Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Lineamientos Ley de Proteccion de Datos 2019
Lineamientos Ley de Proteccion de Datos 2019
Las leyes y demás disposiciones son de observancia obligatoria por el solo hecho de publicarse
en este periódico. Registrado como artículo de 2a. clase el 28 de noviembre de 1921.
Tabachín # 107, Col. Nva. Jacarandas, C.P. 58099 SÉPTIMA SECCIÓN Tels. y Fax: 3-12-32-28, 3-17-06-84
A
G
SECRETARÍA GENERAL
E
Gobernador Constitucional del Estado LINEAMIENTOS DE LA LEY DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN
de Michoacán de Ocampo DE SUJETOS OBLIGADOS DEL ESTADO DE MICHOACÁN DE OCAMPO
L
Obligados del Estado de Michoacán de Ocampo1; expide los Lineamientos para
la Protección de Datos Personales en Posesión de Sujetos Obligados para el
CONSIDERANDO
N
PRIMERO. Que el párrafo segundo del artículo 16 de la Constitución Política de
I
Tiraje: 50 ejemplares
los Estados Unidos Mexicanos señala que toda persona tiene derecho a la
Esta sección consta de 24 páginas protección de sus datos personales, al acceso, rectificación y cancelación de los
IA $ 36.00 atrasado seguridad nacional, disposiciones de orden público, seguridad y salud pública o
para proteger los derechos de terceros; así como al artículo 8, fracción III de la
P
Constitución Política del Estado Libre y Soberano de Michoacán de Ocampo en
Para consulta en Internet: materia de protección de datos personales.
O
www.michoacan.gob.mx/noticias/p-oficial
www.congresomich.gob.mx SEGUNDO. Que el Instituto Michoacano de Transparencia, Acceso a la
C
Información y Protección de Datos Personales es la autoridad encargada de
Correo electrónico
periodicooficial@michoacan.gob.mx 1
En lo subsecuente, la Ley.
PÁGINA 2 Viernes 29 de Noviembre de 2019. 7a. Secc. PERIÓDICO OFICIAL
garantizar a toda persona la protección de sus datos establecer las políticas, criterios y procedimientos para
personales que se encuentren en posesión de los Sujetos proveer la aplicación e implementación de la Ley de
Obligados, a través de la aplicación de la Ley de Protección Protección de Datos Personales en Posesión de Sujetos
de Datos Personales en Posesión de Sujetos Obligados del Obligados del Estado de Michoacán de Ocampo.
Estado de Michoacán de Ocampo.
Definiciones
TERCERO. Que el trece de noviembre de dos mil diecisiete
se publicó, en el Periódico Oficial del Gobierno Artículo 2. Para los efectos de la Ley de Protección de
Constitucional del Estado de Michoacán de Ocampo, la Ley Datos Personales en Posesión de Sujetos Obligados y de
de Protección de Datos Personales en Posesión de Sujetos los presentes Lineamientos, además de las definiciones
Obligados del Estado de Michoacán de Ocampo, entrando contenidas en la propia Ley, se entenderá por:
en vigor al día siguiente de su publicación, la cual tiene por
objeto establecer las bases, principios y procedimientos I. Autentificación: Acreditación y comprobación de
para garantizar el derecho que tiene toda persona a la la identidad de la persona permitida o autorizada para
protección de sus datos personales. el tratamiento de datos personales;
CUARTO. Que el dos de septiembre de dos mil diecinueve II. Bloqueo: La identificación y reserva de datos
L
se ordena al Instituto Michoacano de Transparencia, personales, con el fin de impedir su tratamiento.
Acceso a la Información y Protección de Datos Personales
A
a emitir los lineamientos a que se refiere el artículo transitorio Durante dicho periodo, los datos personales no
quinto de la Ley General de Protección de Datos Personales podrán ser objeto de tratamiento y, transcurrido éste,
G
en Posesión de Sujetos Obligados, dentro de los noventa se procederá a su cancelación del sistema al que
días naturales siguientes en que se notifique la resolución a correspondan;
E
este Instituto.
III. Cancelación: Eliminación total de una base de datos
QUINTO. Por medio de la protección de los datos personales,
se garantiza a las personas físicas el derecho que tienen
L
o de determinados datos que se encuentran en ella,
previo bloqueo de éstos;
"Versión digital de consulta, carece de valor legal (artículo 8 de la Ley del Periódico Oficial)"
N
que se establecen las políticas, criterios y procedimientos recabados;
SI
que deberán observar los Sujetos Obligados, para proveer
la aplicación e implementación de la Ley de Protección de
Datos Personales en Posesión de Sujetos Obligados del
Estado de Michoacán de Ocampo, para quedar como siguen:
VII. Incidencia: Cualquier acontecimiento que afecte o
pudiera vulnerar la seguridad de los datos personales;
IA TÍTULO PRIMERO
DISPOSICIONES GENERALES
Datos Personales en Posesión de Sujetos Obligados
del Estado de Michoacán; y,
P Capítulo I
Del Objeto de la Ley
IX. Responsable: Servidor público que, en ejercicio de
sus facultades, decide sobre el tratamiento, contenido
O Objeto
y finalidad de los datos personales que custodia.
C
Artículo 1. Los presentes Lineamientos son de observancia
obligatoria para los Sujetos Obligados y tienen por objeto
Ámbito de Validez Subjetivo
todos los sujetos obligados del Estado de Michoacán en IV. Las medidas adaptadas para que el tratamiento
términos de lo dispuesto en el artículo 2, fracción III de la posterior de los datos personales cumpla con las
Ley en la materia. disposiciones previstas en la Ley general y los
presentes Lineamientos generales.
Ámbito de Validez Objetivo
Principio de Lealtad
Artículo 4. Los presentes Lineamientos generales serán
aplicables al tratamiento de datos personales de personas Artículo 9. En los términos de lo dispuesto en el artículo 15
físicas que obren en soportes físicos y/o electrónicos a que de la referida Ley y los presentes Lineamientos, se entenderá:
se refiere el artículo 4 de la Ley que nos ocupa.
I. Por medios engañosos o fraudulentos aquellos que
TÍTULO SEGUNDO el responsable utilice para tratar los datos personales
PRINCIPIOS Y DEBERES con dolo, mala fe o negligencia;
E
Ley de Protección de Datos Personales en Posesión
L
Principio de Licitud de Sujetos Obligados del Estado de Michoacán de
Ocampo y los presentes Lineamientos.
Artículo 6. En términos del artículo 13 de la Ley de
"Versión digital de consulta, carece de valor legal (artículo 8 de la Ley del Periódico Oficial)"
R
Protección de Datos Personales en Posesión de Sujetos Principio del Consentimiento
Obligados del Estado de Michoacán de Ocampo, el
O
responsable deberá tratar los datos personales que posea Artículo 10. Previo al tratamiento de los datos personales, el
sujetándose a las atribuciones o facultades que la responsable deberá obtener el consentimiento del titular, de
L
normatividad aplicable le confiera. manera libre, específica e informada, términos del artículo 16 de
la Ley en cita, salvo que se actualice alguna de las causales de
A
Principio de Finalidad excepción previstas en el artículo 18 del mismo ordenamiento.
S
Tratamiento para Finalidades Distintas y los presentes Lineamientos.
A
finalidades distintas a aquellas establecidas en el aviso de
I
privacidad, el responsable deberá considerar: Artículo 11. El consentimiento será expreso cuando la
voluntad del titular se manifieste verbalmente, por escrito,
I.
P
La expectativa razonable de privacidad del titular
basada en la relación que tiene con éste;
por medios electrónicos, ópticos, signos inequívocos o por
cualquier otra tecnología, de acuerdo con lo dispuesto en el
II.
O
La naturaleza de los datos personales;
artículo 17, primer párrafo de la Ley en la materia.
III.
C
Las consecuencias del tratamiento posterior de los
datos personales para el titular; y,
Consentimiento Tácito
L
de sus datos personales.
