Final Anteproyecto de to LFPDPPP IFAI-SE (06jul11)

download Final Anteproyecto de to LFPDPPP IFAI-SE (06jul11)

of 36

description

Final Anteproyecto de to LFPDPPP IFAI-SE (06jul11)

Transcript of Final Anteproyecto de to LFPDPPP IFAI-SE (06jul11)

Al margen un sello con el Escudo Nacional, que dice: Estados Unidos Mexicanos.Presidencia de la Repblica. FELIPE DE JESS CALDERN HINOJOSA, Presidente de los Estados Unidos Mexicanos, en ejercicio de la facultad que me confiere el artculo 89, fraccin I de la Constitucin Poltica de los Estados Unidos Mexicanos, con fundamento en el artculo 34 de la Ley Orgnica de la Administracin Pblica Federal y 3, fraccin XIII y Segundo Transitorio de la Ley Federal de Proteccin de Datos Personales en Posesin de los Particulares, he tenido a bien expedir el siguiente: REGLAMENTO DE LA LEY FEDERAL DE PROTECCIN DE DATOS PERSONALES EN POSESIN DE LOS PARTICULARES Captulo I Disposiciones Generales Artculo 1. El presente ordenamiento tiene por objeto reglamentar las disposiciones de la Ley Federal de Proteccin de Datos Personales en Posesin de los Particulares. Lo dispuesto en la Ley Federal de Proteccin de Datos Personales en Posesin de los Particulares y en el presente Reglamento se aplicar sin perjuicio de lo establecido en los tratados internacionales celebrados y ratificados por Mxico. mbito de aplicacin Artculo 2. El presente Reglamento ser de aplicacin al tratamientode datos personales que obren en soportes fsicos y/o electrnicos. De conformidad con lo dispuesto por el artculo 3, fraccin II de la Ley Federal de Proteccin de Datos Personales en Posesin de los Particulares, se entendern como bases de datos todo conjunto ordenado de datos personales que permita identificar o hacer identificables a los individuos, as como el acceso a los datos personales con arreglo a criterios determinados, cualquiera que fuera la forma o modalidad de su creacin, tipo de soporte, procesamiento, almacenamiento, organizacin y acceso. En trminos del artculo 3, fraccin V de la Ley Federal de Proteccin de Datos Personales en Posesin de los Particulares, los datos personales podrn estar expresados en forma numrica, alfabtica, grfica, fotogrfica, acstica o de cualquier otro tipo, concerniente a una persona fsica identificada o identificable. Artculo 3. El presente Reglamento ser de aplicacin obligatoria a todo tratamiento de datos personales cuando:

1

I. II. III. IV.

Sea efectuado en un establecimiento del responsable ubicado en territorio mexicano; Sea efectuado por un encargado con independencia de su ubicacin, a nombre de un responsable establecido en territorio mexicano; El responsable no est establecido en territorio mexicano pero le resulte aplicable la legislacin mexicana, derivado de la celebracin de un contrato o en trminos del derecho internacional, y El responsable no est establecido en territorio mexicano y utilice medios situados en dicho territorio, salvo que tales medios se utilicen nicamente con fines de trnsito, que no implique un tratamiento. En este supuesto, el responsable deber designar a un representante establecido en territorio mexicano.

Cuando el responsable no se encuentre ubicado en territorio mexicano, pero el encargado lo est, a este ltimo le sern aplicables las disposiciones relativas a las medidas de seguridad contenidas en el Captulo III del presente Reglamento. En el caso de personas fsicas, el establecimiento se entender como el local en donde se encuentre el principal asiento de sus negocios o el que utilicen para el desempeo de sus actividades o su casa habitacin. Tratndose de personas morales, el establecimiento se entender como el local en donde se encuentre la administracin principal del negocio; si se trata de personas morales residentes en el extranjero, el local en donde se encuentre la administracin principal del negocio en territorio mexicano, o en su defecto el que designen, o cualquier instalacin estable que permita el ejercicio efectivo o real de una actividad. Artculo 4. En trminos de lo dispuesto por el artculo 2, fraccin II de la Ley Federal de Proteccin de Datos Personales en Posesin de los Particulares, se entender por tratamiento de datos personales aqul llevado a cabo por personas fsicas para uso exclusivamente personal y domstico, sin fines de divulgacin o utilizacin comercial, es decir, aqul que refiera a las actividades que se inscriben en el marco de la vida privada o familiar de los individuos. Definiciones Artculo 5. Adems de las definiciones establecidas en el artculo 3 de la Ley Federal de Proteccin de Datos Personales en Posesin de los Particulares, para los efectos del presente Reglamento se entender por: I. Coadyuvancia: Coordinacin en el mbito administrativo para la emisin conjunta de regulacin secundaria y otros actos entre las dependencias, la Secretara y el Instituto, de acuerdo con sus respectivas atribuciones, en los trminos previstos en el Captulo VI de la Ley;

