2 Pautas para la protección de datos personales por instancias administrativas

Índice

Objetivo ............................................................................................................................................................................. 3

Marco jurídico .................................................................................................................................................................. 3

El derecho constitucional de protección de datos personales ....................................................................... 3

¿Qué es un dato personal? .......................................................................................................................................... 4

¿Qué implica proteger los datos personales? ....................................................................................................... 5

¿Qué son los principios en materia de datos personales? ................................................................................ 6

¿Qué son los deberes en materia de protección de datos personales? ....................................................... 8

¿De quién es la responsabilidad del tratamiento de los datos personales? ............................................. 10

¿Qué sanciones existen ante el incumplimiento de la protección de los datos personales? ............. 10

¿Qué son las solicitudes de derechos ARCO y cómo debo gestionarlas? ................................................. 11

¿Cómo debo realizar una versión pública de documentos administrativos? ......................................... 14

¿Dónde puedo pedir orientación en materia de protección de datos personales? .............................. 24

Unidad de Transparencia
Secretaría Técnica de Protección de datos Personales
3 Pautas para la protección de datos personales por instancias administrativas

Objetivo
Brindar al personal que integra las áreas administrativas del Consejo de la Judicatura Federal
(CJF) elementos que les permitan ejercer una protección sistemática y progresiva de los datos
personales en su posesión.

Marco jurídico
l Constitución Política de los Estados Unidos Mexicanos
l Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados
l Ley Federal de Transparencia y Acceso a la Información Pública
l Ley General de Transparencia y Acceso a la Información Pública
l Ley General de Responsabilidades Administrativas
l Lineamientos Generales de Protección de Datos Personales para el Sector Público emitidos
por el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos
Personales
l Acuerdo General del Pleno del Consejo de la Judicatura Federal que establece las
disposiciones en materia de protección de datos personales
l Acuerdo General del Pleno del Consejo de la Judicatura Federal, que establece las
disposiciones en materia de transparencia y acceso a la información pública en el Consejo

El derecho constitucional de protección de datos personales

El artículo 16, párrafo segundo, de la Constitución Política de los Estados Unidos Mexicanos dispone
que toda persona tiene derecho a la protección de sus datos personales, al acceso, rectificación y
cancelación de los mismos, así como a manifestar su oposición; lo anterior, en los términos que
fije la ley, la cual establecerá los supuestos de excepción a los principios que rijan el tratamiento
de datos, por razones de seguridad nacional, disposiciones de orden público, seguridad y salud
públicas o para proteger los derechos de terceras personas.

Para comprender el alcance de tal disposición, podemos partir de las premisas siguientes:

a Todas las personas tienen derecho a que sus datos personales sean protegidos.

a Todas las personas pueden requerir el acceso, rectificación, cancelación y oposición de

sus datos personales.

Unidad de Transparencia
Secretaría Técnica de Protección de datos Personales
4 Pautas para la protección de datos personales por instancias administrativas

a Existe una legislación que regula la forma en que los datos personales deben ser
protegidos y como debe ser solicitado su acceso, rectificación, cancelación y oposición.

a El tratamiento de datos personales está sujeto a excepciones que derivan del resguardo
de la seguridad nacional, orden público, salud pública o del ejercicio de derechos de
terceras personas.

De lo anterior, obtenemos que para acreditar el respeto del derecho humano previsto en la
Constitución es necesario evidenciar la protección que se ejerce sobre los datos personales y
verificar su acceso, rectificación, cancelación y oposición en el margen de lo previsto y exceptuado
en la legislación específica correspondiente.

Considerando que el CJF es la entidad pública encargada de la administración, vigilancia

y disciplina del Poder Judicial de la Federación, con excepción de la Suprema Corte de Justicia
de la Nación, constituye un sujeto obligado regulado por la Ley General de Protección de Datos
Personales en Posesión de Sujetos Obligados (Ley General).

Por tanto, las personas servidoras públicas adscritas al CJF se encuentran obligadas a acreditar
la protección realizada respecto de cada uno de los datos personales que conozcan, así como
para pronunciarse sobre las solicitudes de acceso, rectificación, cancelación y oposición de datos
personales que realicen las personas solicitantes.

¿Qué es un dato personal?

Dato personal1 es cualquier información concerniente a una persona física identificada o
identificable.

Por ejemplo, de manera enunciativa y no limitativa: nombre y apellidos, fecha de nacimiento

o estado civil.

1
Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados
Artículo 3. Para los efectos de la presente Ley se entenderá por:
[…]
IX. Datos personales: Cualquier información concerniente a una persona física identificada o identificable. Se considera que una
persona es identificable cuando su identidad pueda determinarse directa o indirectamente a través de cualquier información;
X. Datos personales sensibles: Aquellos que se refieran a la esfera más íntima de su titular, o cuya utilización indebida pueda dar
origen a discriminación o conlleve un riesgo grave para éste. De manera enunciativa más no limitativa, se consideran sensibles
los datos personales que puedan revelar aspectos como origen racial o étnico, estado de salud presente o futuro, información
genética, creencias religiosas, filosóficas y morales, opiniones políticas y preferencia sexual;
[…].

Unidad de Transparencia
Secretaría Técnica de Protección de datos Personales
5 Pautas para la protección de datos personales por instancias administrativas

Información
que la identifica Nombre y apellidos
directamente

Una persona es identificable cuando su identidad pueda determinarse directa o

indirectamente a través de cualquier información.

Por ejemplo, de manera enunciativa y no limitativa: La Clave Única de Registro de Población

(CURP), número telefónico, domicilio o correo electrónico personal.

CURP
Información que la Los elementos que la integran tales
como letras del nombre y apellidos,
hace identificable fecha de nacimiento, sexo y entidad
de nacimiento, hacen identificables a
las personas.

Dato personal sensible es aquella información que se refiera a la esfera más íntima de su titular,
o cuya utilización indebida pueda dar origen a discriminación o conlleve un riesgo grave para esta
o este.

Por ejemplo, de manera enunciativa y no limitativa: origen racial o étnico, estado de salud
pasado, presente o futuro, información genética, creencias religiosas, filosóficas y morales,
opiniones políticas o preferencia sexual.

