Tema 3

La protección de datos: fundamentos,
obligaciones de registros y medidas de

seguridad
[3.1] ¿Cómo estudiar este tema?
[3.2] Generalidades sobre protección de datos
[3.3] Las definiciones y términos necesarios
[3.4] Los principios de la protección de datos
[3.5] Los derechos de las personas
3
TEMA
Aspectos legales y regulatorios
Esquema
TEMA 3 – Esquema © Universidad Internacional de La Rioja, S. A. (UNIR)

Ideas clave
3.1. ¿Cómo estudiar este tema?
La protección de datos personales es un tema en pleno apogeo en el país desde la

publicación en 2010 de la Ley Federal de Protección de Datos Personales en
Posesión de los Particulares (LFPDPPP), la publicación en 2017 de la Ley
General de Protección de Datos Personales en Posesión de Sujetos
Obligados (LGPDPPSO), así como la aplicación mundial en el año 2018 de El
Reglamento General de Protección de Datos (UE) 2016/679 (GDPR), sin
embargo debemos entender que es un tema ya con cierta antigüedad y experiencia.
Antes que la LFPDPPP ya había protección de los datos personales a través de las
disposiciones de PROFECO y CONDUSEF, mismas que hablan de lo siguiente:
REPEP (PROFECO) – El Registro Público Para Evitar la Publicidad es un

instrumento que se creó entre 2004 y 2007 (considerando desde la base legal hasta
su implementación) para proteger a los consumidores de los contactos molestos de
empresas de turismo, telecomunicaciones y servicios en general, mismos que
abusaban de la obtención de datos personales a través de diversos acuerdos solo
para hacer campañas de publicidad.
A partir de su creación, el REPEP ha fungido como un medio de protección para los

consumidores y ha obligado a todas las empresas que hagan campañas de publicidad
por teléfono o por correspondencia a tener la lista de las personas que no desean
recibir publicidad para evitar ser sancionados.
Estas listas blancas de personas registradas en el REPEP se tienen que adquirir por
parte de las empresas dependiendo del sitio o sitios donde realizarán campañas. Por
ejemplo, si la campaña será en Guadalajara y Monterrey, la empresa deberá adquirir
ambas bases de datos para que no se haga campaña a quienes no lo deseen, de lo
contrario puede haber sanciones económicas y hasta de clausura.
» REUS (CONDUSEF) - El Registro Público de Usuarios que no deseen

información publicitaria de Productos y Servicios Financieros fue creado
con la base de proteger los derechos de los clientes de cualquier sector de los
servicios financieros, evitando que estos fueran contactados vía telefónica o postal
por bancos o empresas del sector que no fueran ya proveedores del cliente.
TEMA 3 – Ideas clave © Universidad Internacional de La Rioja, S. A. (UNIR)
Este registro también es público y gratuito como el REPEP, buscando que todas las
personas que lo deseen se inscriban y sus derechos se vean protegidos en este caso
por la CONDUSEF, quien de igual manera le pide a las instituciones financieras que
adquieran la base de datos de personas que no desean ser molestadas y así eviten ser
sancionados por la autoridad.
Como podemos ver, la protección de datos personales se da desde mucho antes de la

LFPDPPP (incluso podríamos hablar de la legislación referente a espionaje o
comunicaciones), pero para fines prácticos de este módulo, nos enfocaremos en esta ley
al ser la más completa (no solo a nivel México, sino a nivel global) y la que más
requerimientos legales tiene. Adicional a esto, hacemos énfasis en que estas
obligaciones aplican para empresas y personas que traten información (salvo un par de
excepciones), por lo que llamaremos a estos «obligados».
Para ello, debemos empezar con definir los datos personales como toda aquella
información que nos de referencia sobre un individuo como un nombre, un número de
empleado, un correo electrónico, un dato de salud y hasta tu estado civil. Es decir, todos
los datos personales de empleados, clientes, proveedores, visitantes, prospectos o, en
general, de cualquier persona que estén en posesión de los obligados son parte de los
elementos que deben protegerse.
Posterior a definir qué es un dato personal, podemos hablar de los procesos que tratan
los datos personales, mismos que siempre tienen una finalidad, misma que debe ser
legal, clara, específica y relativa a los datos personales pedidos para ella. Un ejemplo
sería que, si una empresa tiene como finalidad dar a sus clientes una tarjeta de
fidelidad, puede pedir datos como nombre, dirección o teléfono, pero no puede pedir
información como su estado civil pues no es necesario tenerlo para crear dicha tarjeta.
Por último, tenemos todo aquello que envuelve a los datos personales y genera un
entorno de protección para los mismos. Todo esto se compone de políticas,
capacitación, sensibilización a la organización, medidas de seguridad legales, técnicas y
administrativas, formando un entorno medible y requerido por la propia ley, para
garantizar lo mayormente posible la salvaguarda de los datos personales para todos
aquellos que decidieron compartirlos con nosotros.
Todos los temas anteriores, los veremos más a detalle en cada uno de los subtemas,
siempre recordando que en materia de privacidad cada ente obligado, debe crear su

propio marco de protección y que no existe un modelo a implementar que ya exista,

pues los mecanismos de cumplimiento deben ser un traje a la medida de cada
organización.
No está demás señalar que múltiples han sido las sanciones impuestas por la
autoridad a aquellas instituciones que incumplen con sus deberes de salvaguarda de los
datos personales, por lo que debemos evitar cualquier incumplimiento que afecte a la
empresa ya que, el promedio de una sanción, puede caer entre los 3 y 4 millones de
pesos mexicanos.
Para estudiar este tema lee las Ideas clave que encontrarás a continuación:
Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados

(LGPSPPSO)
Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados

(diputados.gob.mx)
El Reglamento General de Protección de Datos (UE) 2016/679 (GDPR)

General Data Protection Regulation (GDPR) – Official Legal Text (gdpr-info.eu)
Ley Federal de Protección de Datos Personales en Posesión de los Particulares

(LFPDPPP)
http://inicio.ifai.org.mx/LFPDPPP/LFPDPPP.pdf
Reglamento de la LFPDPPP
http://inicio.ifai.org.mx/PROTECCIONDEDATOSPERSONALES/RLFPDPP.pdf
3.2. Generalidades sobre protección de datos
Guía sobre Avisos de Privacidad

Naturaleza de los datos personales
http://avisodeprivacidad.com/
Podemos decir, bajo lo establecido en la Ley, que los datos personales se agrupan en los
siguientes conceptos:
» Acústicos. Aquellos que de origen se encuentran en un formato de grabación de voz

en una contestadora, en un servidor o en cintas. Comúnmente se utilizan las
grabaciones en call centers, centros de información, líneas de atención al cliente,
llamadas de calidad, llamadas con finalidades jurídicas, auditorías, grabadoras o
conmutadores empresariales con mensajes de voz, telefonía celular, etc.