2

II. III. IV.

V.

VI. VII.

VIII.

IX. X.

Dependencias: Las sealadas en el artculo 26 de la Ley Orgnica de la Administracin Pblica Federal, as como las autoridades reguladoras a las que refiere el Captulo VI de la Ley; Derechos ARCO: Son los derechos de acceso, rectificacin, cancelacin y oposicin; Entorno digital: Es el mbito conformado por la conjuncin de hardware, software, redes, aplicaciones y servicios de la sociedad de la informacin que permiten el intercambio o procesamiento informatizado o digitalizado de datos; Listado de exclusin: Base de datos que tiene por objeto registrar de manera gratuita la negativa del titular al tratamiento de sus datos personales con fines de prospeccin comercial y/u ofrecimiento y promocin de bienes, productos y servicios; Medio verbal: Soporte que permite acreditar la existencia de una manifestacin a travs de la palabra; Persona fsica identificable: Toda persona fsica cuya identidad pueda determinarse, directa o indirectamente, mediante cualquier informacin referida a sus caractersticas fsicas, fisiolgicas, psquicas, econmicas, culturales o sociales. Una persona fsica no se considerar identificable si para ello se requieren plazos o actividades desproporcionadas; Soporte electrnico: Medio de almacenamiento al que se pueda acceder slo mediante el uso de algn aparato con circuitos electrnicos que procese su contenido para examinar, modificar o almacenar los datos personales, incluidos los microfilms; Soporte fsico: Medio de almacenamiento inteligible a simple vista, es decir, que no requiere de ningn aparato que procese su contenido para examinar, modificar o almacenar los datos personales, y Transmisin: Tratamiento de datos personales que implica la comunicacin de los mismos dentro o fuera del territorio mexicano cuando tenga por objeto la realizacin de un tratamiento por el encargado a cuenta del responsable.

Fuente de acceso pblico Artculo 6. Para los efectos del artculo 3, fraccin X de la Ley, tendrn el carcter de fuente de acceso pblico, con independencia del medio por el cual se tenga acceso, entre otras, las siguientes: I. II. III. Los directorios telefnicos en los trminos previstos en la normatividad especfica; Los diarios, gacetas y/o boletines oficiales, y Los medios de comunicacin social, tales como televisin, prensa, radio, entre otros.

Los medios remotos o locales de comunicacin electrnica, ptica y de otra tecnologa no tendrn el carcter de una fuente de acceso pblico, salvo que las3