Información que Estado de salud

deriva del ámbito más pasado, presente o
íntimo de una persona futuro

¿Qué implica proteger los datos personales?

En los términos previstos en la Ley General, en la obtención, uso, registro, organización, conservación,
elaboración, utilización, comunicación, difusión, almacenamiento, posesión, acceso, manejo,
aprovechamiento, divulgación, transferencia o disposición de datos personales, el personal de las
instancias administrativas del CJF se encuentra obligado a lo siguiente.

Unidad de Transparencia
Secretaría Técnica de Protección de datos Personales
6 Pautas para la protección de datos personales por instancias administrativas

1. Evidenciar la protección de los datos personales a través de:

a. El respeto de los principios de licitud, finalidad, lealtad, consentimiento, calidad,

proporcionalidad, información y responsabilidad.

b. El cumplimiento de los deberes de seguridad y confidencialidad.

2. Pronunciarse, en términos de su competencia y atribuciones, respecto de las solicitudes de

acceso, rectificación, cancelación y oposición de datos personales que las y los solicitantes
realicen.

Por tanto, el personal administrativo del CJF que en ejercicio de sus atribuciones conozca datos
personales o datos personales sensibles, ya sea de personas servidoras públicas o de particulares,
se encuentra obligado a acreditar lo anterior.

¿Qué son los principios en materia de datos personales?

El artículo 42 del Acuerdo General del Pleno del Consejo de la Judicatura Federal que establece las
disposiciones en materia de protección de datos personales estipula que las instancias y las personas
servidoras públicas vinculadas deberán observar los principios de calidad, consentimiento,
finalidad, información, lealtad, licitud, proporcionalidad, y responsabilidad.

Dichos principios se encuentran dispuestos en el artículo 163 de la Ley General y, en síntesis, se

refieren a lo siguiente:

l Licitud. El tratamiento de datos personales deberá sujetarse a las facultades o atribuciones

que la normatividad aplicable le confiera a la instancia responsable.

l Finalidad. Todo tratamiento de datos personales que efectúe la instancia responsable

deberá estar justificado por finalidades concretas, lícitas, explícitas y legítimas, relacionadas
con las atribuciones que la normatividad aplicable le confiera.

l Lealtad. La instancia responsable no deberá obtener ni tratar datos personales a través

de medios engañosos o fraudulentos, privilegiando la protección de los intereses de la
persona titular y la expectativa razonable de su privacidad.

2
Principios generales para la protección de Datos Personales.
Artículo 4. En el tratamiento de datos personales, el responsable por conducto de las instancias y los servidores públicos
vinculados deberán observar los principios de calidad, consentimiento, finalidad, información, lealtad, licitud, proporcionalidad, y
responsabilidad.
3
Artículo 16. El responsable deberá observar los principios de licitud, finalidad, lealtad, consentimiento, calidad, proporcionalidad,
información y responsabilidad en el tratamiento de datos personales.

Unidad de Transparencia
Secretaría Técnica de Protección de datos Personales
7 Pautas para la protección de datos personales por instancias administrativas

l Consentimiento. En los casos en que no se actualicen algunas de las causales de

excepción previstas en el artículo 22 de la Ley General4, el responsable deberá contar con
el consentimiento previo de la persona titular para el tratamiento de los datos personales.

l Calidad. El responsable deberá adoptar las medidas necesarias para mantener exactos,
completos, pertinentes, correctos y actualizados los datos personales en su posesión, a fin
de que no se altere su veracidad.

Se estima que los datos personales son exactos, completos, pertinentes, correctos y
actualizados cuando son proporcionados a las instancias directamente por su titular y
hasta que tal persona no manifieste y, en su caso, acredite lo contrario.

l Proporcionalidad. El responsable sólo deberá tratar los datos personales que resulten
adecuados, relevantes y estrictamente necesarios para la finalidad que justifica su tratamiento.

l Información. El responsable deberá informar al titular, a través del aviso de privacidad5,

la existencia y características principales del tratamiento al que serán sometidos sus datos
personales, a fin de que pueda tomar decisiones informadas al respecto.

l Responsabilidad. El responsable deberá adoptar políticas e implementar mecanismos

para asegurar y acreditar el cumplimiento de los principios, deberes y demás obligaciones
establecidas en la Ley General.

4
Artículo 22. El responsable no estará obligado a recabar el consentimiento del titular para el tratamiento de sus datos personales
en los siguientes casos:
I. Cuando una ley así lo disponga, debiendo dichos supuestos ser acordes con las bases, principios y disposiciones establecidos en
esta Ley, en ningún caso, podrán contravenirla;
II. Cuando las transferencias que se realicen entre responsables, sean sobre datos personales que se utilicen para el ejercicio de
facultades propias, compatibles o análogas con la finalidad que motivó el tratamiento de los datos personales;
III. Cuando exista una orden judicial, resolución o mandato fundado y motivado de autoridad competente;
IV. Para el reconocimiento o defensa de derechos del titular ante autoridad competente;
V. Cuando los datos personales se requieran para ejercer un derecho o cumplir obligaciones derivadas de una relación jurídica
entre el titular y el responsable;
VI. Cuando exista una situación de emergencia que potencialmente pueda dañar a un individuo en su persona o en sus bienes;
VII. Cuando los datos personales sean necesarios para efectuar un tratamiento para la prevención, diagnóstico, la prestación de
asistencia sanitaria;
VIII. Cuando los datos personales figuren en fuentes de acceso público;
IX. Cuando los datos personales se sometan a un procedimiento previo de disociación, o
X. Cuando el titular de los datos personales sea una persona reportada como desaparecida en los términos de la ley en
la materia.
5
Los avisos de privacidad del CJF se encuentran en el “Apartado de Protección de Datos Personales” de la página
electrónica del CJF, accesibles por cualquier persona en el hipervínculo siguiente: https://www.cjf.gob.mx/transparencia/
proteccionDatosPersonales.htm

Unidad de Transparencia
Secretaría Técnica de Protección de datos Personales
8 Pautas para la protección de datos personales por instancias administrativas

Para abundar en el fundamento legal de cada principio, las actividades que deberá realizar
cada persona servidora pública para su cumplimiento y los medios en que tal acatamiento debe
acreditarse, se recomienda la consulta del Sistema de Gestión de Seguridad de Datos Personales del
Consejo de la Judicatura Federal6, el cual concentra los elementos y actividades interrelacionadas
para establecer, implementar, operar, monitorear, revisar, mantener y mejorar el tratamiento y
seguridad de los datos personales.