» Gráfica. Son los referentes a los datos personales de origen figurativo o similar y que
pueden abarcar desde firmas autógrafas hasta temas médicos. Algunos ejemplos
pueden ser las radiografías, las rúbricas, las firmas en documentos, las firmas en
identificaciones, los rayos X, las referencias corporales, etc.
» Fotográfica. Parecido a los datos Gráficos, en este rubro tenemos a las fotografías o
vídeos tomados. Normalmente encontramos esto en ejemplos como la fotografía de
las identificaciones que tenemos en copia, la fotografía de las credenciales de
empleado, los vídeos de seguridad en calle o en la empresa, las fotografías de
eventos, etc.
» Biométrica. Los biométricos son aquellos datos de carácter sensitivo que

obtenemos de los individuos que nos dejan datos de reconocimiento único. Los
ejemplos más representativos son las muestras de ADN, las huellas digitales, el iris,
las huellas palmares, la voz como medio de identificación única, las muestras de
sangre, las muestras de orina, etc.
» Alfabética. Son el resto de datos que figuran únicamente en forma escrita, ya sea
digital o análogamente y que están clasificados o utilizados de forma alguna en la
empresa. Son varios ejemplos que pueden clasificarse en este rubro, siendo los
principales los nombres, puestos organizacionales, trabajos anteriores, estado
civil, preferencia sexual, estado de salud, etc.
» Numérica. Representan aquellos datos personales en formato numérico que se

almacenan en cualquier tipo de formato. De igual manera que el anterior, estos
datos tienen muchos ejemplos, pero escogimos estos como los principales: número
de empleado, número de seguro social, un número de teléfono particular, celular,
salarios, etc.
Clasificación de los datos personales
Los datos personales se deben clasificar, según lo mencionado por la Ley y siguiendo
los preceptos del INAI, en las siguientes clasificaciones:
» Baja. Son aquellos datos que nos dan una sencilla identificación de la persona como
su nombre, su edad o su sexo. En específico, podemos poner estos datos como los
comunes que intercambiamos con los obligados en una relación simple

» Media. Es aquella información que fue obtenida derivado de una relación más
estrecha entre el titular y el responsable, en ella podemos calificar datos como
nuestro historial académico, temas judiciales simples como divorcios y hasta algunos
datos patrimoniales.
» Alta. Es aquella información de carácter «sensible» de un titular que, en caso de ser

utilizada de manera indebida, dé origen a discriminación o a riesgos mayores
directamente hacia su titular. Algunos ejemplos comprenden datos de salud,
psicológicos o datos patrimoniales mucho más definidos, como propiedades o nivel
de ingresos.
Riesgo reforzado
Es todo tipo de datos personales relacionados a personas que, de acuerdo a su

profesión o imagen pública, tienen un mayor riesgo en el tratamiento de sus datos
personales y son más susceptibles a ser utilizados con finalidades distintas que afecten
directamente, como: discriminación, extorción y/o suplantación de identidad.
Tratamiento de datos personales
Los datos personales son tratados o usados en diversas formas por los obligados, lo que
da origen a las siguientes clasificaciones de tratamiento:
» Obtención. Refiere al hecho de cómo obtenemos los datos personales de cualquiera

de los perfiles anteriormente descritos, es decir, como nos entregan esos datos
personales para nosotros tratarlos, pudiendo ser a través de las siguientes formas:
o Remisión.
o Transmisión.
o Búsqueda en fuentes de acceso público.
» Uso. En este punto señalamos la forma en que empleamos los datos en la

organización, que van desde su consulta, su explotación, usos comerciales y hasta los
propios accesos a los titulares de estos.

Para ello lo clasificamos en las siguientes subcategorías:
1. Acceso:
o Lectura.
o Conocimiento.
o Consulta.
2. Manejo:
o Explotación.
o Impresión.
o Copia.
3. Aprovechamiento:
o Uso comercial.
o Uso para prospección.
4. Disposición
o Acceso al titular.
o Acceso a autoridad.
5. Transferencia:
o Envío a un tercero para finalidad secundaria.
» Divulgación. Esta categoría incluye todas las formas en que se puede hacer público
el dato de la persona por cuestiones como concursos o finalidades explícitas en
relación a esto. Todo ello, queda en los siguientes conceptos:
o Comunicación en forma pública con o sin autorización.

o Comunicación en cumplimiento de Ley.
» Almacenamiento. Aquí colocamos todas las clasificaciones posibles en la forma de

resguardo de los datos personales o los documentos que los contienen. No importa la
naturaleza del dato, su clasificación o formato, siempre deben estar dentro de las
siguientes subcategorías:
o Electrónicamente.
o Digitalmente.
o Medios impresos.
o Medios ópticos.
o Medios sonoros.

Aviso de privacidad
Como ya lo mencionábamos anteriormente, el aviso de privacidad es la forma en que

los entes obligados dan a conocer a las personas (clientes, visitantes, socios de negocio,
proveedores, empleados, etc.) la forma en que tratarán sus datos y las finalidades
relacionadas; así mismo les ofrecen una forma de ejercer sus Derechos ARCO y
cualquier otra petición relativa a privacidad. Recordemos que, para cada perfil de
persona, debe crearse un Aviso de Privacidad.
Con fundamento en los Artículos 16 y 17 de la Ley Federal de Protección de Datos

Personales en Posesión de Sujetos Obligados el cual señala: - El responsable tendrá la
obligación de informar a los titulares de los datos, la información que se recaba de ellos
y con qué fines, a través del aviso de privacidad. Artículo 16.- El aviso de privacidad
deberá contener, al menos, la siguiente información:
I. La identidad y domicilio del responsable que los recaba;

II. Las finalidades del tratamiento de datos;
III. Las opciones y medios que el responsable ofrezca a los titulares para limitar el
uso o divulgación de los datos;
IV. Los medios para ejercer los derechos de acceso, rectificación, cancelación u
oposición, de conformidad con lo dispuesto en esta Ley;
V. En su caso, las transferencias de datos que se efectúen, y
VI. El procedimiento y medio por el cual el responsable comunicará a los titulares
de cambios al aviso de privacidad, de conformidad con lo previsto en esta Ley.
En el caso de datos personales sensibles, el aviso de privacidad deberá señalar
expresamente que se trata de este tipo de datos.
Por su parte el Artículo 17 señala: El aviso de privacidad debe ponerse a disposición de

los titulares a través de formatos impresos, digitales, visuales, sonoros o cualquier otra
tecnología, de la siguiente manera: I.
Cuando los datos personales hayan sido obtenidos personalmente del titular, el aviso de
privacidad deberá ser facilitado en el momento en que se recaba el dato de forma clara
y fehaciente, a través de los formatos por los que se recaban, salvo que se hubiera
facilitado el aviso con anterioridad, y II.
Cuando los datos personales sean obtenidos directamente del titular por cualquier
medio electrónico, óptico, sonoro, visual, o a través de cualquier otra tecnología, el
responsable deberá proporcionar al titular de manera inmediata, al menos la

información a que se refiere las fracciones I y II del artículo anterior, así como proveer
los mecanismos para que el titular conozca el texto completo del aviso de privacidad.
Artículo 18.- Cuando los datos no hayan sido obtenidos directamente del titular, el
responsable deberá darle a conocer el cambio en el aviso de privacidad. No resulta
aplicable lo establecido en el párrafo anterior, cuando el tratamiento sea con fines
históricos, estadísticos o científicos.
Nota importante: contrario a lo que se piensa, el Aviso de Privacidad es lo último

que se debe hacer y no lo primero, además de que este representa un porcentaje
mínimo en cuanto a cumplimiento.
» Estructura. El aviso de privacidad debe tener las siguientes características:
o Identidad de responsable – Razón Social o Nombre de la persona.

o Domicilio de responsable – Domicilio donde hay alguien encargado de
privacidad.
o Datos personales que recaba – Lista a detalle de los datos que se tratan.
o Finalidades primarias y secundarias del tratamiento de datos – Los motivos
principales y secundarios por los que se piden datos personales. Estos deben estar
claramente divididos.
o Las opciones y medios que el responsable ofrezca a los titulares para limitar el uso
o divulgación de los datos – Puede ser una dirección, correo o teléfono para tener
un contacto primario directo.
o En su caso, las transferencias de datos que se efectúen – Si enviamos datos
personales a terceros en modo de transferencia, deben venir especificados
quienes son.
o Los medios para ejercer los derechos de acceso, rectificación, cancelación u

oposición – Preferentemente debe ser un domicilio o locación donde pueda
corroborarse la identidad de la persona que hace la solicitud. El procedimiento y
medio por el cual el responsable comunicará los cambios al aviso de privacidad –
Debe haber un medio oficial a través del cual se notificará cualquier cambio a los
titulares de datos personales. Un ejemplo puede ser el sitio web de la empresa.
o Señalamiento expreso de tratamiento de datos personales sensibles en su caso –
Aquellos datos que so sensitivos de la persona, como datos de salud,
patrimoniales, psicológicos, etc.
o Fecha de última actualización – Fecha del último cambio hecho al Aviso.
o Consentimiento, en los casos que por ley sea requerido – Firma autógrafa o
electrónica para aceptar lo estipulado en el Aviso.