Artículo 14. En cualquier momento, el titular podrá
A
revocar el consentimiento que ha otorgado para el Aviso de Privacidad
tratamiento de sus datos personales sin que se le
G
atribuyan efectos retroactivos a la revocación, a través Artículo 19. El aviso de privacidad tiene por objeto informar
del ejercicio de los derechos de cancelación y oposición al titular sobre los alcances y condiciones generales del
E
de conformidad con lo dispuesto en la Ley y los presentes tratamiento a que serán sometidos sus datos personales, a
Lineamientos. fin de que esté en posibilidad de tomar decisiones informadas
personales son:
II.
que pudieran afectar su veracidad; y,
N
tratamiento y de las atribuciones del responsable.
Principio de Proporcionalidad
SI
Artículo 16. En términos del artículo 21 de la Ley y los
Artículo 21. El responsable podrá difundir, poner a
disposición o reproducir el aviso de privacidad en formatos
físicos y electrónicos, que permitan su eficaz
comunicación.
presentes Lineamientos, se entenderá que los datos
IA
personales son adecuados, relevantes y estrictamente
necesarios cuando son apropiados, indispensable y no
Denominación del Responsable en el Aviso
de Privacidad Simplificado
P
excesivos para el cumplimiento de las finalidades que
motivaron su obtención, de acuerdo con las atribuciones Artículo 22. Para dar cumplimiento a lo establecido en el
conferidas al responsable por la normatividad que le resulte artículo 23, fracción I de la Ley, el responsable deberá señalar
aplicable.
O su denominación completa y podrá incluir, de manera
adicional, la denominación, abreviaturas o acrónimos por
C Criterio de Minimización
Finalidades del Tratamiento en el Aviso de Privacidad opciones de marcado en el propio aviso de privacidad, o
Simplificado bien, cualquier otro medio que determine pertinente, siempre
y cuando el medio esté disponible al momento en que el
Artículo 23. Para dar cumplimiento a lo establecido en el titular consulte el aviso de privacidad y permita que éste
artículo 23, fracción II de la Ley, el responsable deberá manifieste su negativa, previo al tratamiento de sus datos
describir puntualmente cada una de las finalidades para las personales o a la transferencia de éstos, según corresponda.
cuales se tratarán los datos personales conforme a lo
siguiente: Consulta del Aviso de Privacidad Integral en el Aviso
de Privacidad Simplificado
a) El listado de finalidades deberá ser completo y no
utilizar frases inexactas, ambiguas o vagas, como Artículo 26. Para dar cumplimiento a lo establecido en el
«entre otras finalidades», «otros fines análogos» o artículo 23 fracción V de la Ley, el responsable deberá señalar
«por ejemplo»; el sitio, lugar o mecanismo implementado para que los
titulares puedan conocer el aviso de privacidad integral.
b) Las finalidades descritas en el aviso de privacidad
deberán ser específicas, redactadas con claridad y Para seleccionar este mecanismo, el responsable deberá
de tal manera que el titular identifique cada una de considerar el perfil de los titulares, la forma en que mantiene
éstas y no tenga confusión sobre el alcance de las contacto o comunicación con éstos, que sean gratuitos: de
mismas; y,
L
fácil acceso; con la mayor cobertura posible y que estén
debidamente habilitados y disponibles en todo momento
c) El listado de finalidades deberá identificar y distinguir
aquellas finalidades que requieren del
para el titular.
A
consentimiento del titular de aquéllas que no lo
requieren.
EG
Transferencias en el Aviso de Privacidad
L
Información sobre Transferencias de los Datos se refieren los artículos 23 y 24 de la Ley, el responsable
Personales en el Aviso de Privacidad Simplificado podrá comunicar en el aviso de privacidad integral, al menos,
las transferencias de datos personales que no requieran del
"Versión digital de consulta, carece de valor legal (artículo 8 de la Ley del Periódico Oficial)"
R
Artículo 24. Para dar cumplimiento a lo establecido en el consentimiento del titular. Para informar al titular sobre las
artículo 61 de la Ley; el responsable deberá señalar las transferencias, nacionales y/o internacionales, de datos
O
transferencias de datos personales que requieran para su personales que, en su caso, efectúe y que no requieran de
realización del consentimiento del titular, precisando: su consentimiento, el responsable deberá indicar lo siguiente
L
en el aviso de privacidad integral:
1. Los destinatarios o terceros receptores, de carácter
A
público o privado, nacional y/o internacional, de los I. Los destinatarios o terceros receptores, de carácter
datos personales, ya sea identificando cada uno de público o privado, nacional y/o internacional, de los
éstos por su nombre, denominación o razón social;
o bien, clasificándolos por categorías según
corresponda. V datos personales, identificando cada uno de éstos
por su nombre, denominación o razón social;
2.
IN
Las finalidades de las transferencias de los datos
II. Las finalidades de las transferencia de los datos
personales relacionadas por cada destinatario o
S
personales relacionadas por cada destinatario o tercero receptor; y,
tercero receptor.
III. El fundamento legal que lo faculta o autoriza para
IA
Mecanismos y Medios para Manifestar la Negativa del
Titular en el Aviso de Privacidad Simplificado
llevarlas a cabo, señalando el o los artículos,
apartados, fracciones, incisos y nombre de los
ordenamientos o disposición normativa vigente,
P
Artículo 25. Para dar cumplimiento a lo establecido en el
artículo 23 fracción IV de la Ley, el responsable deberá incluir
precisando su fecha de publicación o, en su caso, la
fecha de la última reforma o modificación.
O
o informar sobre los mecanismos y medios que tiene
habilitados para que el titular pueda manifestar su negativa Domicilio del Responsable en el Aviso
C
para el tratamiento de sus datos personales.
El responsable podrá incluir otros datos de contacto como En ambos casos, el responsable deberá informar, al menos,
podrían ser, de manera enunciativa más no limitativa, la lo siguiente:
dirección de su página de internet, correo electrónico y
número telefónico habilitados para la atención del público I. Los requisitos que deberá contener la solicitud para
en general. el ejercicio de los derechos ARCO a que se refiere el
artículo 48 de la Ley;
Datos Personales en el Aviso de Privacidad Integral
II. Los medios a través de los cuales el titular podrá
Artículo 29. Para dar cumplimiento a lo establecido en el presentar solicitudes para el ejercicio de los derechos
artículo 24 fracción II de la Ley, el responsable deberá indicar ARCO;
los datos personales solicitados para el tratamiento que
llevará a cabo, tanto los que recaba directamente el titular III. Los formularios, sistemas y otros métodos
como aquéllos que obtiene indirectamente, distinguiendo simplificados que, en su caso, el Instituto hubiere
L
expresamente los datos personales de carácter sensible. establecido para facilitar al titular el ejercicio de sus
derechos ARCO;
A
El responsable deberá cumplir con esta obligación ya sea
identificando puntualmente cada uno de los datos personales IV. Los medios habilitados para dar respuesta a las
G
solicitados para el tratamiento que llevará a cabo, o bien, solicitudes para el ejercicio de los derechos ARCO;
señalando el tipo de datos personales según corresponda. V. La modalidad o medios de reproducción de los datos
E
personales;
En el caso del tratamiento de datos personales sensibles,
deberá justificarse su obtención. VI.
L
Los plazos establecidos dentro del procedimiento;
y,
"Versión digital de consulta, carece de valor legal (artículo 8 de la Ley del Periódico Oficial)"
N
lo faculta o le confiera atribuciones para realizar el tratamiento al menos, la calle, número, colonia, municipio, código postal,
SI
de datos personales que informa en el aviso de privacidad,
precisando su fecha de publicación o, en su caso, la fecha
de la última reforma o modificación, con independencia de
que dicho tratamiento requiera del consentimiento del titular.
correo electrónico institucional y número telefónico.
IA
Mecanismos y Medios para el Ejercicio
de los Derechos ARCO
artículo 24 fracción VII de la Ley, el responsable deberá
señalar el o los medios disponibles a través de los cuales
P
hará del conocimiento del titular los cambios o
Artículo 31. Para dar cumplimiento a lo establecido en el actualizaciones efectuados al aviso de privacidad
artículo 24 fracción V de la Ley, el responsable deberá simplificado e integral.
O
informar sobre los mecanismos, medios y procedimientos
habilitados para atender las solicitudes para el ejercicio de Para tal efecto, el responsable deberá incluir en el aviso de
C
los derechos ARCO.