¿Qué son los deberes en materia de protección de datos

personales?
Con independencia del tipo de sistema en el que se encuentren los datos personales o el tipo de
tratamiento que se efectúe, las personas servidoras públicas se encuentran vinculadas a acreditar
el cumplimiento de los deberes de (i) seguridad y (ii) confidencialidad.

El deber de seguridad implica que el personal del CJF se encuentra obligado a establecer y
mantener medidas para la protección de los datos personales en su posesión. Las medidas de
seguridad se clasifican en administrativas, físicas y técnicas, las cuales se refieren a lo siguiente:

l Medidas de seguridad administrativas: políticas y procedimientos para la gestión,

soporte y revisión de la seguridad de la información a nivel organizacional, la identificación,
clasificación y borrado seguro de la información, así como la sensibilización y capacitación
del personal. De manera enunciativa, mas no limitativa, se ejemplifican las siguientes:

a Manuales Específicos de Organización y de Puestos de cada una de las áreas

administrativas del CJF.

a Circulares de exhortación al personal sobre las medidas de seguridad aplicables.

a Bitácoras de control.

a Capacitaciones inherentes a temas relativos a la protección de datos personales.

l Medidas de seguridad físicas: conjunto de acciones y mecanismos para proteger el

entorno físico de los datos personales y de los recursos involucrados en su tratamiento. De
manera enunciativa, mas no limitativa, se ejemplifican las siguientes:

a Almacenamiento bajo llave de los datos personales documentados en papel.

a El acceso a los datos personales condicionado al personal autorizado.

6
Disponible para cualquier persona en el “Apartado de Protección de Datos Personales” de la página electrónica del CJF,
accesible en el hipervínculo siguiente: https://www.cjf.gob.mx/transparencia/proteccionDatosPersonales.htm

Unidad de Transparencia
Secretaría Técnica de Protección de datos Personales
9 Pautas para la protección de datos personales por instancias administrativas

a La designación de espacios restringidos para el archivo de información que contenga

datos personales y datos personales sensibles.

l Medidas de seguridad técnicas: Conjunto de acciones y mecanismos que se valen de la

tecnología relacionada con hardware7 y software8 para proteger el entorno digital de los
datos personales y los recursos involucrados en su tratamiento. De manera enunciativa,
mas no limitativa, se ejemplifican las siguientes:

a Aquellas previstas en las Políticas Generales en Materia de Tecnologías de la Información

y Comunicaciones emitidas por la Dirección General de Tecnologías de la Información.

a El acceso a los datos personales contenidos en sistemas electrónicos se condiciona al

personal autorizado.

a Contraseña particular para el equipo utilizado por cada persona servidora pública
autorizada para conocer datos personales.

a Contraseña particular para el acceso a los sistemas electrónicos utilizados en el

tratamiento de datos personales.

En el cumplimiento de lo anterior, las personas servidoras públicas deben apoyarse en

el Documento de Seguridad del Consejo de la Judicatura Federal, el cual describe y da cuenta
de las medidas de seguridad técnicas, físicas y administrativas adoptadas para garantizar la
confidencialidad, integridad y disponibilidad de los datos personales.

Asimismo, establece los mecanismos que serán operados por la Unidad de Transparencia para
el monitoreo, revisión y auditoría de las medidas de seguridad implementadas por cada instancia.

Por su parte, el deber de confidencialidad conlleva la definición e implementación de

controles y mecanismos que tengan por objeto que todas aquellas personas que intervengan en
cualquier fase del tratamiento de los datos personales guarden sigilo respecto de éstos, obligación
que subsistirá aún después de finalizar sus relaciones con el CJF. De manera enunciativa, mas no
limitativa, se ejemplifican los controles de confidencialidad siguientes:

a Registro de la firma de una carta de confidencialidad por parte de las personas servidoras
públicas que utilizan datos personales en el ejercicio de sus funciones, en la que se
comprometan a su sigilo y se hagan sabedoras de la responsabilidad de su uso.

7
Hardware: Conjunto de elementos físicos o materiales que constituyen una computadora o un sistema informático.
8
Software: Conjunto de programas y rutinas que permiten a la computadora realizar determinadas tareas.

Unidad de Transparencia
Secretaría Técnica de Protección de datos Personales
10 Pautas para la protección de datos personales por instancias administrativas

a Circulares regulares difundidas entre el personal en las que se les exhorte al cumplimiento
del deber de confidencialidad.

Para profundizar en la forma en que ambos deberes deben acreditarse, se recomienda la

consulta del Sistema de Gestión de Seguridad de Datos Personales del Consejo de la Judicatura Federal9,
el cual concentra los elementos y actividades interrelacionadas para establecer, implementar,
operar, monitorear, revisar, mantener y mejorar el tratamiento y seguridad de los datos personales.

¿De quién es la responsabilidad del tratamiento de los datos

personales?
Cualquier persona servidora pública que en el ejercicio de sus funciones acceda, obtenga,
utilice, registre, organice, conserve, comunique, difunda, almacene, maneje o aproveche datos
personales es responsable de su protección y sujeta a evidenciar el respeto de los principios
y cumplimiento de los deberes dispuestos para su tratamiento.

¿Qué sanciones existen ante el incumplimiento de la protección de

los datos personales?
Entre las causas de sanción dispuestas en el artículo 163 de la Ley General, se encuentran las
siguientes:

l Actuar con negligencia, dolo o mala fe durante la sustanciación de las solicitudes para
el ejercicio de los derechos de acceso, rectificación, cancelación y oposición de datos
personales.

l Incumplir los plazos de atención previstos en la Ley General para responder las solicitudes
para el ejercicio de los derechos de acceso, rectificación, cancelación y oposición de datos
personales o para hacer efectivo el derecho de que se trate.

l Usar, sustraer, divulgar, ocultar, alterar, mutilar, destruir o inutilizar, total o parcialmente y
de manera indebida datos personales, que se encuentren bajo su custodia o a los cuales
tengan acceso o conocimiento con motivo de su empleo, cargo o comisión.

l Dar tratamiento, de manera intencional, a los datos personales en contravención a los

principios y deberes establecidos en la Ley General.