» Modalidades. Los Avisos de Privacidad tienen distintas modalidades según el uso

que se les va a dar o el lugar donde se colocarán. Las siguientes son las modalidades
previstas por ley:
1. Aviso de Privacidad Integral - Cuando los datos personales se recaben de manera

personal del titular, deberá tener la siguiente estructura:
o Tratamientos.
o Datos que se recaban, precisando aquellos que sean sensibles.
o Finalidades primarias y secundarias.
o Identidad.
o Domicilio.
o Opciones y medios para limitar uso y divulgación.
o Medios y formatos para ejercer Derechos ARCO.
o Transferencias con finalidades y receptor.
o Opción de Aceptación o Negativa de transferencia.
o Uso de cookies, web beacons y otros mecanismos, así como forma de
inhabilitarlos.
o Procedimientos para informar cambios.
o Consentimiento tácito.
o Consentimiento expreso en caso que requiera ser recabado.
2. Aviso de Privacidad Simplificado: cuando los datos personales se obtengan de

manera directa del titular por cualquier medio electrónico, óptico o sonoro, deberá
tener la siguiente estructura:
o Identidad.
o Domicilio.
o Opciones y medios para limitar uso y divulgación.
o Medios y formatos para ejercer Derechos ARCO.
o Consentimiento expreso en caso que requiera ser recabado.
o Medio para conocer el Aviso de Privacidad Integral.
3. Aviso de Privacidad Corto: cuando los espacios son mínimos y limitados, deberá
tener la siguiente estructura:
o Identidad.
o Domicilio.
o Medio para conocer el Aviso de Finalidades primarias y secundarias.
o Privacidad Integral.

4. Aviso de Privacidad Vídeo vigilancia: cuando se encuentre vídeo grabando a

cualquier persona, deberá tener la siguiente estructura:
o Identidad.
o Domicilio.
o Medio para conocer el Aviso de Privacidad Integral.
3.3. Las definiciones y términos necesarios
» Dato Personal: es toda información que en cierto grado da referencia de una

persona determinada o determinable.
» Datos personales sensibles: aquellos datos personales que afecten a la esfera más
íntima de su titular, o cuya utilización indebida pueda dar origen a discriminación o
conlleve un riesgo grave para éste. En particular, se consideran sensibles aquellos
que puedan revelar aspectos como origen.
» Persona determinable: aquella persona a la que se puede llegar a través de datos

aleatorios.
» Persona determinada: aquella persona de la que podemos obtener datos por ser
una persona conocida para la empresa.
» Remisión de datos personales: envío de datos a personas que fungen como

encargados o responsables, derivado de una relación jurídica entre la empresa y este
tercero.
» Responsable del tratamiento: persona física o moral de carácter privado que

decide sobre el tratamiento de datos personales.
» Encargado del tratamiento: documento físico, electrónico o en cualquier otro

formato generado por el responsable que es puesto a disposición del titular, previo al
tratamiento de sus datos personales.
» Transferencia de datos personales: toda comunicación de datos realizada a

persona distinta del responsable o encargado del tratamiento y que no esté
sustentada en una obligación legal.

» Tratamiento de datos personales: la obtención, uso, divulgación o

almacenamiento de datos personales, por cualquier medio. El uso abarca cualquier
acción de acceso, manejo, aprovechamiento, transferencia o disposición de datos
personales.
» Aviso de Privacidad: documento físico, electrónico o en cualquier otro formato

generado por el responsable que es puesto a disposición del titular, previo al
tratamiento de sus datos personales, de conformidad con el artículo 15 de la presente
Ley.
3.4. Los principios de la protección de datos
Los principios son los ejes rectores de la protección de datos en México y los causales
de infracciones por parte de las empresas. Por ello, es importante conocerlos:
Licitud
Obliga al responsable a que el tratamiento sea con apego y cumplimiento a lo dispuesto

por la legislación mexicana y el derecho internacional.
Consentimiento
Obliga al responsable a obtener el consentimiento para el tratamiento de los datos

personales, a menos que no sea exigible con arreglo a lo previsto en la Ley. La solicitud
del consentimiento deberá ir referida a una finalidad o finalidades determinadas,
previstas en el aviso de privacidad.
Información
Obliga al responsable a dar a conocer al titular la información relativa a la existencia y

características principales del tratamiento a que serán sometidos sus datos personales a
través del aviso de privacidad, de conformidad con lo previsto en la Ley y su legislación
secundaria.

Proporcionalidad
Obliga al responsable a solo dar tratamiento a los datos personales que resulten
necesarios, adecuados y relevantes en relación con las finalidades para las que se hayan
obtenido; el responsable deberá realizar esfuerzos razonables para que los datos
personales tratados sean los mínimos necesarios de acuerdo con la finalidad del
tratamiento que tenga lugar.
Finalidad
Obliga al responsable a que todos los datos personales solo se podrán tratar para el
cumplimiento de la finalidad o finalidades establecidas en el aviso de privacidad
correspondiente.
Calidad
Obliga al responsable a que los datos personales tratados sean exactos, completos,
pertinentes, correctos y actualizados según se requiera para el cumplimiento de la
finalidad para la cual son tratados.
Responsabilidad
Obliga al responsable a velar y responder por el tratamiento de los datos personales que
se encuentren bajo su custodia o posesión, o por aquellos que haya comunicado a un
encargado, ya sea que este último se encuentre o no en territorio mexicano, para ello el
responsable podrá velarse de estándares, mejores prácticas internacionales, políticas
corporativas, esquemas de autorregulación o cualquier otro mecanismo que determine
adecuado para tales fines.
Lealtad
Obliga al responsable a tratar los datos personales privilegiando la protección de los

intereses del titular y la expectativa razonable de privacidad, no utilizando medios
engañosos o fraudulentos (existencia de dolo, mala fe, negligencia en la información
proporcionada al titular sobre el tratamiento y/o finalidades establecidas sin darlas a
conocer al titular mediante el aviso de privacidad) para recabar y tratar los datos
personales.

3.5. Los derechos de las personas
Los derechos ARCO establecen las garantías y obligaciones existentes entre los entes
obligados y los titulares de los datos personales. Para ello, podemos definir cada uno de
los derechos como lo siguiente:
Acceso
Saber qué información tiene el responsable de un titular.
Rectificación
Dar confiabilidad a nuestra información personal.
Cancelación
Exigir que aquellos datos que salgan de la finalidad sean eliminados.
Oposición
Definir quién, cómo, cuándo y por qué usan mis datos personales.
Bloqueo
Conservación por disposición legal de datos personales de un titular cuando se haya
cumplido la finalidad por la que fueron recabados o se haya realizado una solicitud del
derecho de Cancelación.
Consiste en delimitar el uso de los datos personales a solo ser tratados en el entorno
vigente y debiendo ser eliminados de cualquier medio una vez que se haya cumplido el
período de conservación por disposición legal.
¿Cómo presentar una Solicitud de Derechos ARCO?
1. Acreditar Personalidad
Se debe presentar identificación oficial del titular o de su representante legal en original

para cotejo o únicamente en copia según lo marque el responsable en su aviso de
privacidad, únicamente serán válidas las siguientes:
» IFE / INE.
» Pasaporte.
» Cartilla del Servicio Militar Nacional.

» Cédula Profesional.
» Certificado o Constancia de estudios.
» Constancia de residencia.
» Credencial de afiliación al IMSS.
» Credencial de afiliación al ISSSTE.
» Documento migratorio que constate la legal estancia del extranjero en el país.
En caso de que la solicitud de Derechos ARCO sea presentada por un representante

legal deberá acreditar su identidad y al de su representado, constando su
representación de la siguiente manera:
» Carta Poder firmada ante dos testigos.