E
permitan aplicar de forma efectiva el cumplimiento de los
L
Políticas y Programas de Protección principios, deberes y demás obligaciones previstas en la
de Datos Personales Ley y los presentes Lineamientos, en sus políticas,
programas, servicios, sistemas o plataformas informáticas,
"Versión digital de consulta, carece de valor legal (artículo 8 de la Ley del Periódico Oficial)"
R
Artículo 35. Con relación al artículo 26 fracciones I y II de la aplicaciones electrónicas o cualquier otra tecnología que
Ley, el responsable deberá elaborar e implementar políticas implique el tratamiento de datos personales.
O
y programas de protección de datos personales que tengan
por objeto establecer los elementos y actividades de Lo anterior, considerando los avances tecnológicos, los
L
dirección operación y control de todos sus procesos que, costos de implementación, la naturaleza, el ámbito, el
en el ejercicio de sus funciones y atribuciones, impliquen contexto y los fines del tratamiento de los datos personales,
A
un tratamiento de datos personales a efecto de proteger los riesgos de diversa probabilidad y gravedad que entraña
éstos de manera sistemática y continúa. éste para el derecho a la protección de datos personales de
IN
coordinados y supervisados por su Comité de Transparencia. Protección de Datos Personales por Defecto
S
Capacitación Artículo 40. Para el cumplimiento de los dispuesto en el
artículo 26 fracción VIII de la Ley, el responsable deberá
Artículo 36. Con relación al artículo 26 fracción III de la aplicar medidas técnicas y organizativas apropiadas y
IA
Ley, el responsable deberá establecer anualmente un
programa de capacitación y actualización en materia de
protección de datos personales dirigido a su personal y a
orientadas a garantizar que, por defecto, sólo sean objeto
de tratamiento los datos personales estrictamente
necesarios para cada uno de los fines específicos del
P
encargados, el cual deberá ser aprobado, coordinado y
supervisado por su Comité de Transparencia.
tratamiento.
O
Sistemas de Supervisión y Vigilancia
Lo anterior, resultará aplicable, de manera enunciativa más
no limitativa, a la cantidad de datos personales recabados,
C
Artículo 37. Con relación al artículo 26 fracciones IV y V de
la Ley, por regla general, el responsable deberá revisar las
al alcance del tratamiento, el plazo de conservación de los
datos personales, entre otros factores que considere
relevantes el responsable.
PÁGINA 8 Viernes 29 de Noviembre de 2019. 7a. Secc. PERIÓDICO OFICIAL
Tratamiento de Datos Personales Sensibles documentar los roles y responsabilidades, así como la cadena
de rendición de cuentas de todas las personas que trate
Artículo 41. El responsable no podrá llevar a cabo datos personales en su organización, conforme al sistema
tratamientos de datos personales que tengan como efecto de gestión implementado.
la discriminación de los titulares por su origen étnico o racial
, su estado de salud presente, pasado o futuro, su información El responsable deberá establecer mecanismos para asegurar
genética, sus opiniones políticas, su religión o creencias que todas las personas involucradas en el tratamiento de
filosóficas o morales y su preferencia sexual, con especial datos personales en su organización, conozcan sus
énfasis a aquéllos automatizados. funciones para el cumplimiento de los objetivos del sistema
de gestión, así como las consecuencias de su
Capítulo II incumplimiento.
De los Deberes
Inventario de Datos Personales
Contenido de las Políticas Internas de Gestión
y Tratamiento de los Datos Personales Artículo 44. Con relación a lo previsto en el artículo 29
fracción III de la Ley, el responsable, deberá elaborar un
Artículo 42. Con relación a lo previsto en el artículo 29 inventario con la información básica de cada tratamiento de
L
fracción I de la Ley, el responsable deberá incluir en el diseño datos personales, considerando, al menos, los siguientes
e implementación de las políticas internas para la gestión y elementos:
A
el tratamiento de los datos personales, al menos, lo siguiente:
I. El catálogo de medios físicos y electrónicos a través
G
I. El cumplimiento de todos los principios, deberes, de los cuales se obtienen los datos personales;
derechos y demás obligaciones en la materia, de
E
conformidad con lo previsto en la Ley y los presentes II. Las finalidades de cada tratamiento de datos
Lineamientos; personales;
III.
IV.
Las sanciones en caso de incumplimiento;
N
durante dicho ciclo en función de las finalidades que formaliza la prestación de los servicios que
V.
para las que fueron recabados;
SI
El proceso general para el establecimiento,
actualización, monitoreo y revisión de los
VII.
brinda al responsable; y,
IA
el análisis de riesgo realizado previamente al
tratamiento de los datos personales; y, Ciclo de Vida de los Datos Personales
P
en el Inventario de Éstos
VI. El proceso general de atención de los derechos
ARCO. Artículo 45. Aunado a lo dispuesto en el artículo anterior de
O Funciones y Obligaciones
los presentes Lineamientos, en la elaboración del inventario
de datos personales el responsable deberá considerar el ciclo
C
Artículo 43. Con relación a lo dispuesto en el artículo 29
fracción II de la Ley, el responsable deberá establecer y
de vida de los datos personales conforme lo siguiente:
II. El almacenamiento de los datos personales; 29 fracción VI de la Ley, el responsable deberá elaborar un
plan de trabajo que defina las acciones e implementar de
III. El uso de los datos personales conforme a su acceso, acuerdo con el resultado del análisis de riesgos y del análisis
manejo, aprovechamiento, monitoreo y de brecha, priorizando las medidas de seguridad más
procesamiento, incluyendo los sistemas físicos y/o relevantes e inmediatas a establecer.
electrónicos utilizados para tal fin;
Monitoreo y Supervisión Periódica de las medidas
IV. La divulgación de los datos personales considerando de Seguridad Implementadas
las remisiones y transferencias que, en su caso, se
efectúen; Artículo 49. Con relación al artículo 29 fracción VII de la
Ley, el responsable deberá evaluar y medir los resultados
V. El bloqueo de los datos personales, en su caso; y, de las políticas, planes, procesos y procedimientos
implementados en materia de seguridad y tratamiento de
VI. La cancelación, supresión o destrucción de los datos los datos personales, a fin de verificar el cumplimiento de
personales. los objetivos propuestos y, en su caso, implementar mejora
de manera continua.
Análisis de Riesgo
Para cumplir con lo establecido en el párrafo anterior, el
Artículo 46. Para el cumplimiento al artículo 29 fracción IV
de la Ley, el responsable deberá realizar un análisis de riesgo L
responsable deberá monitorear continuamente lo siguiente:
E
podría ser el cambio o migración tecnológica, entre
L
II. El valor de los datos personales de acuerdo a su otras;
clasificación previamente definitiva y su ciclo de vida;
III. Las nuevas amenazas que podrían estar activas
"Versión digital de consulta, carece de valor legal (artículo 8 de la Ley del Periódico Oficial)"
R
III. El valor y exposición de los activos involucrados en dentro y fuera de su organización y que no han sido
el tratamiento de los datos personales; valoradas;
Análisis de Brecha
VA V. Las vulnerabilidades identificadas para determinar
aquéllas expuestas a amenazas nuevas o pasadas
que vuelvan a surgir;
IN
Artículo 47. Con relación al artículo 29 fracción V de la Ley,
para la realización del análisis de brecha el responsable
VI. El cambio en el impacto o consecuencias de
amenazas valoradas, vulnerabilidades y riesgos en
S
deberá considerar lo siguiente: conjunto, que resulten en un nivel inaceptable de
riesgo; y,
I. Las medidas de seguridad existentes y efectivas;
II.
IA
Las medidas de seguridad faltantes; y,
VII. Los incidentes y vulneraciones de seguridad
ocurridas.
III.
P
La existencia de nuevas medidas de seguridad que
pudieran remplazar a uno o más controles
Capacitación
O
implementados actualmente. Artículo 50. Para el cumplimiento de lo previsto en el artículo
29 fracción VIII de la Ley, el responsable deberá diseñar e
C Plan de Trabajo
L
de nacimiento del menor de edad y documento de
IV. Las herramientas tecnológicas relacionadas o identificación oficial del padre o de la madre que pretenda
A
utilizadas para el tratamiento de los datos personales ejercer el derecho.
y para la implementación de las medidas de
G
seguridad. Cuando el titular sea un menor de edad y su patria potestad
la ejerce una persona distinta a los padres y ésta sea quien
E
TÍTULO TERCERO presente la solicitud para el ejercicio de los derechos ARCO,
DERECHOS DE LOS TITULARES Y SU EJERCICIO además de acreditar la identidad del menor, se deberá
Capítulo Único
L
acreditar la identidad y representación de la persona
mediante el acta de nacimiento del menor de edad,
"Versión digital de consulta, carece de valor legal (artículo 8 de la Ley del Periódico Oficial)"
Del Ejercicio de los Derechos de Acceso, Rectificación, documento legal que acredite la posesión de la patria
Cancelación y Oposición
R
potestad y documento de identificación oficial de quien
ejerce la patria potestad.