9
Disponible para cualquier persona en el “Apartado de Protección de Datos Personales” de la página electrónica del CJF,
accesible en el hipervínculo siguiente: https://www.cjf.gob.mx/transparencia/proteccionDatosPersonales.htm

Unidad de Transparencia
Secretaría Técnica de Protección de datos Personales
11 Pautas para la protección de datos personales por instancias administrativas

l No contar con el aviso de privacidad, o bien, omitir en el mismo alguno de los elementos
dispuestos para ello en la normativa aplicable.
l Clasificar como confidencial, con dolo o negligencia, datos personales sin que se cumplan
las características señaladas en las leyes que resulten aplicables.
l Incumplir el deber de confidencialidad.
l No establecer medidas de seguridad en los términos previstos por la Ley General.
l Presentar vulneraciones a los datos personales por la falta de implementación de medidas
de seguridad.
l Llevar a cabo la transferencia de datos personales, en contravención a lo previsto en la Ley
General.
l Crear bases de datos personales en contravención a lo dispuesto por la Ley General.
La contravención de lo señalado será sujeto de actualizar una falta administrativa de las
reguladas en la Ley General de Responsabilidades Administrativas.

¿Qué son las solicitudes de derechos ARCO y cómo debo

gestionarlas?
Se refieren a las peticiones de acceso, rectificación, cancelación u oposición (ARCO) de datos
personales que realizan las personas físicas a quienes éstos corresponden, es decir, sus titulares o
quienes acrediten su representación legal.

En síntesis, se refieren a los siguiente:

a Acceso: prerrogativa que tiene la persona titular de solicitar el acceso a los datos
personales que estén en las bases de datos, sistemas, archivos, registros o expedientes
de cualquier instancia a cargo del CJF, así como de conocer información relacionada con
el uso que se da a tales datos personales.

a Rectificación: prerrogativa que tiene la persona titular de solicitar la corrección de

sus datos personales cuando éstos sean inexactos, incompletos o no se encuentren
actualizados.

a Cancelación: prerrogativa que tiene la persona titular de solicitar que sus datos
personales se eliminen de los archivos, registros, expedientes, sistemas, bases de datos
de cualquier instancia a cargo del CJF.

Unidad de Transparencia
Secretaría Técnica de Protección de datos Personales
12 Pautas para la protección de datos personales por instancias administrativas

a Oposición: es la prerrogativa que tiene la persona titular de solicitar que sus datos
personales no se utilicen para ciertos fines, o de requerir que se concluya el uso de los
mismos a fin de evitar un daño a su persona.

Tales derechos, son independientes entre sí, por lo que sus titulares pueden ejercer cualquiera
de ellos en un mismo momento.

El trámite de las solicitudes de ejercicios de derechos ARCO sigue el curso siguiente:

u Unidad de
Recepción de la Transparencia
solicitud ARCO

u Unidad de Transparencia
Requerimiento del a instancia administrativa
pronunciamiento competente
de procedencia
u Instancia
administrativa
Pronunciamiento competente a la Unidad de
de procedencia Transparencia

u Unidad de
Respuesta Transparencia a
a persona persona solicitante
solicitante
u Si la respuesta constituye una
En su caso, Comité inexistencia, incompetencia
de Transparencia o negativa, el Comité podrá
confirmar, modificar o revocar
tal pronunciamiento

Una vez recibidas, las solicitudes de ejercicio de derechos ARCO son tramitadas por la Unidad
de Transparencia ante la instancia del CJF que resulte competente.

Para ello, se le requerirá un pronunciamiento que, fundada y motivadamente, determine lo

siguiente:

1. La existencia, o no, del dato o datos personales sobre los que versa la solicitud ARCO.

En caso de que se determine la inexistencia del dato personales, la instancia administrativa

deberá aportar a la Unidad de Transparencia los elementos mínimos que permitan tener
la certeza de que se utilizó un criterio de búsqueda exhaustivo; así como señalar las
circunstancias de tiempo, modo y lugar que generaron la inexistencia en cuestión y la
unidad administrativa competente de contar con los mismos.

Unidad de Transparencia
Secretaría Técnica de Protección de datos Personales
13 Pautas para la protección de datos personales por instancias administrativas

2. La factibilidad del ejercicio del derecho, es decir si este resulta procedente o se

actualiza alguna de las causas de improcedencia para su ejercicio.

De no advertir la actualización de alguna causa de improcedencia, la instancia podrá

determinar procedente el ejercicio del derecho.

De conformidad con el artículo 55 de la Ley General, las únicas causas por las que el ejercicio
de los derechos ARCO no será procedente son:

- La persona titular o su representante no estén debidamente acreditadas para ello.

- Los datos personales no se encuentren en posesión del responsable.

- Exista un impedimento legal.

- Se lesionen los derechos de una tercera persona.

- Se obstaculicen actuaciones judiciales o administrativas.

- Exista una resolución de autoridad competente que restrinja el acceso a los datos
personales o no permita la rectificación, cancelación u oposición de los mismos.

- La cancelación u oposición haya sido previamente realizada.

- La instancia responsable no sea competente.

- Sean necesarios para proteger intereses jurídicamente tutelados de la persona titular.

- Sean necesarios para dar cumplimiento a obligaciones legalmente adquiridas por la

persona titular.

- En función de sus atribuciones legales el uso cotidiano, resguardo y manejo sean

necesarios y proporcionales para mantener la integridad, estabilidad y permanencia del
Estado mexicano.

- Los datos personales sean parte de la información que las entidades sujetas a la
regulación y supervisión financiera del sujeto obligado hayan proporcionado a éste,
en cumplimiento a requerimientos de dicha información sobre sus operaciones,
organización y actividades.