» Documento público por el que acredite la representación.
» Declaración en comparecencia del titular.
En caso de que el titular de los datos personales sea menor de edad o personas que se
encuentren en estado de interdicción o discapacidad, se deberá seguir lo estipulado en
el Código Civil Federal.
2. Ejercer Derechos ARCO
La forma en que se presentara la solicitud de Derechos ARCO será mediante lo que

disponga el responsable en su aviso de privacidad, ésta puede ser mediante
formularios, formatos físicos, sistemas y/o cualquier otro medio que establezca.
» Acceso. El titular debe mencionar los tipos de datos personales que pudiera tener el
responsable, la fecha aproximada en que los compartió, el tipo de relación
(candidato, empleado, cliente o proveedor), si es necesario documentos que
respalden que el titular compartió los datos personales a el responsable.
» Rectificación. El titular debe mencionar los datos personales que desea actualizar,
la fecha aproximada en que los compartió, el tipo de relación (candidato, empleado,
cliente o proveedor), si es necesario documentos que respalden que el titular
compartió los datos personales a el responsable y los que respalden la actualización
de los mismos.
» Cancelación. El titular debe mencionar los datos personales que desea cancelar, la
fecha aproximada en que los compartió, el tipo de relación (candidato, empleado,
cliente o proveedor), si es necesario documentos que respalden que el titular
compartió los datos personales a el responsable.

» Oposición. El titular debe mencionar los datos personales a los que desea oponerse
a su tratamiento y el tratamiento al que desea oponerse, la fecha aproximada en que
los compartió, el tipo de relación (candidato, empleado, cliente o proveedor), si es
necesario documentos que respalden que el titular compartió los datos personales a
el responsable.
3. Plazos
» El responsable podrá solicitar información adicional al titular para el ejercicio de sus

Derechos ARCO dentro de los 5 días hábiles contados a partir de que este presentó
su solicitud. El titular únicamente tendrá 10 días hábiles para dar contestación.
» El responsable únicamente tendrá 20 días hábiles para dar a conocer la procedencia
de la solicitud al titular.
4. Consideraciones
En caso de existir una solicitud válida de Rectificación – será responsabilidad

de la empresa informar a todos los terceros sobre dicha solicitud para que sea
actualizada en el menor tiempo posible (este tiempo lo puede determinar la empresa,
debiendo ser justificable).
En caso de existir una solicitud válida de Cancelación– previo a la destrucción

o cese de uso de los datos referidos, estos deberán pasar por un período de Bloqueo
(definido) que pudiera derivarse de alguna situación como: contratos vigentes en donde
se traten los datos personales mencionados en la solicitud, por disposición legal, si
obstaculiza actos judiciales o administrativos, para cumplir funciones adquiridas con el
titular o para temas de prevención o diagnóstico de cuestiones de salud.
En caso de existir una solicitud válida de Oposición – esta deberá estar

enfocada a oponerse al tratamiento específico de ciertos datos o para ciertas
finalidades, no pudiendo darse trámite a una solicitud de oposición a datos o
finalidades que deban estar tratándose por parte de la empresa derivado de alguna
obligación adquirida con el titular no optativa
Sobre el Bloqueo – este se da al recibir una solicitud de Cancelación o cuando los

datos solo deben ser resguardados por alguno de los casos mencionados en el punto
anterior. El Bloqueo consiste en delimitar el uso de los datos personales a solo tratarlos
en el entorno vigente y debiendo eliminarlos de cualquier otro que no cumpla con
alguno de los criterios ya mencionados.

Sobre la solicitud de información adicional al titular o representante – esta

deberá seguir los puntos descritos en este material y no podrá hacerse pasados 5 días
hábiles de haberse recibido dicha solicitud. Posterior a esto, el titular contará con 10
días hábiles para contestarla.
3.6. Ley General de Protección de Datos Personales en Posesión

de Sujetos Obligados
Si bien como hemos hecho mención con anterioridad en México las Empresas privadas
tienen la obligación de proteger nuestros datos personales desde el año 2010. A partir
de enero del año 2017 las personas e instituciones de gobierno identificadas como
sujetos obligados, deben dar cumplimiento a lo señalado en la Ley General de
Protección de Datos Personales en Posesión de Sujetos Obligados (LGPDPPSO).
En dicha ley se establece de forma clara la obligación por parte de las instituciones de
gobierno de establecer un Sistema de Gestión de Seguridad orientado a datos
personales. A continuación, se identificarán los artículos más importantes en relación
con el tema:
Artículo 1. La presente Ley es de orden público y de observancia general en toda la

República, reglamentaria de los artículos 6o., Base A y 16, segundo párrafo, de la
Constitución Política de los Estados Unidos Mexicanos, en materia de protección de
datos personales en posesión de sujetos obligados.
Todas las disposiciones de esta Ley General, según corresponda, y en el ámbito de su

competencia, son de aplicación y observancia directa para los sujetos obligados
pertenecientes al orden federal.
El Instituto ejercerá las atribuciones y facultades que le otorga esta Ley,

independientemente de las otorgadas en las demás disposiciones aplicables.
Tiene por objeto establecer las bases, principios y procedimientos para garantizar el
derecho que tiene toda persona a la protección de sus datos personales, en posesión de
sujetos obligados.
Son sujetos obligados por esta Ley, en el ámbito federal, estatal y municipal, cualquier
autoridad, entidad, órgano y organismo de los Poderes Ejecutivo, Legislativo y Judicial,
órganos autónomos, partidos políticos, fideicomisos y fondos públicos…

Artículo 3. Para los efectos de la presente Ley se entenderá por:
I. Áreas: instancias de los sujetos obligados previstas en los respectivos reglamentos

interiores, estatutos orgánicos o instrumentos equivalentes, que cuentan o puedan
contar, dar tratamiento, y ser responsables o encargadas de los datos personales;
II. Aviso de privacidad: documento a disposición del titular de forma física,

electrónica o en cualquier formato generado por el responsable, a partir del
momento en el cual se recaben sus datos personales, con el objeto de informarle
los propósitos del tratamiento de los mismos;
III. Bases de datos: conjunto ordenado de datos personales referentes a una persona
física identificada o identificable, condicionados a criterios determinados, con
independencia de la forma o modalidad de su creación, tipo de soporte,
procesamiento, almacenamiento y organización;
IV. Bloqueo: la identificación y conservación de datos personales una vez cumplida la

finalidad para la cual fueron recabados, con el único propósito de determinar
posibles responsabilidades en relación con su tratamiento, hasta el plazo de
prescripción legal o contractual de éstas. Durante dicho período, los datos
personales no podrán ser objeto de tratamiento y transcurrido éste, se procederá a
su cancelación en la base de datos que corresponda;
V. Comité de Transparencia: instancia a la que hace referencia el artículo 43 de la Ley

General de Transparencia y Acceso a la Información Pública;
VI. Cómputo en la nube: modelo de provisión externa de servicios de cómputo bajo

demanda, que implica el suministro de infraestructura, plataforma o programa
informático, distribuido de modo flexible, mediante procedimientos virtuales, en
recursos compartidos dinámicamente;
VII. Consejo Nacional: consejo Nacional de Transparencia, Acceso a la Información y