Ejercicio de Derechos ARCO de Personas Fallecidas,
Incapaces e Interdictos
N
En caso de que la persona fallecida no hubiere expresado Acreditación de Personas en Estado de Interdicción o
IA
Para los efectos de la Ley y los presentes Lineamientos, se
entenderá por interés jurídico aquel que tiene una persona
representante deberá acreditar su identidad y representación
mediante los siguientes documentos:
P
física que, con motivo del fallecimiento del titular, pretende
ejercer los derechos ARCO de éste, para el reconocimiento I. Instrumento legal de designación del tutor; y,
de derechos sucesorios, atendiendo a la relación de
O
parentesco por consanguinidad o afinidad que haya tenido
con el titular, el cual se acreditará en términos de las
II. Documento de identificación oficial del tutor.
C
disposiciones civiles aplicables.
que acredite tener un interés jurídico deberá presentar ante solicitud para el ejercicio de los derechos ARCO y entregar
el responsable los siguientes documentos: el acuse de recibo que corresponda.
I. Acta de defunción del titular; En caso de que la solicitud para el ejercicio de los derechos
ARCO en escrito libre se presente directamente ante una
II. Documentos que acrediten el interés jurídico de unidad administrativa distinta a la Unidad de Transparencia
quien pretende ejercer el derecho; y, del responsable, la unidad administrativa deberá remitir la
solicitud a la Unidad de Transparencia a más tardar al día
III. Documento de identificación oficial ante quien siguiente de su presentación.
solicita el ejercicio de los derechos ARCO.
Para tal efecto, la solicitud para el ejercicio de los derechos
Medidas Especiales para Personas con Discapacidad ARCO se tendrá por recibida en la fecha en que fue
y Hablantes de Lengua Indígena presentada en la unidad administrativa del responsable.
Artículo 55. El responsable procurará que las personas con Turno de las Solicitudes para el Ejercicio
algún tipo de discapacidad o de lengua indígena, puedan de los Derechos ARCO
ejercer, en igualdad de circunstancias, sus derechos ARCO,
para lo cual deberá promover acuerdos con instituciones Artículo 57. La Unidad de Transparencia del responsable
públicas especializadas que pudieran auxiliarle en la
recepción y entrega de las respuestas a solicitudes para el L
deberá turnar las solicitudes para el ejercicio de los derechos
ARCO admitidas, de conformidad con la Ley y los presentes
ejercicio de los derechos ARCO en lengua indígena, braille
o cualquier formato que se requiera en función de la
A
Lineamientos, a la o las unidades administrativas que
conforme a sus atribuciones, facultades, competencia o
discapacidad del titular, en forma más eficiente.
E
normatividad que les resulte aplicable.
L
siguientes medidas:
Respuesta del Responsable y Plazo para Emitirla
I. Contar con equipos de cómputo con tecnología
"Versión digital de consulta, carece de valor legal (artículo 8 de la Ley del Periódico Oficial)"
R
adaptada; Artículo 58. En la respuesta a una solicitud para el ejercicio
de los derechos ARCO, el responsable deberá señalar:
O
II. Reservar lugares de estacionamiento para personas
con discapacidad; I. Los costos de reproducción, certificación y/o envío
L
de los datos personales o de las constancias que
III. Vincularse con intérpretes de lenguas indígenas; acrediten el ejercicio efectivo de los derechos ARCO
A
que, en su caso, correspondan;
IV. Facilitar la utilización de lenguaje de señas o
V.
cualquier otro medio o modo de comunicación;
V
Brindar las facilidades para el acceso de perros guías
II. El plazo que tiene el titular para realizar el pago, el
cual no podrá ser menor de tres días hábiles contados
a partir del día siguiente de que se notifique la
o animales de apoyo;
S
VI. Apoyar en la lectura de documentos; su caso, su representante realice el pago deberá
remitir copia del recibo correspondiente, con la
VII. Contar con rampas para personas con discapacidad; identificación del número de folio de la solicitud para
VIII.
o,
IA
Cualquier otra medida física o tecnológica que ayude
el ejercicio de los derechos ARCO que corresponda,
a más tardar al día siguiente de realizarse el pago a
través del medio que señaló para oír y recibir
P
a las personas con discapacidad y/o hablantes de
lengua indígena a ejercer de manera eficiente sus
notificaciones, o bien, presentando personalmente
una copia ante la Unidad de Transparencia del
O
derechos ARCO. responsable; y,
C Acuse de Recibo
L
simples, copias certificadas, medios magnéticos, ópticos, datos personales se dará por cumplida cuando el responsable
sonoros, visuales u holográficos, o cualquier otra tecnología notifique al titular, previa acreditación de su identidad y, en
A
que determine el titular, dentro del plazo de quince días a que su caso, identidad y personalidad de su representante, una
se refiere el artículo 80 de la Ley, así como previa acreditación constancia que señale dicha situación dentro del plazo de
G
del pago de los derechos correspondientes. quince días a que se refiere el artículo 47 de la Ley.
E
Rectificación de Datos Personales Portabilidad de Datos Personales
titular, previa acreditación de su identidad y, en su caso, la Ley de Protección de Datos Personales en Posesión de
identidad y personalidad de su representante, una
constancia que acredite la corrección solicitada, dentro del
R
Sujetos Obligados del Estado de Michoacán de Ocampo.
N
y aprovechamiento en un nuevo tratamiento, sin que
Cancelación de Datos Personales
SI
Artículo 61. La obligación de cancelar los datos personales
se dará por cumplida cuando el responsable notifique al II.
lo impida el responsable al que el titular hubiere
facilitado los datos personales; y,
IA
identidad y personalidad de su representante, una
constancia que señale:
sea técnicamente posible, el titular hubiere facilitado
directamente sus datos personales al
P
responsable transmisor y el tratamiento de éstos se
I. Los documentos, bases de datos personales, base en su consentimiento o en la suscripción de un
archivos, registros, expedientes y/o sistemas de contrato.
O
tratamiento donde se encuentren los datos
personales objeto de cancelación; Artículo 65. El envío de datos personales podrá ser a través
II.
C
El periodo de bloqueo de los datos personales, en
su caso;
de correo certificado o medios electrónicos siempre que se
acredite fehacientemente ante el responsable la identidad
del titular, o en su caso de quien ejerza su representación
PERIÓDICO OFICIAL Viernes 29 de Noviembre de 2019. 7a. Secc. PÁGINA 13
legal tratándose de fallecidos, menores de edad o incapaces. V. La portabilidad de los datos personales no afecte
los derechos y libertades de terceros.
La Unidad de Transparencia del responsable deberá dejar
constancia de la acreditación del titular y, en su caso, su Además de las condiciones señaladas en las fracciones
representante. anteriores del presente artículo, cuando se trate de
transmisiones de datos personales en un formato
Artículo 66. Para efectos de los presentes Lineamientos, se estructurado y comúnmente utilizado a que se refiere
entenderá que un formato adquiere la calidad de el artículo 64, fracción II de los presentes Lineamientos, la
estructurado y comúnmente utilizado, con independencia portabilidad de los datos personales será
del sistema informático utilizado para su generación y procedente cuando exista una relación jurídica entre el
reproducción, cuando se cumplan todos los siguientes responsable receptor y el titular; se dé cumplimiento a
supuestos: una disposición legal, o bien, el titular pretenda ejercer algún
derecho.
I. Se trate de un formato electrónico accesible y legible
por medios automatizados, de tal forma que éstos Artículo 68. La portabilidad de los datos personales impone
puedan identificar, reconocer, extraer, explotar o la obligación al responsable de procesar, filtrar, seleccionar,
realizar cualquier otra operación con extraer y diferenciar los datos personales que son objeto de
datos personales específicos; portabilidad de aquella que no queda comprendida por ésta.