Unidad de Transparencia
Secretaría Técnica de Protección de datos Personales
14 Pautas para la protección de datos personales por instancias administrativas

Cabe precisar que, de determinar la actualización de alguna de las causales de improcedencia,

tal pronunciamiento será sometido al conocimiento del Comité de Transparencia10, órgano que
podrá confirmar, modificar o revocar tal respuesta.

3. En caso del derecho de acceso, el formato en que los datos personales se encuentran
(físico o electrónico), así como la modalidad en que estos pueden ser reproducidos.

Es importante destacar que la Unidad de Transparencia es la instancia facultada para:

a Auxiliar y orientar a la persona titular que lo requiera con relación al ejercicio del derecho
a la protección de datos personales.

a Gestionar las solicitudes para el ejercicio de los derechos ARCO.

a Establecer mecanismos para asegurar que los datos personales solo se entreguen a su
titular o su representante.

a Informar a la persona titular o su representante el monto de los costos a cubrir por

la reproducción y envío de los datos personales, con base en lo establecido en las
disposiciones normativas aplicables.

Por lo que en caso de que resulte procedente el ejercicio del derecho ARCO, la instancia
administrativa deberá remitir a la Unidad de Transparencia la determinación correspondiente y, en
su caso, la constancia que acredite que se cumplió con lo solicitado; para que tal cuestión se haga
del conocimiento de la persona titular.

¿Cómo debo realizar una versión pública de documentos

administrativos?
Una versión pública11 es el documento en el que se da acceso a la información testando12 las
palabras, renglones o párrafos que contienen información (i) confidencial y/o (ii) reservada.

10
El Comité de Transparencia es la máxima autoridad en materia de protección de datos personales, se encuentra
integrado por las personas que cuenten con la titularidad de la Secretaría Ejecutiva del Pleno, quien ejerce su Presidencia;
de la Contraloría del Poder Judicial de la Federación; y de la Dirección General de Asuntos Jurídicos.
11
Ley General de Transparencia y Acceso a la Información Pública
Artículo 3. Para los efectos de la presente Ley se entenderá por:
[…]
XXI. Versión Pública: Documento o Expediente en el que se da acceso a información eliminando u omitiendo las partes o
secciones clasificadas.
12
Testar: La omisión o supresión de la información clasificada como reservada o confidencial, empleando sistemas o
medios que impidan la recuperación o visualización de ésta.

Unidad de Transparencia
Secretaría Técnica de Protección de datos Personales
15 Pautas para la protección de datos personales por instancias administrativas

De conformidad con el artículo 3013 del Acuerdo General del Pleno del Consejo de la Judicatura
Federal, que establece las disposiciones en materia de transparencia y acceso a la información pública
en el Consejo, las personas titulares de las áreas son las responsables de elaborar las versiones
públicas de toda la documentación que se encuentren bajo su resguardo, de conformidad con la
normativa aplicable. La publicidad de las versiones públicas no requerirá de aprobación alguna.

Respecto de las resoluciones del Pleno del CJF y de las Comisiones, la persona responsable
de elaborar las versiones públicas será el titular de la secretaría técnica encargada del engrose.
En el supuesto de que existan votos particulares, la o las personas secretarias encargadas de su
elaboración, serán las responsables de su respectiva versión pública, la que deberán entregar en
formato electrónico a la secretaría técnica encargada del engrose.

Información confidencial
En términos del artículo 113 de la Ley Federal de Transparencia y Acceso a la Información Pública14
se considera información confidencial la siguiente:

a La que contiene datos personales concernientes a una persona física identificada o

identificable.

a Los secretos bancario, fiduciario, industrial, comercial, fiscal, bursátil y postal, cuya
titularidad corresponda a particulares, sujetos de derecho internacional o a sujetos
obligados cuando no involucren el ejercicio de recursos públicos.
13
Artículo 30.
De la elaboración de las versiones públicas
Los titulares de las áreas serán los responsables de elaborar las versiones públicas de toda la documentación que se encuentren
bajo su resguardo, de conformidad con la normativa aplicable.
La publicidad de las versiones públicas no requerirá de aprobación alguna.
[…]
Respecto de las resoluciones del Pleno y de las Comisiones, el responsable de elaborar las versiones públicas será el secretario
técnico encargado del engrose.
En el supuesto de que existan votos particulares, el o los secretarios encargados de su elaboración, serán los responsables de su
respectiva versión pública, la que deberán entregar en formato electrónico al secretario encargado del engrose.
[…].
14
Artículo 113. Se considera información confidencial:
I. La que contiene datos personales concernientes a una persona física identificada o identificable;
II. Los secretos bancario, fiduciario, industrial, comercial, fiscal, bursátil y postal, cuya titularidad corresponda a particulares, sujetos
de derecho internacional o a sujetos obligados cuando no involucren el ejercicio de recursos públicos, y
III. Aquella que presenten los particulares a los sujetos obligados, siempre que tengan el derecho a ello, de conformidad con lo
dispuesto por las leyes o los tratados internacionales.
La información confidencial no estará sujeta a temporalidad alguna y sólo podrán tener acceso a ella los titulares de la misma, sus
representantes y los Servidores Públicos facultados para ello.

Unidad de Transparencia
Secretaría Técnica de Protección de datos Personales
16 Pautas para la protección de datos personales por instancias administrativas

a Aquella que presenten las y los particulares a las instancias administrativas del CJF,
siempre que tengan el derecho a ello, de conformidad con lo dispuesto por las leyes o
los tratados internacionales.

Al considerar lo anterior, deberá tenerse presente que el artículo 117, fracciones I y II, de la Ley
Federal de Transparencia y Acceso a la Información Pública, establece que para permitir el acceso
a información confidencial resulta necesario obtener el consentimiento de la persona titular; con
excepción, entre otros supuestos, de aquella información que:

a Se encuentre en registros públicos o fuentes de acceso público. Por ejemplo, de

manera enunciativa mas no limitativa: los nombres de personas servidoras públicas que
en la documentación respectiva actúen en ejercicio de sus atribuciones, pues su nombre
figura en el Directorio del CJF15, mismo que constituye una obligación de transparencia
en términos del artículo 70, fracción VII16, de la Ley General de Transparencia y Acceso a
la Información Pública.

a Por ley tenga el carácter de pública. Por ejemplo, de manera enunciativa mas no
limitativa: La remuneración bruta y neta de todas las personas servidoras públicas
de base o de confianza, de todas las percepciones, incluyendo sueldos, prestaciones,
gratificaciones, primas, comisiones, dietas, bonos, estímulos, ingresos y sistemas de
compensación; pues de conformidad con el artículo 70, fracción VIII, de la Ley General
de Transparencia y Acceso a la Información Pública, esa información debe ser puesta a
disposición del público y mantenerse actualizada por parte del CJF.