Protección de Datos Personales a que se refiere el artículo 32 de la Ley General de
Transparencia y Acceso a la Información Pública;
VIII. Consentimiento: manifestación de la voluntad libre, específica e informada del

titular de los datos mediante la cual se efectúa el tratamiento de los mismos;
IX. Datos personales: cualquier información concerniente a una persona física

identificada o identificable. Se considera que una persona es identificable cuando
su identidad pueda determinarse directa o indirectamente a través de cualquier
información;
X. Datos personales sensibles: aquellos que se refieran a la esfera más íntima de su

titular, o cuya utilización indebida pueda dar origen a discriminación o conlleve un

riesgo grave para éste. De manera enunciativa más no limitativa, se consideran

sensibles los datos personales que puedan revelar aspectos como origen racial o
étnico, estado de salud presente o futuro, información genética, creencias
religiosas, filosóficas y morales, opiniones políticas y preferencia sexual;
XI. Derechos ARCO: los derechos de acceso, rectificación, cancelación y oposición al

tratamiento de datos personales;
XII. Días: días hábiles;
XIII. Disociación: el procedimiento mediante el cual los datos personales no pueden

asociarse al titular ni permitir, por su estructura, contenido o grado de
desagregación, la identificación del mismo;
XIV. Documento de seguridad: instrumento que describe y da cuenta de manera

general sobre las medidas de seguridad técnicas, físicas y administrativas
adoptadas por el responsable para garantizar la confidencialidad, integridad y
disponibilidad de los datos personales que posee;
XV. Encargado: la persona física o jurídica, pública o privada, ajena a la organización

del responsable, que sola o conjuntamente con otras trate datos personales a
nombre y por cuenta del responsable;
XVI. Evaluación de impacto en la protección de datos personales: documento mediante

el cual los sujetos obligados que pretendan poner en operación o modificar
políticas públicas, programas, sistemas o plataformas informáticas, aplicaciones
electrónicas o cualquier otra tecnología que implique el tratamiento intensivo o
relevante de datos personales, valoran los impactos reales respecto de
determinado tratamiento de datos personales, a efecto de identificar y mitigar
posibles riesgos relacionados con los principios, deberes y derechos de los
titulares, así como los deberes de los responsables y encargados, previstos en la
normativa aplicable;
XVII. Fuentes de acceso público: aquellas bases de datos, sistemas o archivos que por
disposición de ley puedan ser consultadas públicamente cuando no exista
impedimento por una norma limitativa y sin más exigencia que, en su caso, el
pago de una contraprestación, tarifa o contribución. No se considerará fuente de
acceso público cuando la información contenida en la misma sea obtenida o tenga
una procedencia ilícita, conforme a las disposiciones establecidas por la presente
Ley y demás normativa aplicable;
XVIII. Instituto: Instituto Nacional de Transparencia, Acceso a la Información y

Protección de Datos Personales, el cual es el organismo garante de la Federación
en materia de protección de datos personales en posesión de los sujetos obligados;

XIX. Medidas compensatorias: mecanismos alternos para dar a conocer a los titulares
el aviso de privacidad, a través de su difusión por medios masivos de
comunicación u otros de amplio alcance;
XX. Medidas de seguridad: conjunto de acciones, actividades, controles o mecanismos

administrativos, técnicos y físicos que permitan proteger los datos personales;
XXI. Medidas de seguridad administrativas: Políticas y procedimientos para la gestión,

soporte y revisión de la seguridad de la información a nivel organizacional, la
identificación, clasificación y borrado seguro de la información, así como la
sensibilización y capacitación del personal, en materia de protección de datos
personales;
XXII. Medidas de seguridad físicas: conjunto de acciones y mecanismos para proteger el

entorno físico de los datos personales y de los recursos involucrados en su
tratamiento. De manera enunciativa más no limitativa, se deben considerar las
siguientes actividades:
a) Prevenir el acceso no autorizado al perímetro de la organización, sus

instalaciones físicas, áreas críticas, recursos e información;
b) Prevenir el daño o interferencia a las instalaciones físicas, áreas críticas de

la organización, recursos e información;
c) Proteger los recursos móviles, portátiles y cualquier soporte físico o

electrónico que pueda salir de la organización, y
d) Proveer a los equipos que contienen o almacenan datos personales de un

mantenimiento eficaz, que asegure su disponibilidad e integridad;
XXIII. Medidas de seguridad técnicas: conjunto de acciones y mecanismos que se valen

de la tecnología relacionada con hardware y software para proteger el entorno
digital de los datos personales y los recursos involucrados en su tratamiento. De
manera enunciativa más no limitativa, se deben considerar las siguientes
actividades:
a) Prevenir que el acceso a las bases de datos o a la información, así como a

los recursos, sea por usuarios identificados y autorizados;
b) Generar un esquema de privilegios para que el usuario lleve a cabo las

actividades que requiere con motivo de sus funciones;
c) Revisar la configuración de seguridad en la adquisición, operación,

desarrollo y mantenimiento del software y hardware, y
d) Gestionar las comunicaciones, operaciones y medios de almacenamiento

de los recursos informáticos en el tratamiento de datos personales;

XXIV. Organismos garantes: aquellos con autonomía constitucional especializados en

materia de acceso a la información y protección de datos personales, en términos
de los artículos 6o. y 116, fracción VIII de la Constitución Política de los Estados
Unidos Mexicanos;
XXV. Plataforma Nacional: la Plataforma Nacional de Transparencia a que hace

referencia el artículo 49 de la Ley General de Transparencia y Acceso a la
Información Pública;
XXVI. Programa Nacional de Protección de Datos Personales: Programa Nacional de

Protección de Datos Personales;
XXVII. Remisión: toda comunicación de datos personales realizada exclusivamente entre

el responsable y encargado, dentro o fuera del territorio mexicano;
XXVIII. Responsable: los sujetos obligados a que se refiere el artículo 1 de la presente Ley
que deciden sobre el tratamiento de datos personales;
XXIX. Sistema Nacional: el Sistema Nacional de Transparencia, Acceso a la Información

y Protección de Datos Personales;
XXX. Supresión: la baja archivística de los datos personales conforme a la normativa

archivística aplicable, que resulte en la eliminación, borrado o destrucción de los
datos personales bajo las medidas de seguridad previamente establecidas por el
responsable;
XXXI. Titular: la persona física a quien corresponden los datos personales;
XXXII. Transferencia: toda comunicación de datos personales dentro o fuera del territorio
mexicano, realizada a persona distinta del titular, del responsable o del encargado;
XXXIII. Tratamiento: cualquier operación o conjunto de operaciones efectuadas mediante

procedimientos manuales o automatizados aplicados a los datos personales,
relacionadas con la obtención, uso, registro, organización, conservación,
elaboración, utilización, comunicación, difusión, almacenamiento, posesión,
acceso, manejo, aprovechamiento, divulgación, transferencia o disposición de
datos personales, y
XXXIV. Unidad de Transparencia: instancia a la que hace referencia el artículo 45 de la

Ley General de Transparencia y Acceso a la Información Pública.

En relación a los deberes a cumplir en relación con la seguridad el Capítulo II señala lo

siguiente:
Artículo 31. Con independencia del tipo de sistema en el que se encuentren los datos
personales o el tipo de tratamiento que se efectúe, el responsable deberá establecer y
mantener las medidas de seguridad de carácter administrativo, físico y técnico para la
protección de los datos personales, que permitan protegerlos contra daño, pérdida,
alteración, destrucción o su uso, acceso o tratamiento no autorizado, así como garantizar
su confidencialidad, integridad y disponibilidad.
Artículo 32. Las medidas de seguridad adoptadas por el responsable deberán

considerar:
I. El riesgo inherente a los datos personales tratados;
II. La sensibilidad de los datos personales tratados;
III. El desarrollo tecnológico;
IV. Las posibles consecuencias de una vulneración para los titulares;
V. Las transferencias de datos personales que se realicen;
VI. El número de titulares;
VII. Las vulneraciones previas ocurridas en los sistemas de tratamiento, y
VIII. El riesgo por el valor potencial cuantitativo o cualitativo que pudieran tener los
datos personales tratados para una tercera persona no autorizada para su posesión.
Artículo 33. Para establecer y mantener las medidas de seguridad para la protección de
los datos personales, el responsable deberá realizar, al menos, las siguientes actividades
interrelacionadas:
I. Crear políticas internas para la gestión y tratamiento de los datos personales, que
tomen en cuenta el contexto en el que ocurren los tratamientos y el ciclo de vida de
los datos personales, es decir, su obtención, uso y posterior supresión;
II. Definir las funciones y obligaciones del personal involucrado en el tratamiento de

datos personales;
III. Elaborar un inventario de datos personales y de los sistemas de tratamiento;
IV. Realizar un análisis de riesgo de los datos personales, considerando las amenazas y
vulnerabilidades existentes para los datos personales y los recursos involucrados en
su tratamiento, como pueden ser, de manera enunciativa más no limitativa,
hardware, software, personal del responsable, entre otros;