E
efectuado por el responsable sobre los datos
L
para compartir infraestructura y datos personales a personales proporcionados directamente por el
través de la conexión de sus respectivos sistemas o titular, como es el caso de los datos que hubieren
plataformas tecnológicas. sido sometidos a un proceso de personalización,
"Versión digital de consulta, carece de valor legal (artículo 8 de la Ley del Periódico Oficial)"
R
recomendación, categorización, creación de perfiles
Artículo 67. Para los efectos de los presentes Lineamientos, u otros procesos similares o análogos;
O
cuando los datos personales se encuentren en un formato
estructurado y comúnmente utilizado procederá la II. Los pseudónimos salvo que éstos se encuentren
L
portabilidad de los datos personales si se actualiza cada claramente vinculados al titular y puedan identificarlo
una de las siguientes condiciones: o lo hagan identificable cuando el responsable cuente
A
con información adicional que permita su
I. El tratamiento se efectúe por medios automatizados individualización e identificación; y,
o electrónicos y en un formato estructurado
y comúnmente utilizado a que se refiere el artículo
66 de los presentes Lineamientos; V III. Los datos personales sujetos a un proceso de
disociación, de tal manera que no puedan asociarse
II.
IN
Los datos personales del titular se encuentren en
al titular ni permitir la identificación del mismo, salvo
aquellos datos personales que por medio de
S
posesión del responsable o sus encargados; un procedimiento posterior se puedan asociar de
nuevo al titular.
III. Los datos personales conciernan al titular, o bien, a
IA
personas físicas vinculadas a un fallecido
que tengan un interés jurídico;
Artículo 69. La portabilidad de los datos personales no
impone obligación alguna al responsable de almacenar,
preservar, guardar, mantener o conservar todos los datos
IV.
P
El titular hubiere proporcionado directamente al
responsable sus datos personales, de forma activa
personales en su posesión en un formato estructurado y
comúnmente utilizado, sólo para efecto de garantizar ésta.
O
y consciente, lo cual incluye los datos personales
obtenidos en el contexto del uso, la prestación de Artículo 70. La portabilidad de los datos personales no
C
un servicio o la realización de un trámite, o bien,
aquellos proporcionados por el titular a través
de un dispositivo tecnológico; y,
implica el cese o la conclusión de la relación jurídica con el
responsable, por lo que el titular podrá seguir utilizando o
beneficiándose del servicio o programa proporcionado por
PÁGINA 14 Viernes 29 de Noviembre de 2019. 7a. Secc. PERIÓDICO OFICIAL
el responsable al que hubiere facilitado los datos Negativa para la Tramitación de Solicitudes para el
personales. Ejercicio de los Derechos ARCO
Artículo 71. Los datos personales objeto de portabilidad Artículo 75. Cuando alguna unidad administrativa del
deberán ser tratados conforme a los principios de licitud, responsable se negare a colaborar con la Unidad de
lealtad, finalidad, consentimiento, calidad, proporcionalidad, Transparencia en la atención de las solicitudes para el
información y responsabilidad, los deberes de seguridad y ejercicio de los derechos ARCO, está dará aviso al superior
confidencialidad y demás obligaciones a que se refiere la jerárquico para que le ordene realizar sin demora las acciones
Ley. conducentes.
E
TÍTULO CUARTO
G
conformidad con lo establecido por la Ley y los presentes
R
ejercicio efectivo de los derechos ARCO. Capitulo Único
Del Encargado
Lo anterior, dejando a salvo el derecho que le asiste al titular
de presentar una nueva solicitud de derechos ARCO ante el
responsable.
A
Causales de Improcedencia del Ejercicio Artículo 77. Además de las cláusulas generales señaladas
de los Derechos ARCO en el artículo 55 de la Ley para la prestación de los servicios
N
previstos en el artículo 51 de la Ley, la respuesta deberá
I
constar en una resolución de su Comité de Transparencia I. Permitir al Instituto o al responsable realizar
S
que confirme la improcedencia del ejercicio de los derechos verificaciones en el lugar o establecimiento donde
ARCO. lleva a cabo el tratamiento de los datos personales;
IA Trámites Específicos
P
50 de la Ley, el titular tendrá un plazo de cinco días hábiles,
contados a partir del día siguiente de recibir la respuesta del
Lineamientos, proporcionando la información y
documentación que se estime necesaria para tal
O
responsable, para dar a conocer al responsable si ejerce sus
derechos ARCO a través del trámite específico, o bien, del
efecto; y,
C
procedimiento general. En caso de que el titular no señale
manifestación alguna, se entenderá que ha elegido esta
última vía.
III. Generar, actualizar y conservar la documentación
necesaria que le permite acreditar el cumplimiento
de sus obligaciones.
PERIÓDICO OFICIAL Viernes 29 de Noviembre de 2019. 7a. Secc. PÁGINA 15
E
a computarse a partir del día siguiente a su desahogo;
L
Solicitud de Opinión sobre Transferencias y,
Internacionales de Datos Personales
VII. El Instituto deberá emitir la opinión técnica que
"Versión digital de consulta, carece de valor legal (artículo 8 de la Ley del Periódico Oficial)"
R
Artículo 79. En caso de considerarlo necesario, el corresponda en un plazo que no podrá exceder de
responsable podrá solicitar la opinión del Instituto respecto quince días, contados a partir de la siguiente a la
O
aquellas transferencias internacionales de datos personales recepción de la consulta, el cual no podrá ampliarse.
que pretenda efectuar en cumplimiento de lo dispuesto en
L
la Ley y los presentes Lineamientos de acuerdo a lo TÍTULO SEXTO
siguiente: ACCIONES PREVENTIVAS EN MATERIA DE
A
PROTECCIÓN DE DATOS PERSONALES
I. El responsable deberá presentar su solicitud al
II.
Instituto;
IN
particularidades de la transferencia internacional de
datos personales que se pretende efectuar, con
de Protección de Datos Personales
S
especial énfasis en las finalidades que motivan las Funciones del Oficial de Protección de Datos Personales
transferencias; el o los destinatarios de los datos
personales que, en su caso, se pretende transferir; Artículo 80. El oficial de protección de datos personales
IA
el fundamento legal que, en su caso obligue al
responsable a transferir los datos personales; los
datos personales que se pretendan transferir; las
tendrá las siguientes atribuciones:
P
categorías de titulares involucrados; la tecnología o
medios utilizados para, en su caso, efectuar la
temas que sean sometidos a su consideración en
materia de protección de datos personales;
O
transferencia; las medidas de seguridad aplicables;
las cláusulas contractuales, convenios de II. Proponer al Comité de Transparencia políticas,
C
colaboración o cualquier otro instrumento jurídico
que se suscribiría con el destinatario o receptor, en
caso de que resulte exigible, así como cualquier otra
programas, acciones y demás actividades que
correspondan para el cumplimiento de la Ley y los
presentes Lineamientos;
PÁGINA 16 Viernes 29 de Noviembre de 2019. 7a. Secc. PERIÓDICO OFICIAL
III. Implementar políticas, programas, acciones y demás Capítulo II
actividades que correspondan para el cumplimiento De la Sustanciación del Recurso de Revisión
de la Ley y los presentes Lineamientos, previa
autorización del Comité de Transparencia; Acuerdo de Admisión o Prevención
IV. Asesorar permanentemente a las áreas adscritas al Artículo 83. Recibido el recurso de revisión, el Comisionado
responsable en materia de protección de datos ponente deberá:
personales; y,
I. Integrar un expediente del recurso de revisión;
V. Las demás que determine el responsable y la
normatividad que resulte aplicable. II. Proceder al estudio y análisis del recurso de revisión
con las pruebas y demás elementos manifestados y
TÍTULO SÉPTIMO presentados por el titular; y,
MEDIOS DE IMPUGNACIÓN
III. Emitir un acuerdo fundando y motivando cualquiera
Capítulo I de las siguientes determinaciones:
De las Disposiciones Comunes al Recurso de Revisión
L
a) Requiriendo al titular información adicional
Acreditación de Menores de Edad en términos del artículo 103 de la Ley; y,
G
impugnación se estará a lo dispuesto en el artículo 52 de los
presentes Lineamientos. El Comisionado ponente deberá emitir el acuerdo a que se
E
refiere la fracción III del presente artículo dentro de los cinco
Recurso de Revisión de Personas Vinculadas días hábiles siguientes, contados a partir del día siguiente
a Fallecidos
L
de recibir el recurso de revisión, el cual deberá ser notificado
al titular, responsable y, en su caso, tercero interesado dentro
"Versión digital de consulta, carece de valor legal (artículo 8 de la Ley del Periódico Oficial)"
Artículo 82. En términos del artículo 90 de la Ley, la de los tres días hábiles siguientes.
interposición de un recurso de revisión de datos personales
concernientes a una persona fallecida, podrá realizarla la
R Acta de la Audiencia de Conciliación
persona que acredite su identidad en los términos previstos
en los artículos 88 y 89 de la Ley y tener un interés legítimo
o jurídico a través del documento respectivo, así como el
acta de defunción del fallecido.