Al realizar el análisis de la información que puede considerarse confidencial, deberá atenderse

al caso concreto y al contexto en el que se ubica la información en particular, esto es, debe
realizarse analizando caso por caso, identificando lo siguiente:

Accesible para cualquier persona en la página electrónica del CJF, disponible en el hipervínculo siguiente: https://www.cjf.gob.
15

mx/directorios.htm
16
De las obligaciones de transparencia comunes
Artículo 70. En la Ley Federal y de las Entidades Federativas se contemplará que los sujetos obligados pongan a disposición del
público y mantengan actualizada, en los respectivos medios electrónicos, de acuerdo con sus facultades, atribuciones, funciones u
objeto social, según corresponda, la información, por lo menos, de los temas, documentos y políticas que a continuación se señalan:
[…]
VII. El directorio de todos los Servidores Públicos, a partir del nivel de jefe de departamento o su equivalente, o de menor nivel,
cuando se brinde atención al público; manejen o apliquen recursos públicos; realicen actos de autoridad o presten servicios
profesionales bajo el régimen de confianza u honorarios y personal de base. El directorio deberá incluir, al menos el nombre, cargo
o nombramiento asignado, nivel del puesto en la estructura orgánica, fecha de alta en el cargo, número telefónico, domicilio para
recibir correspondencia y dirección de correo electrónico oficiales;
[…].

Unidad de Transparencia
Secretaría Técnica de Protección de datos Personales
17 Pautas para la protección de datos personales por instancias administrativas

1. Si la información corresponde a algunos de los supuestos de confidencialidad del artículo

113 de la Ley Federal de Transparencia y Acceso a la Información Pública.

2. En caso de actualizar alguno de dichos supuestos, verificar si dicha información se trata

de aquella que pueda difundirse sin el consentimiento de su titular al obrar en registros
públicos o fuentes de acceso público, o que por ley tenga ese carácter; Por ejemplo, de
manera enunciativa y no limitativa: domicilio de instituciones públicas.

Información reservada
El artículo 110 de la Ley Federal de Transparencia y Acceso a la Información Pública17 estipula los
supuestos aplicables para considerar que determinada información tiene el carácter de reservada,
mismos que se sintetizan a continuación:

l Comprometa la seguridad nacional, la seguridad pública o la defensa nacional y cuente

con un propósito genuino y un efecto demostrable;

l Pueda menoscabar la conducción de las negociaciones y relaciones internacionales;

l Se entregue al Estado mexicano expresamente con ese carácter o el de confidencial por

otro u otros sujetos de derecho internacional, excepto cuando se trate de violaciones
graves de derechos humanos o delitos de lesa humanidad de conformidad con el derecho
internacional;

l Pueda afectar la efectividad de las medidas adoptadas en relación con las políticas en
materia monetaria, cambiaria o del sistema financiero del país; pueda poner en riesgo
la estabilidad de las instituciones financieras susceptibles de ser consideradas de riesgo
sistémico o del sistema financiero del país, pueda comprometer la seguridad en la provisión
de moneda nacional al país, o pueda incrementar el costo de operaciones financieras que
realicen los sujetos obligados del sector público federal;

l Pueda poner en riesgo la vida, seguridad o salud de una persona física;

l Obstruya las actividades de verificación, inspección y auditoría relativas al cumplimiento

de las leyes o afecte la recaudación de contribuciones;

l Obstruya la prevención o persecución de los delitos;

17
Artículo 110. Conforme a lo dispuesto por el artículo 113 de la Ley General, como información reservada podrá clasificarse
aquella cuya publicación:
[…].

Unidad de Transparencia
Secretaría Técnica de Protección de datos Personales
18 Pautas para la protección de datos personales por instancias administrativas

l La que contenga las opiniones, recomendaciones o puntos de vista que formen parte del
proceso deliberativo de las personas servidoras públicas, hasta en tanto no sea adoptada
la decisión definitiva, la cual deberá estar documentada;

l Obstruya los procedimientos para fincar responsabilidad a las personas servidoras públicas,
en tanto no se haya dictado la resolución administrativa;

l Afecte los derechos del debido proceso;

l Vulnere la conducción de los expedientes judiciales o de los procedimientos administrativos

seguidos en forma de juicio, en tanto no hayan causado estado;

l Se encuentre contenida dentro de las investigaciones de hechos que la ley señale como
delitos y se tramiten ante el Ministerio Público, y

l Las que por disposición expresa de una ley tengan tal carácter.

La clasificación de reserva que se realice debe fundarse y motivarse a través de la aplicación

de la prueba de daño a que se refiere el artículo 11118 de la Ley Federal de Transparencia y Acceso
a la Información Pública, en relación con el diverso 10419 de la Ley General de Transparencia y
Acceso a la Información Pública, en la cual se deberá justificar la totalidad de los aspectos
siguientes:

a Que la divulgación de la información representa un riesgo real, demostrable e identificable

de perjuicio significativo al interés público o a la seguridad nacional.

a Que el riesgo de perjuicio que supondría la divulgación, supera el interés público general
de que se difunda.

a Que la limitación se adecua al principio de proporcionalidad y representa el medio

menos restrictivo disponible para evitar el perjuicio.

Atendiendo a lo establecido en la prueba de daño será necesario fijar un plazo de reserva,

el cual no podrá exceder de 5 años, en términos de lo previsto en los artículos 99, segundo

18
Artículo 111. Las causales de reserva previstas en el artículo anterior se deberán fundar y motivar, a través de la aplicación de la
prueba de daño a la que se refiere el artículo 104 de la Ley General.
19
Artículo 104. En la aplicación de la prueba de daño, el sujeto obligado deberá justificar que:
I. La divulgación de la información representa un riesgo real, demostrable e identificable de perjuicio significativo al interés público
o a la seguridad nacional;
II. El riesgo de perjuicio que supondría la divulgación supera el interés público general de que se difunda, y
III. La limitación se adecua al principio de proporcionalidad y representa el medio menos restrictivo disponible para evitar el perjuicio.