V. Realizar un análisis de brecha, comparando las medidas de seguridad existentes

contra las faltantes en la organización del responsable;
VI. Elaborar un plan de trabajo para la implementación de las medidas de seguridad

faltantes, así como las medidas para el cumplimiento cotidiano de las políticas de
gestión y tratamiento de los datos personales;
VII. Monitorear y revisar de manera periódica las medidas de seguridad

implementadas, así como las amenazas y vulneraciones a las que están sujetos los
datos personales, y
VIII. Diseñar y aplicar diferentes niveles de capacitación del personal bajo su mando,
dependiendo de sus roles y responsabilidades respecto del tratamiento de los datos
personales.
Artículo 34. Las acciones relacionadas con las medidas de seguridad para el tratamiento
de los datos personales deberán estar documentadas y contenidas en un sistema de
gestión.
Se entenderá por sistema de gestión al conjunto de elementos y actividades

interrelacionadas para establecer, implementar, operar, monitorear, revisar, mantener y
mejorar el tratamiento y seguridad de los datos personales, de conformidad con lo
previsto en la presente Ley y las demás disposiciones que le resulten aplicables en la
materia.
Artículo 35. De manera particular, el responsable deberá elaborar un documento de

seguridad que contenga, al menos, lo siguiente:
I. El inventario de datos personales y de los sistemas de tratamiento;
II. Las funciones y obligaciones de las personas que traten datos personales;
III. El análisis de riesgos;
IV. El análisis de brecha;
V. El plan de trabajo;
VI. Los mecanismos de monitoreo y revisión de las medidas de seguridad, y
VII. El programa general de capacitación.

Artículo 36. El responsable deberá actualizar el documento de seguridad cuando

ocurran los siguientes eventos:
I. Se produzcan modificaciones sustanciales al tratamiento de datos personales que

deriven en un cambio en el nivel de riesgo;
II. Como resultado de un proceso de mejora continua, derivado del monitoreo y

revisión del sistema de gestión;
III. Como resultado de un proceso de mejora para mitigar el impacto de una

vulneración a la seguridad ocurrida, y
IV. Implementación de acciones correctivas y preventivas ante una vulneración de

seguridad.
Artículo 37. En caso de que ocurra una vulneración a la seguridad, el responsable

deberá analizar las causas por las cuales se presentó e implementar en su plan de trabajo
las acciones preventivas y correctivas para adecuar las medidas de seguridad y el
tratamiento de los datos personales si fuese el caso a efecto de evitar que la vulneración se
repita.
Artículo 38. Además de las que señalen las leyes respectivas y la normatividad aplicable,
se considerarán como vulneraciones de seguridad, en cualquier fase del tratamiento de
datos, al menos, las siguientes:
I. La pérdida o destrucción no autorizada;
II. El robo, extravío o copia no autorizada;
III. El uso, acceso o tratamiento no autorizado, o
IV. El daño, la alteración o modificación no autorizada.
Artículo 39. El responsable deberá llevar una bitácora de las vulneraciones a la

seguridad en la que se describa ésta, la fecha en la que ocurrió, el motivo de ésta y las
acciones correctivas implementadas de forma inmediata y definitiva.
Artículo 40. El responsable deberá informar sin dilación alguna al titular, y según
corresponda, al Instituto y a los Organismos garantes de las Entidades Federativas, las
vulneraciones que afecten de forma significativa los derechos patrimoniales o morales, en
cuanto se confirme que ocurrió la vulneración y que el responsable haya empezado a
tomar las acciones encaminadas a detonar un proceso de revisión exhaustiva de la
magnitud de la afectación, a fin de que los titulares afectados puedan tomar las medidas
correspondientes para la defensa de sus derechos.

Artículo 41. El responsable deberá informar al titular al menos lo siguiente:
I. La naturaleza del incidente;
II. Los datos personales comprometidos;
III. Las recomendaciones al titular acerca de las medidas que éste pueda adoptar para
proteger sus intereses;
IV. Las acciones correctivas realizadas de forma inmediata, y
V. Los medios donde puede obtener más información al respecto.
Artículo 42. El responsable deberá establecer controles o mecanismos que tengan por
objeto que todas aquellas personas que intervengan en cualquier fase del tratamiento de
los datos personales guarden confidencialidad respecto de éstos, obligación que subsistirá
aún después de finalizar sus relaciones con el mismo.
Lo anterior, sin menoscabo de lo establecido en las disposiciones de acceso a la

información pública.
Por su parte y en relación con la COMUNICACIONES DE DATOS PERSONALES el

Capítulo Único, De las Transferencias y Remisiones de Datos Personales señala:
Artículo 65. Toda transferencia de datos personales, sea ésta nacional o internacional,
se encuentra sujeta al consentimiento de su titular, salvo las excepciones previstas en los
artículos 22, 66 y 70 de esta Ley.
Artículo 66. Toda transferencia deberá formalizarse mediante la suscripción de

cláusulas contractuales, convenios de colaboración o cualquier otro instrumento jurídico,
de conformidad con la normatividad que le resulte aplicable al responsable, que permita
demostrar el alcance del tratamiento de los datos personales, así como las obligaciones y
responsabilidades asumidas por las partes.
Lo dispuesto en el párrafo anterior, no será aplicable en los siguientes casos:
I. Cuando la transferencia sea nacional y se realice entre responsables en virtud del
cumplimiento de una disposición legal o en el ejercicio de atribuciones expresamente
conferidas a éstos, o
II. Cuando la transferencia sea internacional y se encuentre prevista en una ley o tratado
suscrito y ratificado por México, o bien, se realice a petición de una autoridad
extranjera u organismo internacional competente en su carácter de receptor, siempre

y cuando las facultades entre el responsable transferente y receptor sean homólogas,

o bien, las finalidades que motivan la transferencia sean análogas o compatibles
respecto de aquéllas que dieron origen al tratamiento del responsable transferente.
Artículo 67. Cuando la transferencia sea nacional, el receptor de los datos personales
deberá tratar los datos personales, comprometiéndose a garantizar su confidencialidad y
únicamente los utilizará para los fines que fueron transferidos atendiendo a lo
convenido en el aviso de privacidad que le será comunicado por el responsable
transferente.
Artículo 68. El responsable solo podrá transferir o hacer remisión de datos personales
fuera del territorio nacional cuando el tercero receptor o el encargado se obligue a
proteger los datos personales conforme a los principios y deberes que establece la
presente Ley y las disposiciones que resulten aplicables en la materia.
Artículo 69. En toda transferencia de datos personales, el responsable deberá

comunicar al receptor de los datos personales el aviso de privacidad conforme al cual se
tratan los datos personales frente al titular.
Artículo 70. El responsable podrá realizar transferencias de datos personales sin

necesidad de requerir el consentimiento del titular, en los siguientes supuestos:
I. Cuando la transferencia esté prevista en esta Ley u otras leyes, convenios o Tratados
Internacionales suscritos y ratificados por México;
II. Cuando la transferencia se realice entre responsables, siempre y cuando los datos
personales se utilicen para el ejercicio de facultades propias, compatibles o análogas
con la finalidad que motivó el tratamiento de los datos personales;
III. Cuando la transferencia sea legalmente exigida para la investigación y persecución

de los delitos, así como la procuración o administración de justicia;
IV. Cuando la transferencia sea precisa para el reconocimiento, ejercicio o defensa de

un derecho ante autoridad competente, siempre y cuando medie el requerimiento
de esta última;
V. Cuando la transferencia sea necesaria para la prevención o el diagnóstico médico, la

prestación de asistencia sanitaria, tratamiento médico o la gestión de servicios
sanitarios, siempre y cuando dichos fines sean acreditados;
VI. Cuando la transferencia sea precisa para el mantenimiento o cumplimiento de una

relación jurídica entre el responsable y el titular;
VII. Cuando la transferencia sea necesaria por virtud de un contrato celebrado o por
celebrar en interés del titular, por el responsable y un tercero;
VIII. Cuando se trate de los casos en los que el responsable no esté obligado a recabar
el consentimiento del titular para el tratamiento y transmisión de sus datos
personales, conforme a lo dispuesto en el artículo 22 de la presente Ley, o
IX. Cuando la transferencia sea necesaria por razones de seguridad nacional.
La actualización de algunas de las excepciones previstas en este artículo, no exime al