LOArtículo 84. De conformidad con lo señalado en el artículo
100 fracción II de la Ley, de toda audiencia de conciliación
se deberá levantar el acta respectiva, en la cual deberá
N
ejercer los derechos ARCO de éste, para el reconocimiento II. El lugar, fecha y hora de celebración de la audiencia
I
de derechos sucesorios, atendiendo a la relación de
parentesco por consanguinidad o afinidad que haya tenido
S
con el titular, el cual se acreditará en términos de las
disposiciones civiles aplicables.
III.
de conciliación;
IA
En el supuesto de que el titular sea un menor de edad, el
interés jurídico se acreditará con la copia del acta de
IV. El nombre completo del titular o su representante,
ambos debidamente acreditados;
P
defunción, así como la identificación del menor y de quien
ejercía la patria potestad y/o tutela. V. La denominación del responsable y el servidor
público que haya designado como su
O
En el supuesto de que el titular sea un una persona en estado
de interdicción o incapacidad declarada por ley, el interés
representantes, este último debidamente acreditado;
C
jurídico se acreditará con la copia del acta de defunción, a
identificación de la persona fallecida y de quien ejercía la
tutela, así como el instrumento legal de designación del tutor.
VI. El nombre o los nombres de los servidores públicos
del Instituto que asistieron a la audiencia de
conciliación;
PERIÓDICO OFICIAL Viernes 29 de Noviembre de 2019. 7a. Secc. PÁGINA 17
VII. La manifestación de la voluntad del titular y siguientes contados a partir del día siguiente de la recepción
responsable de dirimir sus controversias mediante de la notificación del responsable sobre el cumplimiento del
la celebración de un acuerdo de conciliación; acuerdo de conciliación. (ACTA).
VIII. La narración circunstanciada de los hechos ocurridos El cumplimiento del acuerdo de conciliación dará por
durante la audiencia de conciliación; concluida la sustanciación del recurso de revisión y el
Comisionado ponente deberá someter a consideración del
IX. Los acuerdos adoptados por las partes, en su caso; Pleno del Instituto el proyecto de resolución en la que se
proponga el sobreseimiento del recurso de revisión, en
X. El plazo para el cumplimiento de los acuerdos, en su términos de lo dispuesto en el artículo 106 fracción V de la
caso; y, Ley.
XI. El nombre y firma del conciliador, servidores públicos En caso contrario, el Comisionado ponente deberá reanudar
designados por el Comisionado ponente, titular o el procedimiento.
su representante, representante del responsable y
todas aquellas personas que intervinieron en la Acuerdo de Admisión o Desechamiento de Pruebas
audiencia de conciliación.
Artículo 87. Si el titular o el responsable no hubieren
En caso de que el titular o su representante o el representante
del responsable que firmen el acta se hará constar la L
manifestado su voluntad para conciliar, o bien, en la
audiencia de conciliación no llegan a un acuerdo, se deberá
negativa, cuestión que no deberá afectar la validez de la
misma ni el carácter vinculante de los acuerdos adoptados,
A
dar por concluida la etapa de conciliación y el Comisionado
ponente deberá dictar un acuerdo de admisión o
en su caso.
E
aquellas pruebas que por su propia naturaleza requieran ser
L
remotos, el conciliador deberá hacer del conocimiento del desahogadas en audiencia, y, en su caso, citar a las personas
titular y responsable que la misma será grabada por el medio señaladas como testigos.
que a juicio del conciliador considere conveniente para el
"Versión digital de consulta, carece de valor legal (artículo 8 de la Ley del Periódico Oficial)"
R
único efecto de acreditar la existencia de ésta. El acuerdo a que se refiere el párrafo anterior deberá ser
emitido en un plazo de tres días hábiles contados a partir
O
Cumplimiento del Acuerdo de Conciliación del día siguiente de la conclusión de la etapa de conciliación,
o bien, del plazo que tiene el titular y el responsable para
L
Artículo 85. El responsable deberá cumplir el acuerdo de manifestar su voluntad de conciliar.
conciliación en el plazo establecido en el acta, el cual se
A
definirá en función del derecho ARCO a ejercer y la Para la admisión de las pruebas ofrecidas por el titular,
complejidad técnica, operativa o demás cuestiones responsable, y en su caso, tercero interesado, el
involucradas para hacer efectivo el derecho que se trate.
V
Para tal efecto, el responsable deberá hacer del conocimiento
Comisionado ponente deberá observar lo dispuesto en la
Ley.
IN
del Comisionado ponente el cumplimiento del acuerdo a
que se refiere el párrafo anterior del presente artículo a más
Resolución del Recurso de Revisión
S
tardar al día siguiente de que concluya el plazo fijado para Artículo 88. El Instituto deberá resolver el recurso de
cumplir el acuerdo de conciliación. revisión en el plazo establecido por el artículo 101 de la Ley,
así también las resoluciones del Instituto se podrán
IA
En caso de que el responsable no informe sobre el
cumplimiento del acuerdo de conciliación en el plazo
establecido en el párrafo anterior, se tendrá por incumplido
sobreseer, desechar, confirmar, revocar, modificar u ordenar
la entrega de los datos personales.
P
y se reanudará la sustanciación del recurso de revisión. Capítulo III
Del Cumplimiento de las Resoluciones Recaídas
O
Efecto del Cumplimiento del Acuerdo de Conciliación a los Recursos de Revisión
C
Artículo 86. Cuando el responsable cumpla con el acuerdo
de conciliación, el Comisionado ponente deberá emitir un
acuerdo de cumplimiento, dentro de los tres días hábiles
Plazo del Cumplimiento
Procedimiento de Verificación del Cumplimiento de las I. Personalmente con quien deba entenderse la
Resoluciones de los Recursos de Revisión diligencia en el domicilio del interesado;
Artículo 90. El Instituto deberá pronunciarse, en un plazo II. Mediante oficio entregado por mensajería o correo
no mayor a cinco días hábiles contados a partir del día certificado con acuse de recibo;
siguiente de la recepción de las manifestaciones del titular,
sobre todas las causas que éste manifieste, así como del III. A través de medios de comunicación electrónica o
resultado de la verificación que hubiere realizado. cualquier otro medio, cuando así lo hubiere aceptado
expresamente el interesado y siempre que pueda
Si el Instituto considera que se dio cumplimiento a la comprobarse fehacientemente la recepción de las
resolución deberá emitir un acuerdo de cumplimiento y mismas; y,
ordenar el archivo del expediente. En caso contrario, el
Instituto deberá: IV. Por estrados, fijándose durante quince días hábiles
el documento que se pretenda notificar, en un sitio
L
I. Emitir un acuerdo de incumplimiento; abierto al público ubicado en las oficinas del
Instituto.
A
II. Notificar al superior jerárquico del servidor público
encargado de dar cumplimiento, para que en un plazo Improcedencia del Procedimiento de Verificación y de las
G
no mayor a cinco días hábiles contados a partir del Investigaciones Previas
día siguiente que surta efectos la notificación, se dé
E
cumplimiento a la resolución bajo el apercibimiento Artículo 93. De conformidad con lo previsto en el artículo
que de no demostrar que dio la orden, se le impondrá 116 de la Ley, las investigaciones previas y el procedimiento
una medida de apremio en los términos señalados
en la Ley, además de que incurrirá en las mismas
L
de verificación no procederán en aquellos supuestos de
procedencia del recurso de revisión.