Unidad de Transparencia
Secretaría Técnica de Protección de datos Personales
19 Pautas para la protección de datos personales por instancias administrativas

párrafo20 y 10021 de la Ley Federal de Transparencia y Acceso a la Información Pública; mismo que
debe estar motivado respecto del caso particular y supuesto de reserva que se actualiza.

Elaboración de una versión pública

De conformidad con el artículo 10822 de la Ley Federal de Transparencia y Acceso a la Información
Pública, cuando un documento contenga partes o secciones confidenciales o reservadas, se deberá
elaborar una versión pública en la que estas sean testadas.

Para ello, se debe considerar lo siguiente:

a El documento que se realice deberá indicar ser la versión pública.

a Se deberá señalar la referencia genérica de la información testada sin conceder el acceso

al dato particular, es decir, puntualizar únicamente la naturaleza de la información
a efecto de que cualquier persona que se avoque a su lectura pueda comprender su
contenido sin conocer efectivamente lo testado.

a Será necesario fundar y motivar la clasificación de reserva o confidencialidad que se

realice en la versión pública.

Para efectuar lo anterior se podrá elaborar una certificación que, situada en la parte final del
documento, haga constar lo siguiente:

a El nombre y cargo de la persona servidora pública responsable de la versión pública.

a El artículo y fracción de la Ley Federal de Transparencia y Acceso a la Información Pública

que sustenta la clasificación.

a La motivación correspondiente de acuerdo con el supuesto legal aplicable, indicando la

referencia genérica de la información clasificada.

20
Artículo 99. Los documentos clasificados como reservados serán desclasificados cuando:
[…]
La información clasificada como reservada, según el artículo 110 de esta Ley, podrá permanecer con tal carácter hasta por un
periodo de cinco años. El periodo de reserva correrá a partir de la fecha en que se clasifica el Documento.
21
Artículo 100. Al clasificar información con carácter de reservada es necesario, en todos los casos, fijar un plazo de reserva.
22
Artículo 108. Cuando un documento contenga partes o secciones reservadas o confidenciales, los sujetos obligados, para
efectos de atender una solicitud de información, deberán elaborar una Versión Pública en la que se testen las partes o secciones
clasificadas, indicando su contenido de manera genérica y fundando y motivando su clasificación.

Unidad de Transparencia
Secretaría Técnica de Protección de datos Personales
20 Pautas para la protección de datos personales por instancias administrativas

Si el documento contiene únicamente información confidencial bastará con certificar tal

situación, si contiene información confidencial y reservada la certificación deberá fundar y motivar
ambas clasificaciones.

De manera ejemplificativa, la certificación referida podrá realizarse de la forma siguiente:

“El veintidós de marzo de dos mil veintidós, la/el licenciada/o (señalar el nombre
y apellidos), Secretaria/o Técnica/o (señalar el cargo) con adscripción en (señalar la
instancia administrativa de su adscripción), hago constar y certifico que en términos
de lo previsto en los artículos 108, 110, fracción (señalar la fracción aplicable) y
113, fracción (señalar la fracción aplicable), de la Ley Federal de Transparencia y
Acceso a la Información Pública, esta versión pública suprime toda aquella
información considerada legalmente como reservada y confidencial, por
tratarse de (indicar el supuesto aplicable y la referencia genérica, por ejemplo: que pueda
poner en riesgo la vida, seguridad o salud de una persona física; nombres de personas físicas;
lugares de nacimiento, grupo étnico, estado civil, etc.). Conste.”

Para clasificar la información como confidencial o reservada, será indispensable que la persona
servidora pública considere:

w El contexto en que se desenvuelve la información.

w Los aspectos inherentes al caso concreto de la información de que se trata.

w La información que constituye una obligación de transparencia para el CJF, en términos de

los artículos 70 y 73 de la Ley General de Transparencia y Acceso a la Información Pública.

En el análisis de lo que precede pueden contemplarse los elementos y argumentos que, de

manera enunciativa más no limitativa, se ejemplifican a continuación:

Dato Elemento para considerar

El nombre es uno de los atributos de la personalidad y la
Nombres de
manifestación principal del derecho subjetivo a la identidad, en
particulares
virtud de que hace a una persona física identificada e identificable.

El nombre de las personas servidoras públicas que actúen en

Nombres de personas ejercicio de sus atribuciones es información pública, pues además
servidoras públicas de dar cuenta de sus actuaciones, su disposición constituye
información inherente a las obligaciones de transparencia del CJF.

Unidad de Transparencia
Secretaría Técnica de Protección de datos Personales
21 Pautas para la protección de datos personales por instancias administrativas

Dato Elemento para considerar

El estado civil es un atributo de la personalidad que se refiere a la

posición que ocupa una persona en relación con la familia y, por
Estado Civil
su propia naturaleza, puede considerarse como un dato personal
que incide en la esfera privada de las personas.

Consiste en un dato concerniente a una persona física identificada

Fecha de nacimiento / o identificable, por lo que dar a conocerlo revelaría los años con
Edad los que cuenta y se afectaría la intimidad de la persona titular del
mismo.

La nacionalidad es un atributo de la personalidad que señala a

Lugar de nacimiento
y/o nacionalidad
las y los individuos como miembros de un Estado, es decir, es el
vínculo legal que relaciona a una persona con su nación de origen
y, su difusión puede afectar su esfera de privacidad, pues revela
el país del cual es originaria e identificar su origen geográfico,
territorial o étnico.

Se refiere a un número distintivo de identificación de cada persona

Número de cartilla
militar (matrícula)
mexicana por haber llevado a cabo la obligación de integrarse al
servicio militar, por lo que son datos que únicamente le atañen
a dicha persona, aunado a que es un documento de carácter
personalísimo cuyo propósito es que sea utilizado únicamente
por su titular.

