datos personales antes de la entrada en ;igor de la *e+ + que continen dando tratamiento a los mismos, deber-n poner a disposici%n de los titulares el a;iso de pri;acidad o, en su caso, aplicar cualquiera de las medidas compensatorias, segn se requiera, de con!ormidad con lo dispuesto por los art"culos 0# de la *e+ + (4, ((, () + (1 del presente Reglamento. El titular tiene a sal;o el e ercicio de sus derec6os AR', con relaci%n a los tratamientos que se in!ormen en el a;iso de pri;acidad, o la medida compensatoria que corresponda. TERCERO. *os criterios generales para el uso de las medidas compensatorias a las que se re!iere el art"culo (4 del presente Reglamento, ser-n publicadas por el &nstituto a m-s tardar a los tres meses a partir de la entrada en ;igor de este Reglamento. CUARTO. El responsable deberobser;ar lo dispuesto en el 'ap"tulo &&& del presente Reglamento a m-s tardar a los diecioc6o meses siguientes de la entrada en ;igor del mismo. EUINTO. *a 9ecretar"a, en coad+u;ancia con el &nstituto, emitir- los par-metros a que se re!ieren los art"culos #4, #(, #), #1 + #2 de este Reglamento, dentro de los seis meses siguientes a su entrada en ;igor.
30 de 31

5ado en la Residencia del Poder E ecuti;o .ederal, en la 'iudad de M?xico, 5istrito .ederal, a diecinue;e de diciembre de dos mil once.- Fel" e $e +e/9/ Cal$e%'n -"no0o/a.- Rbrica.- El 9ecretario de Econom"a, D%uno F%an#"/#o Fe%%a%" Ga%#.a $e Al!a.- Rbrica.
31 de 31

Ley de Protección de Datos

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Ley de Protección de Datos

Cargado por

Copyright:

Formatos disponibles

REGLAMENTO DE LA LEY FEDERAL DE PROTECCIN DE DATOS PERSONALES EN POSESIN DE LOS PARTICULARES

CMARA DE DIPUTADOS DEL H. CONGRESO DE LA UNIN

Nuevo Reglamento DOF 21-12-2011

REGLAMENTO DE LA LEY FEDERAL DE PROTECCIN DE DATOS PERSONALES EN POSESIN DE LOS PARTICULARES

REGLAMENTO DE LA LEY FEDERAL DE PROTECCIN DE DATOS PERSONALES EN POSESIN DE LOS PARTICULARES

CMARA DE DIPUTADOS DEL H. CONGRESO DE LA UNIN

Nuevo Reglamento DOF 21-12-2011

REGLAMENTO DE LA LEY FEDERAL DE PROTECCIN DE DATOS PERSONALES EN POSESIN DE LOS PARTICULARES

CMARA DE DIPUTADOS DEL H. CONGRESO DE LA UNIN

Nuevo Reglamento DOF 21-12-2011

REGLAMENTO DE LA LEY FEDERAL DE PROTECCIN DE DATOS PERSONALES EN POSESIN DE LOS PARTICULARES

CMARA DE DIPUTADOS DEL H. CONGRESO DE LA UNIN

Nuevo Reglamento DOF 21-12-2011

REGLAMENTO DE LA LEY FEDERAL DE PROTECCIN DE DATOS PERSONALES EN POSESIN DE LOS PARTICULARES

CMARA DE DIPUTADOS DEL H. CONGRESO DE LA UNIN

Nuevo Reglamento DOF 21-12-2011

REGLAMENTO DE LA LEY FEDERAL DE PROTECCIN DE DATOS PERSONALES EN POSESIN DE LOS PARTICULARES

CMARA DE DIPUTADOS DEL H. CONGRESO DE LA UNIN

Nuevo Reglamento DOF 21-12-2011

REGLAMENTO DE LA LEY FEDERAL DE PROTECCIN DE DATOS PERSONALES EN POSESIN DE LOS PARTICULARES

CMARA DE DIPUTADOS DEL H. CONGRESO DE LA UNIN

Nuevo Reglamento DOF 21-12-2011

REGLAMENTO DE LA LEY FEDERAL DE PROTECCIN DE DATOS PERSONALES EN POSESIN DE LOS PARTICULARES

CMARA DE DIPUTADOS DEL H. CONGRESO DE LA UNIN

Nuevo Reglamento DOF 21-12-2011

REGLAMENTO DE LA LEY FEDERAL DE PROTECCIN DE DATOS PERSONALES EN POSESIN DE LOS PARTICULARES

CMARA DE DIPUTADOS DEL H. CONGRESO DE LA UNIN

Nuevo Reglamento DOF 21-12-2011

REGLAMENTO DE LA LEY FEDERAL DE PROTECCIN DE DATOS PERSONALES EN POSESIN DE LOS PARTICULARES

CMARA DE DIPUTADOS DEL H. CONGRESO DE LA UNIN

Nuevo Reglamento DOF 21-12-2011

REGLAMENTO DE LA LEY FEDERAL DE PROTECCIN DE DATOS PERSONALES EN POSESIN DE LOS PARTICULARES

CMARA DE DIPUTADOS DEL H. CONGRESO DE LA UNIN

Nuevo Reglamento DOF 21-12-2011

REGLAMENTO DE LA LEY FEDERAL DE PROTECCIN DE DATOS PERSONALES EN POSESIN DE LOS PARTICULARES

CMARA DE DIPUTADOS DEL H. CONGRESO DE LA UNIN

Nuevo Reglamento DOF 21-12-2011

REGLAMENTO DE LA LEY FEDERAL DE PROTECCIN DE DATOS PERSONALES EN POSESIN DE LOS PARTICULARES

CMARA DE DIPUTADOS DEL H. CONGRESO DE LA UNIN

Nuevo Reglamento DOF 21-12-2011

REGLAMENTO DE LA LEY FEDERAL DE PROTECCIN DE DATOS PERSONALES EN POSESIN DE LOS PARTICULARES

CMARA DE DIPUTADOS DEL H. CONGRESO DE LA UNIN

Nuevo Reglamento DOF 21-12-2011

REGLAMENTO DE LA LEY FEDERAL DE PROTECCIN DE DATOS PERSONALES EN POSESIN DE LOS PARTICULARES

CMARA DE DIPUTADOS DEL H. CONGRESO DE LA UNIN

Nuevo Reglamento DOF 21-12-2011

REGLAMENTO DE LA LEY FEDERAL DE PROTECCIN DE DATOS PERSONALES EN POSESIN DE LOS PARTICULARES

CMARA DE DIPUTADOS DEL H. CONGRESO DE LA UNIN

Nuevo Reglamento DOF 21-12-2011

REGLAMENTO DE LA LEY FEDERAL DE PROTECCIN DE DATOS PERSONALES EN POSESIN DE LOS PARTICULARES

CMARA DE DIPUTADOS DEL H. CONGRESO DE LA UNIN

Nuevo Reglamento DOF 21-12-2011

REGLAMENTO DE LA LEY FEDERAL DE PROTECCIN DE DATOS PERSONALES EN POSESIN DE LOS PARTICULARES

CMARA DE DIPUTADOS DEL H. CONGRESO DE LA UNIN

Nuevo Reglamento DOF 21-12-2011

REGLAMENTO DE LA LEY FEDERAL DE PROTECCIN DE DATOS PERSONALES EN POSESIN DE LOS PARTICULARES

CMARA DE DIPUTADOS DEL H. CONGRESO DE LA UNIN

Nuevo Reglamento DOF 21-12-2011

REGLAMENTO DE LA LEY FEDERAL DE PROTECCIN DE DATOS PERSONALES EN POSESIN DE LOS PARTICULARES

CMARA DE DIPUTADOS DEL H. CONGRESO DE LA UNIN

Nuevo Reglamento DOF 21-12-2011

REGLAMENTO DE LA LEY FEDERAL DE PROTECCIN DE DATOS PERSONALES EN POSESIN DE LOS PARTICULARES

CMARA DE DIPUTADOS DEL H. CONGRESO DE LA UNIN