responsable de cumplir con las obligaciones previstas en el presente Capítulo que
resulten aplicables.
Artículo 71. Las remisiones nacionales e internacionales de datos personales que se

realicen entre responsable y encargado no requerirán ser informadas al titular, ni contar
con su consentimiento.
Por último y en relación a las acciones preventivas en materia de protección de datos

personales, el Capítulo I, De las Mejores Prácticas señala:
Artículo 72. Para el cumplimiento de las obligaciones previstas en la presente Ley, el

responsable podrá desarrollar o adoptar, en lo individual o en acuerdo con otros
responsables, encargados u organizaciones, esquemas de mejores prácticas que tengan
por objeto:
I. Elevar el nivel de protección de los datos personales;
II. Armonizar el tratamiento de datos personales en un sector específico;
III. Facilitar el ejercicio de los derechos ARCO por parte de los titulares;
IV. Facilitar las transferencias de datos personales;
V. Complementar las disposiciones previstas en la normatividad que resulte aplicable

en materia de protección de datos personales, y
VI. Demostrar ante el Instituto o, en su caso, los Organismos garantes, el

cumplimiento de la normatividad que resulte aplicable en materia de protección de
datos personales.

Artículo 73. Todo esquema de mejores prácticas que busque la validación o

reconocimiento por parte del Instituto o, en su caso, de los Organismos garantes deberá:
I. Cumplir con los parámetros que para tal efecto emitan, según corresponda, el
Instituto y los Organismos garantes conforme a los criterios que fije el primero, y
II. Ser notificado ante el Instituto o, en su caso, los Organismos garantes de

conformidad con el procedimiento establecido en los parámetros señalados en la
fracción anterior, a fin de que sean evaluados y, en su caso, validados o reconocidos
e inscritos en el registro al que refiere el último párrafo de este artículo.
El Instituto y los Organismos garantes, según corresponda, deberán emitir las reglas de
operación de los registros en los que se inscribirán aquellos esquemas de mejores
prácticas validados o reconocidos.
Los Organismos garantes, podrán inscribir los esquemas de mejores prácticas que hayan
reconocido o validado en el registro administrado por el Instituto, de acuerdo con las
reglas que fije este último.
Artículo 74. Cuando el responsable pretenda poner en operación o modificar políticas

públicas, sistemas o plataformas informáticas, aplicaciones electrónicas o cualquier otra
tecnología que a su juicio y de conformidad con esta Ley impliquen el tratamiento
intensivo o relevante de datos personales, deberá realizar una Evaluación de impacto en
la protección de datos personales, y presentarla ante el Instituto o los Organismos
garantes, según corresponda, los cuales podrán emitir recomendaciones no vinculantes
especializadas en la materia de protección de datos personales.
El contenido de la evaluación de impacto a la protección de datos personales deberá

determinarse por el Sistema Nacional de Transparencia, Acceso a la Información
Pública y Protección de Datos Personales.
Artículo 75. Para efectos de esta Ley se considerará que se está en presencia de un
tratamiento intensivo o relevante de datos personales cuando:
I. Existan riesgos inherentes a los datos personales a tratar;
II. Se traten datos personales sensibles, y
III. Se efectúen o pretendan efectuar transferencias de datos personales.

Artículo 76. El Sistema Nacional podrá emitir criterios adicionales con sustento en
parámetros objetivos que determinen que se está en presencia de un tratamiento
intensivo o relevante de datos personales, de conformidad con lo dispuesto en el artículo
anterior, en función de:
I. El número de titulares;
II. El público objetivo;
III. El desarrollo de la tecnología utilizada, y
IV. La relevancia del tratamiento de datos personales en atención al impacto social o,

económico del mismo, o bien, del interés público que se persigue.
Artículo 77. Los sujetos obligados que realicen una Evaluación de impacto en la
protección de datos personales, deberán presentarla ante el Instituto o los Organismos
garantes, según corresponda, treinta días anteriores a la fecha en que se pretenda poner
en operación o modificar políticas públicas, sistemas o plataformas informáticas,
aplicaciones electrónicas o cualquier otra tecnología, ante el Instituto o los organismos
garantes, según corresponda, a efecto de que emitan las recomendaciones no
vinculantes correspondientes.
Artículo 78. El Instituto y los Organismos garantes, según corresponda, deberán

emitir, de ser el caso, recomendaciones no vinculantes sobre la Evaluación de impacto
en la protección de datos personales presentado por el responsable.
El plazo para la emisión de las recomendaciones a que se refiere el párrafo anterior será
dentro de los treinta días siguientes contados a partir del día siguiente a la presentación
de la evaluación.
Artículo 79. Cuando a juicio del sujeto obligado se puedan comprometer los efectos
que se pretenden lograr con la posible puesta en operación o modificación de políticas
públicas, sistemas o plataformas informáticas, aplicaciones electrónicas o cualquier otra
tecnología que implique el tratamiento intensivo o relevante de datos personales o se
trate de situaciones de emergencia o urgencia, no será necesario realizar la Evaluación
de impacto en la protección de datos personales.

3.7. Reglamento de Protección de Datos Personales de la Comunidad

Europea (RGPD)
Por su parte y conforme a lo establecido por la Comunidad Europea (Protección de

Datos conforme al reglamento RGPD - Your Europe (europa.eu) el RGPD establece los
requisitos específicos para empresas y organizaciones sobre recogida, almacenamiento y
gestión de los datos personales. Se aplican tanto a las organizaciones europeas que
tratan datos personales de ciudadanos en la Unión Europea como a las organizaciones
que tienen su sede fuera de la Unión Europea y cuya actividad se dirige a personas que
viven en la Unión Europea.
El RGPD se debe aplicar cuando:
• La empresa trata datos personales y tiene su sede en la Unión Europea,

independientemente de dónde se traten de hecho los datos;
• La empresa tiene su sede fuera de la Unión Europea, pero trata datos personales
relativos a ofertas de bienes o servicios a ciudadanos en la Unión Europea, o
supervisa el comportamiento de ciudadanos en la Unión Europea.
Las empresas que no tienen sede dentro de la Unión Europea y que tratan datos de
ciudadanos de la Unión Europea deben nombrar un representante en la Unión Europea.
La RGPD no se aplica cuando:
• El interesado ha fallecido
• El interesado es una persona jurídica
• El tratamiento de datos es efectuado por una persona que actúa con fines ajenos a
sus actividades comerciales, empresariales o profesionales.

Lo + recomendado
No dejes de leer…
El ABC de los datos personales
Breve presentación sobre datos personales y la importancia de su protección por los

titulares y por terceros que los posean.
Accede al artículo desde el aula virtual o a través de la siguiente dirección web:

http://inicio.ifai.org.mx/Publicaciones/El%20ABC%20de%20los%20Datos%20Person
ales.pdf
Retos de la protección de datos personales en el sector público
Libro sobre los esquemas de protección y aseguramiento de los datos personales que va
dirigido al sector público, pero que tiene un gran enfoque al sector privado.

http://www.finanzas.df.gob.mx/oip/Consulta/pdf/Cuadro7.pdf
TEMA 3 – Lo + recomendado © Universidad Internacional de La Rioja, S. A. (UNIR)

No dejes de ver…
Eagle Eye
Título: Eagle Eye

Director: D.J. Caruso
Duración: 118 min.
Año: 2008
Género: Thriller
Película sobre el uso de la tecnología para vigilar a los ciudadanos y de cómo esta
influye incluso en las esferas más privadas de cada uno al punto de manipularlos y
extorsionarlos.
TEMA 3 – Lo + recomendado © Universidad Internacional de La Rioja, S. A. (UNIR)

+ Información
A fondo
Lecciones ciudadanas: tus datos sensibles
Lecciones que todos los ciudadanos deben tomar en cuenta para el correcto tratamiento
de sus datos personales.