En la identificación oficial de las personas que además del

nombre y su nacionalidad informa el número de pasaporte,
fecha de nacimiento, sexo, lugar de nacimiento, tipo o categoría
del pasaporte, hábitos y frecuencias de viaje, destinos de éstos,
Pasaporte referencias de familiares o personas a que se puede contactar
en caso de accidente o emergencia, teléfono, dirección, código
postal, referencia de contar con visa para ingresar a países y los
datos de su identificación y, en virtud de ser datos personales,
requieren de su protección.

Unidad de Transparencia
Secretaría Técnica de Protección de datos Personales
22 Pautas para la protección de datos personales por instancias administrativas

Dato Elemento para considerar

El Código Civil Federal prevé en su artículo 29 que corresponde al

Domicilio particular de
una persona física
lugar donde las personas físicas residen habitualmente y a falta
de éste, el lugar del centro principal de sus negocios; en ausencia
de éstos, el lugar donde simplemente residan y en su defecto, el
lugar donde se encontraren.
El domicilio es un atributo de la personalidad que consiste en el
lugar donde la persona tiene su residencia con el ánimo real o
presunto de permanecer en ella; también es considerado como
la circunscripción territorial donde se asienta una persona, para
el ejercicio de sus derechos y cumplimiento de sus obligaciones.

Por lo tanto, constituye un dato personal ya que incide

directamente en la privacidad de personas físicas identificadas.

Es una combinación compuesta de 18 caracteres que se compone

de los siguientes datos: primera letra del primer apellido, primer
vocal del primer apellido, primera letra del segundo apellido,
primera letra del primer nombre, fecha de nacimiento, H o
M dependiendo si es hombre o mujer, código de la entidad
Clave Única de
federativa de nacimiento, siguiente consonante del primer
Registro de Población
apellido, siguiente consonante del segundo apellido, siguiente
(CURP)
consonante del primer nombre y homoclave.

Por tanto, se integra de datos personales que sólo conciernen a la

persona titular de los mismos, pues la distingue plenamente del
resto de los habitantes del país.

Constituye un medio para comunicarse con una persona física

Número telefónico de identificada o identificable como titular, por lo que la hace
particulares localizable. Por lo tanto, se trata de información que al darse a
conocer afectaría la intimidad de la persona respectiva.

Unidad de Transparencia
Secretaría Técnica de Protección de datos Personales
23 Pautas para la protección de datos personales por instancias administrativas
Dato
Cuenta de correo
electrónico de
particulares
(personal)
Datos contenidos en la
credencial de elector
Referencias para
depósitos bancarios
Origen racial o étnico,
estado de salud,
creencias religiosas y
opiniones
Elemento para considerar
Es un servicio de red que permite a las cuentas usuarias enviar y
recibir mensajes y archivos rápidamente (también denominados
mensajes electrónicos o cartas electrónicas) mediante sistemas
de comunicación electrónicos.
La dirección de correo electrónico es un conjunto de palabras que
constituyen una cuenta que permite el envío mutuo de correos
electrónicos, por lo que es privada y única, ya que identifica a
una persona como titular de la misma, pues para tener acceso se
requiere un nombre de usuario, así como una contraseña, por lo
que nadie que no sea el propietario puede utilizarla.
Contiene diversa información que, en su conjunto, configura
el concepto de dato personal al estar referida a personas
físicas identificadas, tales como: domicilio particular, número
de credencial de elector y clave de elector, firma, Clave Única
de Registro de Población, sexo, edad, año de registro, huella
digital, fotografía de elector, clave de registro, estado, municipio,
localidad y vigencia.
El número de referencia bancaria es un número único que se
utiliza para identificar la factura para la que se realiza el pago, a
través del cual se puede acceder a información relacionada con
su patrimonio y realizar diversas transacciones.
Por ello, al dar cuenta de aspectos inherentes al manejo de
los activos y pasivos de las personas en cumplimiento de sus
objetivos financieros resulta un dato susceptible de protección.
Se refieran a la esfera más íntima de su titular, o cuya utilización
indebida pueda dar origen a discriminación o conlleve un riesgo
grave para éste; por lo que son considerados datos personales
sensibles.
Unidad de Transparencia
Secretaría Técnica de Protección de datos Personales
24 Pautas para la protección de datos personales por instancias administrativas

Dato Elemento para considerar

La denominación o razón social de personas morales es pública
por encontrarse inscritas en el Registro Público de Comercio. Por
lo que respecta a su Registro Federal de Contribuyentes (RFC),
en principio, también es público, ya que no se refiere a hechos o
actos de carácter económico, contable, jurídico o administrativo
que sean útiles o representen una ventaja a sus competidores.

Esto es, las personas morales inscritas en el Registro Público del

Registro Federal de
Contribuyentes de
personas morales
(RFC)
Comercio, ya se encuentran identificadas, por lo que la publicidad
de ese dato no implicaría una vulneración a su esfera jurídica,
ya que éste solo da cuenta de información que ya se encuentra
disponible al público, tal como la denominación o razón social de
la persona moral.

Lo anterior, en términos de la resolución del Instituto Nacional

de Transparencia, Acceso a la Información y Protección de Datos
Personales (INAI) dictada en el recurso de revisión RRA 4526/18,
así como del criterio 01/14 del INAI, de rubro: “Denominación
o razón social, y Registro Federal de Contribuyentes de personas
morales, no constituyen información confidencial.”

Registro Federal de
Contribuyentes de
personas físicas
(RFC)
Se trata de una clave de carácter fiscal, única e irrepetible que
permite identificar a la persona titular como persona física, su
edad y fecha de nacimiento, por lo que constituye información
susceptible de protección.

¿Dónde puedo pedir orientación en materia de protección de

datos personales?
La Unidad de Transparencia podrá brindar orientación respecto de cuestiones inherentes a la
protección de datos personales o la actualización de supuestos previstos para clasificar información
reservada o confidencial, para lo cual se pone a disposición el teléfono 55-54-49-95-00 extensiones
1208, 1231 y 1228, correo electrónico transparenciacjf@correo.cjf.gob.mx

Unidad de Transparencia
Secretaría Técnica de Protección de datos Personales