"Versión digital de consulta, carece de valor legal (artículo 8 de la Ley del Periódico Oficial)"
R Capítulo II
De las Investigaciones Previas
III. Determinar las medidas de apremio que deberán
imponerse o las acciones procedentes que deberán
aplicarse.
LO Asignación de Número de Expediente y Notificación
al Denunciante
TÍTULO OCTAVO
FACULTAD DE VERIFICACIÓN DEL INSTITUTO
N
De las Disposiciones Generales de las Investigaciones notificarse al denunciante a través del medio señalado para
SI
Previas y del Procedimiento de Verificación tal efecto, en términos de lo previsto por el artículo 118 de la
Ley.
IA
del Instituto durante la sustanciación de las investigaciones
previas, o en su caso, del procedimiento de verificación,
Artículo 95. Derivado del estudio y análisis de la descripción
de los hechos manifestados en la denuncia, así como a partir
P
deberán hacerse constar en el expediente en que se tramita. de la información presentada por el denunciante, el Instituto
podrá:
Notificaciones
O
Artículo 92. Durante la realización de investigaciones
I. Orientar al denunciante sobre las instancias legales
a las que puede acudir en defensa de sus derechos,
C
previas, así como el desarrollo del procedimiento de
verificación, las notificaciones, citatorios, emplazamientos,
requerimientos, solicitud de informes o documentos y
en caso de no resultar competente el Instituto, en un
plazo no mayor a diez días hábiles contados a partir
de que se tuvo por presentada la denuncia; o,
PERIÓDICO OFICIAL Viernes 29 de Noviembre de 2019. 7a. Secc. PÁGINA 19
L
I. Expedir requerimiento de información dirigido al
responsable, al encargado o a cualquier tercero, Artículo 99. El acuerdo de inicio del procedimiento de
verificación se deberá notificar al responsable en la dirección
A
solicitando que se proporcione la información y
documentación que se estime oportuna; física o electrónica que hubiere señalado para tal efecto y,
en los casos en que el procedimiento hubiera iniciado por
II. Que se manifieste respecto de los hechos vertidos
en la denuncia; y, G
medio de una denuncia, también se deberá notificar al
denunciante en el medio que, para el caso concreto, hubiere
designado.
E
III. Que aporte la información y documentación que
acredite su dicho, dentro de un plazo máximo de cinco
L
Sustanciación del Procedimiento de Verificación
"Versión digital de consulta, carece de valor legal (artículo 8 de la Ley del Periódico Oficial)"
R
Artículo 100. El procedimiento de verificación se
notificación de dicho requerimiento.
sustanciará de la siguiente manera:
Contenido de las Respuestas a los Requerimientos
A
plazo máximo de cinco días hábiles, contados a partir
requerimientos formulados por el Instituto deberán contener,
del día siguiente a que surta efectos la notificación,
V
por lo menos lo siguiente:
realice lo siguiente:
I. El nombre completo y cargo del servidor público a) Presente las pruebas que considere
IN
que da respuesta al informe, así como la
denominación de la unidad administrativa y del
responsable al que se encuentra adscrito. En caso
pertinentes sobre el tratamiento que brinda a
los datos personales; y,
S
de actuar en representación de alguna persona
moral, con el carácter de encargado o de tercero,
b) Manifieste lo que a su derecho convenga
respecto de los hechos materia de la
A
deberá adjuntarse el documento, en original o copia verificación y el procedimiento instaurado en
I
certificada, que acredite su identidad y su contra;
personalidad;
II.
P
El medio para recibir notificaciones; y,
II. Visitas de verificación: el Instituto podrá realizar
aquéllas que sean necesarias en las oficinas o
III.
O
Las documentales que acrediten su dicho, así como
instalaciones del responsable o, en su caso, en el
lugar donde estén ubicadas las bases de datos
C
la precisión de cualquier información que considere personales o se realice el tratamiento de los datos
necesaria para la atención del requerimiento personales objeto del procedimiento de verificación,
formulado. teniendo una duración máxima de cinco días hábiles
PÁGINA 20 Viernes 29 de Noviembre de 2019. 7a. Secc. PERIÓDICO OFICIAL
cada una, con la finalidad de que se allegue de la dentro del término de los cinco días hábiles siguientes a la
documentación en información necesaria sobre el fecha en que se hubiera realizado la visita en cuestión.
tratamiento que el responsable lleva a cabo.
En caso de que el verificado se niegue a firmar el acta, se
El responsable no podrá negar el acceso a la documentación hará constar expresamente dicha circunstancia en la misma.
solicitada con motivo de un procedimiento de verificación, a Dicha negativa no afectará la validez de las actuaciones o
sus bases de datos personales o tratamientos de éstos, ni de la propia acta.
podrá invocar la reserva o la confidencialidad de la información.
La firma del verificado supondrá sólo la recepción de la
Desarrollo de las Visitas de Verificación misma. Se entregará al verificado uno de los originales del
acta de verificación, incorporándose el otro a las actuaciones.
Artículo 101. Las visitas de verificación que lleve a cabo el
personal del Instituto se deberán realizar conforme a lo Tipos de Medidas Cautelares
siguiente:
Artículo 102. Las medidas cautelares que puede ordenar el
I. El personal del Instituto deberá presentarse en las Instituto podrán consistir en lo siguiente:
oficinas o instalaciones del responsable o, en su
I. El cese inmediatamente del tratamiento, de los actos
L
caso, en el lugar donde estén ubicadas las bases de
datos personales respectivas o se realicen o las actividades que estén ocasionando o puedan
ocasionar un daño inminente o irreparable en materia
A
tratamientos de los datos personales objeto del
procedimiento de verificación, con el oficio de de protección de datos personales;
G
comisión y la orden de verificación debidamente
fundados y motivados, documentos que estarán II. La realización de actos o acciones cuya omisión
hayan causado o puedan causar un daño inminente
E
firmados por el presidente del Instituto y en los que
o irreparable a sus titulares;
deberá precisar el domicilio del responsable o el lugar
donde deba de practicarse la visita, así como el objeto
y alcance de la misma;
III.
L
El bloqueo de los datos personales en posesión del
responsable y cuyo tratamiento esté provocando o
"Versión digital de consulta, carece de valor legal (artículo 8 de la Ley del Periódico Oficial)"
R
pueda provocar un daño inminente o irreparable a
II. El personal del Instituto tendrá acceso a las
sus titulares; y,
instalaciones del responsable y podrá solicitar la
información y documentación que estime necesaria
para lleva a cabo la visita de verificación. Al iniciar la
visita, el personal verificador del Instituto que
desarrolle la diligencia deberá exhibir la credencial
LOIV. Cualquier otra medida, de acción o de omisión que el
Instituto considere pertinente dirigida a proteger el
derecho a la protección de datos personales de los
A
titulares.
expedida por el Instituto, que lo acredite para
desempeñar dicha función, así como dejar un ejemplar
en original de la orden de verificación y del oficio de
comisión, con quien se entienda la visita; y, V Conclusión del Procedimiento de Verificación
IN
Las visitas de verificación concluirán con el
levantamiento del acta correspondiente, en la que
con la resolución que emita el Instituto, en la cual se
establecerán las medidas que deberá adoptar el responsable
en el plazo que la misma determine.
S
quedará constancia de las actuaciones practicadas
durante la visita o visitas de verificación. Dicha acta
se levantará en presencia de dos testigos puestos
La resolución del procedimiento de verificación será
notificada personalmente, mediante oficio, al responsable y
A
por la persona con quien se hubiera entendido la
I
diligencia o por quien la practique si aquélla se
al denunciante a través del medio que hubiera
proporcionado para tal efecto.
P
hubiere negado a proponerlo.
Impugnación de las Resoluciones del
Tratándose de la fracción III del presente artículo, el acta se Procedimiento de Verificación
O
deberá emitir por duplicado y ser firmada por el personal del
Instituto y por la persona con quien se hubiere entendido la Artículo 104. Las resoluciones dictadas por el Instituto en
C
diligencia, quien podrá formular observaciones en el acto de la
visita de verificación y manifestar lo que a su derecho convenga
en relación a los hechos contenidos en ella, o bien, por escrito
el procedimiento de verificación serán vinculantes,
definitivas e inatacables para los responsables. Los titulares
podrán impugnar dichas resoluciones a través del juicio de
PERIÓDICO OFICIAL Viernes 29 de Noviembre de 2019. 7a. Secc. PÁGINA 21
amparo que corresponda, en los términos de la legislación Presentación de la Solicitud de Auditoría Voluntaria
aplicable.