http://blog.derecho-informatico.org/2015/05/11/lecciones-ciudadanas-tus-datos-
sensibles/#sthash.g2OUh2L3.dpbs
Tratamiento de datos personales vs privacidad en Internet
Artículo que trata el equilibrio entre el tratamiento de datos y la privacidad en la red.

http://blog.derecho-informatico.org/2015/03/11/tratamiento-de-datos-personales-vs-
privacidad-en-internet/#sthash.FDogUmHt.dpbs
Estudio sobre el valor económico de los datos personales
El presente estudio se dirige a diseñar una metodología para calcular el valor monetario
de los datos personales, que permita establecer un modelo de aplicación general para el
sector empresarial, conforme a metodologías y prácticas internacionales, y alineado a la
normatividad nacional.
Accede al estudio desde el aula virtual o a través de la siguiente dirección web:

https://www.amipci.org.mx/images/valor_eco_Datospersonales_FINAL.pdf
TEMA 3 – + Información © Universidad Internacional de La Rioja, S. A. (UNIR)

Webgrafía
INAI
Sitio web del Instituto Nacional de Transparencia, Acceso a la Información y Protección

de datos personales (INAI).
Accede a la web desde el aula virtual o a través de la siguiente dirección web:

http://www.inicio.ifai.org.mx
TEMA 3 – + Información © Universidad Internacional de La Rioja, S. A. (UNIR)

Test
1. ¿Qué son los datos personales?

A. Datos que dan identificación sobre una persona.
B. Datos de una empresa.
C. El nombre de las personas.
D. La información referente a personas morales.
2. ¿Qué es el REUS?
A. Registro Estatal de Usuarios de Servicios Financieros.
B. Registro Especializado en Usuarios de Servicios.
C. Registro Público de Usuarios que no deseen información publicitaria de
Productos y Servicios Financieros.
D. Registro Público de Usuarios para Evitar la Publicidad.
3. ¿Qué es el RPEP?
A. Registro Para Evitar Publicidad.
B. Registro Público de Entretenimiento Público.
C. Registro Para Evitar Promociones.
D. Registro Público Para Evitar la Publicidad.
4. ¿A quién debo darle un Aviso de Privacidad?

A. A todos los perfiles que me den datos personales.
B. A mis clientes.
C. A los que entran a mi sitio web.
D. A las empresas.
5. Menciona un ejemplo de datos biométricos

A. Nombre.
B. Huella digital.
C. Número de seguro social.
D. Teléfono.
TEMA 3 – Test © Universidad Internacional de La Rioja, S. A. (UNIR)

6. Menciona un ejemplo de dato acústico

A. Infracción de tránsito.
B. Puesto de trabajo.
C. Estado de Salud.
D. Mensaje de voz.
7. Menciona un dato que deba tener todo aviso de privacidad

A. Identidad del responsable.
B. RFC.
C. Acta de nacimiento.
D. Domicilio fiscal.
8. ¿En qué clasificación entran los datos personales sensibles?

A. Baja.
B. Media.
C. Alta.
D. Riesgo Reforzado.
9. ¿Cuáles son los Derechos ARCO?

A. Acceso, Rectificación, Cancelación y Oposición.
B. Acceso, Rectificación, Cancelación y Bloqueo.
C. Antecedentes, Rectificación, Cancelación y Bloqueo.
D. Acceso, Rectificación, Cancelación, Oposición y Bloqueo.
10. ¿Debo hacer solo un Aviso de Privacidad para cumplir con la ley?
A. Sí.
B. No.
C. Si soy persona física, sí.
D. Si soy persona moral, sí.
TEMA 3 – Test © Universidad Internacional de La Rioja, S. A. (UNIR)

Tema 3

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Tema 3

Cargado por

Copyright:

Formatos disponibles

La protección de datos: fundamentos,

obligaciones de registros y medidas de

[3.2] Generalidades sobre protección de datos

[3.3] Las definiciones y términos necesarios

[3.4] Los principios de la protección de datos

[3.5] Los derechos de las personas

TEMA 3 – Esquema © Universidad Internacional de La Rioja, S. A. (UNIR)

3.1. ¿Cómo estudiar este tema?

La protección de datos personales es un tema en pleno apogeo en el país desde la

REPEP (PROFECO) – El Registro Público Para Evitar la Publicidad es un

A partir de su creación, el REPEP ha fungido como un medio de protección para los

» REUS (CONDUSEF) - El Registro Público de Usuarios que no deseen

Como podemos ver, la protección de datos personales se da desde mucho antes de la

TEMA 3 – Ideas clave © Universidad Internacional de La Rioja, S. A. (UNIR)

propio marco de protección y que no existe un modelo a implementar que ya exista,

Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados

Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados

El Reglamento General de Protección de Datos (UE) 2016/679 (GDPR)

Ley Federal de Protección de Datos Personales en Posesión de los Particulares

Guía sobre Avisos de Privacidad

» Acústicos. Aquellos que de origen se encuentran en un formato de grabación de voz

TEMA 3 – Ideas clave © Universidad Internacional de La Rioja, S. A. (UNIR)

» Biométrica. Los biométricos son aquellos datos de carácter sensitivo que

» Numérica. Representan aquellos datos personales en formato numérico que se

Clasificación de los datos personales

TEMA 3 – Ideas clave © Universidad Internacional de La Rioja, S. A. (UNIR)

» Alta. Es aquella información de carácter «sensible» de un titular que, en caso de ser

Es todo tipo de datos personales relacionados a personas que, de acuerdo a su

Tratamiento de datos personales

» Obtención. Refiere al hecho de cómo obtenemos los datos personales de cualquiera

» Uso. En este punto señalamos la forma en que empleamos los datos en la

TEMA 3 – Ideas clave © Universidad Internacional de La Rioja, S. A. (UNIR)

Para ello lo clasificamos en las siguientes subcategorías:

o Comunicación en forma pública con o sin autorización.

» Almacenamiento. Aquí colocamos todas las clasificaciones posibles en la forma de

TEMA 3 – Ideas clave © Universidad Internacional de La Rioja, S. A. (UNIR)

Como ya lo mencionábamos anteriormente, el aviso de privacidad es la forma en que

Con fundamento en los Artículos 16 y 17 de la Ley Federal de Protección de Datos

I. La identidad y domicilio del responsable que los recaba;

Por su parte el Artículo 17 señala: El aviso de privacidad debe ponerse a disposición de

TEMA 3 – Ideas clave © Universidad Internacional de La Rioja, S. A. (UNIR)

Nota importante: contrario a lo que se piensa, el Aviso de Privacidad es lo último

» Estructura. El aviso de privacidad debe tener las siguientes características:

o Identidad de responsable – Razón Social o Nombre de la persona.

o Los medios para ejercer los derechos de acceso, rectificación, cancelación u

TEMA 3 – Ideas clave © Universidad Internacional de La Rioja, S. A. (UNIR)

» Modalidades. Los Avisos de Privacidad tienen distintas modalidades según el uso

1. Aviso de Privacidad Integral - Cuando los datos personales se recaben de manera

2. Aviso de Privacidad Simplificado: cuando los datos personales se obtengan de

TEMA 3 – Ideas clave © Universidad Internacional de La Rioja, S. A. (UNIR)

4. Aviso de Privacidad Vídeo vigilancia: cuando se encuentre vídeo grabando a

3.3. Las definiciones y términos necesarios

» Dato Personal: es toda información que en cierto grado da referencia de una

» Persona determinable: aquella persona a la que se puede llegar a través de datos

» Remisión de datos personales: envío de datos a personas que fungen como

» Responsable del tratamiento: persona física o moral de carácter privado que

» Encargado del tratamiento: documento físico, electrónico o en cualquier otro

» Transferencia de datos personales: toda comunicación de datos realizada a

TEMA 3 – Ideas clave © Universidad Internacional de La Rioja, S. A. (UNIR)

» Tratamiento de datos personales: la obtención, uso, divulgación o

» Aviso de Privacidad: documento físico, electrónico o en cualquier otro formato

3.4. Los principios de la protección de datos

Obliga al responsable a que el tratamiento sea con apego y cumplimiento a lo dispuesto