Artículo 107. El procedimiento para que el Instituto realice
Capítulo IV una auditoría voluntaria siempre deberá iniciar a petición
Del Cumplimiento de las Resoluciones Recaídas a los del responsable.
Procedimientos de Verificación
El responsable podrá presentar directamente su solicitud
Procedimiento de Verificación del Cumplimiento ante el Instituto.
Artículo 105. El Instituto deberá pronunciarse, en un plazo no Requisitos de la Solicitud de Auditoría Voluntaria
mayor a quince días hábiles contados a partir de la siguiente a
aquél en que se hubiere tenido por presentado el informe de Artículo 108. En la solicitud para solicitar al Instituto la
cumplimiento a que se refiere el artículo anterior de los presentes realización de una auditoria voluntaria, el responsable
Lineamientos, sobre el cumplimiento de la resolución. deberá señalar la siguiente información:
E
tratados; las categorías de titulares involucrados,
L
las transferencias que, en su caso se realicen; las
siguiente que surta efectos la notificación, se dé
medidas de seguridad implementadas; la tecnología
cumplimiento a la resolución bajo el apercibimiento
utilizada, así como cualquier otra información
"Versión digital de consulta, carece de valor legal (artículo 8 de la Ley del Periódico Oficial)"
R
relevante del tratamiento;
una medida de apremio en los términos señalados
en la Ley, además de que incurrirá en las mismas
O
IV. Las circunstancias o razones que lo motivan a
responsabilidades administrativas del servidor
someterse a una auditoría voluntaria;
público inferior; y,
A
imponerse o las acciones procedentes que deberán solicita la auditoría; y,
aplicarse de acuerdo a la Ley.
N
Auditorías Voluntarias
I
Improcedencia de las Auditorías Voluntarias
S
Artículo 106. Las auditorías voluntarias a que se refiere el
artículo anterior de los presentes Lineamientos no
Respuesta del Instituto a la Solicitud
de Auditoría Voluntaria
I. A
procederán cuando:
I
El Instituto tenga conocimiento de una denuncia, o
voluntaria, el Instituto contará con un plazo máximo de diez
días hábiles, contados a partir del día siguiente de la recepción
de la solicitud, para emitir un acuerdo en el que podrá:
P
bien, esté sustanciando un procedimiento de
verificación relacionado con el mismo o similar I. Admitir la solicitud de auditoría voluntaria; o,
O
tratamiento de datos personales que se pretende
someter a este tipo de auditorías; o, II. Requerir información al responsable en caso de que
II.
C
El responsable sea seleccionado de oficio para ser
verificado por parte del Instituto.
la solicitud no sea clara, o bien, cuando éste omita
manifestarse sobre alguno de los requisitos
previstos en el artículo anterior de los presentes
PÁGINA 22 Viernes 29 de Noviembre de 2019. 7a. Secc. PERIÓDICO OFICIAL
Lineamientos y el Instituto no cuente con elementos III. El nombre y cargo del servidor público del Instituto
para subsanarlos. que realizará la visita;
Tratándose de la fracción II del presente artículo, el IV. La descripción clara y precisa de los objetivos y
responsable tendrá un plazo máximo de diez días hábiles, alcances de la visita, los cuales deberán estar
contados a partir del día siguiente a la notificación del relacionados con el tratamiento de datos personales
requerimiento de información, para que subsane las objeto de la auditoría voluntaria;
omisiones de su solicitud. En caso contrario, la solicitud de
auditoría se tendrá por no presentada. V. La solicitud del responsable para que designe a los
servidores públicos o personas que atenderán la visita;
Auditoría
VI. La fecha y hora en que se realizará la visita;
Artículo 110. Para el desahogo de la auditoría voluntaria, el
Instituto podrá, de manera conjunta, indistinta y VII. La firma autógrafa de la autoridad que expide la orden;
sucesivamente: y,
L
información necesaria vinculada con el tratamiento determine el Instituto según las circunstancias
de datos personales auditados; y/o, particulares de la auditoría voluntaria.
G
responsable donde se lleve a cabo el tratamiento de
datos personales auditados. Artículo 113. Durante el tiempo de realización de la auditoria
E
voluntaria, el Instituto podrá realizar diligencia y/o reuniones
Requerimiento de Información de trabajo que considere pertinentes con el responsable
Artículo 111. Los requerimientos de información que dirija antes de emitir su informe.
L
auditado, con el objeto de contar con mayores elementos
"Versión digital de consulta, carece de valor legal (artículo 8 de la Ley del Periódico Oficial)"
II.
El lugar, fecha y hora de realización de la visita,
diligencia y/o reunión de trabajo;
N
Visitas
SI
Artículo 112. Para la realización de visitas a las oficinas o
instalaciones del responsable donde se lleve a cabo el
tratamiento de datos personales auditados, el Instituto
III.
IV.
El nombre completo y cargo del servidor público que
atendió la vista, diligencia y/o reunión de trabajo;
A
la cual deberá ser notificada al responsable auditado en un
I
plazo máximo de tres días hábiles contados a partir de la V. La narración circunstanciada de los hechos ocurridos
P
emisión de la orden. durante la visita, diligencia y/o reunión de trabajo; y,
La orden de visita que se notifique al responsable auditado VI. El nombre completo y firma del servidor público que
O
deberá contener, al menos, lo siguiente: representa al Instituto, así como al responsable.
I.
II.
C
La fecha de emisión de la orden de visita;
E
lo dispuesto en el Título Décimo Primero, Capítulo I de la
L
Los auditores autorizados por el Instituto podrán obtener Ley de Protección de Datos Personales en Posesión de
copias de los documentos o reproducir, por cualquier medio, Sujetos Obligados del Estado de Michoacán de Ocampo.
documentos, archivos e información generada por medios
"Versión digital de consulta, carece de valor legal (artículo 8 de la Ley del Periódico Oficial)"
R
electrónicos, ópticos o de cualquier otra tecnología que Artículo 120. La Coordinación Jurídica será el área
tenga relación con el tratamiento de datos personales objeto encargada de elaborar el proyecto de resolución para la
O
de la auditoría voluntaria. imposición de la medida de apremio que corresponda, para
su presentación ante el Pleno del Instituto, para su análisis,
L
Informe Final discusión y en su caso aprobación.
A
Artículo 116. Concluida la auditoría voluntaria, el Instituto Artículo 121. La Coordinación Jurídica remitirá la propuesta
deberá emitir un informe final en el cual señale los resultados al Pleno del Instituto, tomando en consideración lo
obtenidos de la auditoría y se pronuncie sobre la
conformidad y no conformidad de los controles, mecanismos
o procedimientos adoptados por el responsable auditado V siguiente:
IN
para el cumplimiento de las obligaciones previstas en la Ley
y los presentes Lineamientos, respecto del tratamiento de
por elementos tales como el daño causado; los indicios
de intencionalidad; la duración del incumplimiento de
S
datos personales auditados. las determinaciones del Instituto y la afectación al
ejercicio de sus atribuciones;
Aunado a lo previsto en el párrafo anterior del presente
IA
artículo, el informe final deberá orientar al responsable sobre
el fortalecimiento y un mejor cumplimiento de las obligaciones
previstas en la Ley, señalando medidas, acciones,
II.
III.
La condición económica del infractor; y,
La reincidencia.
P
recomendaciones y sugerencias específicas, de carácter
preventivo y/o correctivo, en función de las características TRANSITORIO
O
generales y particularidades del tratamiento de datos
personales y de los hallazgos obtenidos en la auditoría. ARTÍCULO ÚNICO. Los presentes Lineamientos entrarán
C
El Instituto deberá notificar al responsable auditado el
informe final a que se refiere el presente artículo dentro de
en vigor al día siguiente de su publicación en el Periódico
Oficial del Gobierno Constitucional del Estado de
Michoacán de Ocampo. (Firmado).
"Versión digital de consulta, carece de valor legal (artículo 8 de la Ley del Periódico Oficial)"
PÁGINA 24
C
O
PI
PERIÓDICO OFICIAL
G
A
L