comunicaciones o el acceso que se realice por dichos medios se ubiquen en alguno de los supuestos previstos en las fracciones anteriores. Para que los supuestos enumerados en el presente artculo sean considerados fuentes de acceso pblico ser necesario que su consulta pueda ser realizada por cualquier persona no impedida por una norma limitativa, o sin ms exigencia que, en su caso, el pago de una contraprestacin, derecho o tarifa. La obtencin de datos personales de una fuente de acceso pblico no exime que el tratamiento de los mismos observe lo dispuesto en la Ley, el Reglamento y las dems disposiciones previstas en la materia, en lo que resulte aplicable. Tercero en el tratamiento Artculo 7. Para efectos del artculo 3, fraccin XVI de la Ley, tambin se considerar tercero a la persona fsica o moral, nacional o extranjera, distinta del titular, del responsable, del encargado y de las personas autorizadas para tratar los datos personales bajo la autoridad directa del responsable o del encargado. Artculo 8. Las personas integrantes de un grupo que acte sin personalidad jurdica y que trate datos personales para finalidades propias y especficas se considerarn tambin responsables, encargados o terceros, segn sea el caso. Rgimen supletorio Artculo 9. En los procedimientos para el ejercicio de los derechos ARCO, se aplicar supletoriamente el Cdigo Federal de Procedimientos Civiles en lo no previsto por la Ley y este Reglamento. Tratndose de los procedimientos que sustancia el Instituto, se aplicar supletoriamente la Ley Federal de Procedimiento Administrativo y en lo no previsto por sta, el Cdigo Federal de Procedimientos Civiles. Captulo II De los Principios de Proteccin de Datos Personales Seccin I Principios Principios de Proteccin de Datos Artculo 10. De acuerdo con lo previsto en el artculo 6 de la Ley, son principios rectores de la proteccin de datos personales en posesin de los particulares los siguientes: I. Licitud; II. Consentimiento; III. Informacin; IV. Calidad;4

V. VI. VII. VIII.

Finalidad; Lealtad; Proporcionalidad, y Responsabilidad.

Principio de licitud Artculo 11. El tratamiento de datos personales deber ser con apego y cumplimiento a lo dispuesto por la legislacin mexicana y el derecho internacional. Principio de consentimiento Artculo 12. Previo al tratamiento de datos personales, el responsable deber obtener el consentimiento del titular, a menos que no sea exigible con arreglo a lo previsto en el artculo 10 de la Ley. El consentimiento otorga al titular de los datos personales, en tanto manifestacin de la voluntad, la facultad de decidir sobre el tratamiento de los mismos, el cual puede ser expreso o tcito, en los trminos previstos en los artculos 8 y 9 de la Ley y el presente Reglamento. En todo caso el consentimiento del titular deber ser: I. II. III. IV. Libre: sin que medie error, engao, mala fe, violencia o dolo, que puedan afectar la manifestacin de voluntad del titular; Especfico: referido a una o varias finalidades determinadasy legtimas que justifiquen el tratamiento; Informado: que el titular tenga conocimiento del aviso de privacidad previo al tratamiento a que sern sometidos sus datos personales y las consecuencias de otorgar su consentimiento, y Inequvoco: que existan elementos que de manera indubitable demuestren su otorgamiento.

Obtencin del consentimiento Artculo 13. La solicitud del consentimiento deber ir referida a una finalidad o finalidades explcitas, determinadas y legtimas. El responsable deber facilitar un medio sencillo y gratuito al titular para manifestar su consentimiento expreso o negativa al tratamiento de los datos. Consentimiento tcito Artculo 14. Salvo que la Ley exija el consentimiento expreso del titular, ser vlido el consentimiento tcito como regla general conforme a lo dispuesto en los artculos 12 y 13 del presente Reglamento. Para los efectos del artculo 8, tercer prrafo de la Ley, el responsable cuenta con el consentimiento tcito del titular desde que haya puesto a su disposicin el aviso5

de privacidad correspondiente y hasta en tanto ste no ejerza sus derechos de oposicin o cancelacin o no revoque su consentimiento para el tratamiento de sus datos personales. Cuando el titular haya negado su consentimiento para el tratamiento de sus datos personales para ciertas finalidades, el consentimiento tcito no aplicar para esas finalidades, salvo que el titular as lo solicite con posterioridad. Consentimiento expreso Artculo 15. El responsable deber obtener el consentimiento expreso del titular cuando: I. II. III. IV. V. Lo exija una ley; Se trate de datos financieros o patrimoniales; Se trate de datos sensibles, Lo solicite el responsable para acreditar el mismo, o Lo acuerden as el titular y el responsable.

Consentimiento verbal Artculo 16. Se considera que el consentimiento expreso se otorg verbalmente cuando se realice ante el responsable de forma directa, por va telefnica, fija o mvil o videoconferencia, entre otras tecnologas, siempre y cuando esta circunstancia pueda ser acreditada por el responsable. Consentimiento escrito Artculo 17. Se considerar que el consentimiento expreso se otorg por escrito cuando conste en un documento con la firma autgrafa del titular. Tratndose del entorno digital o de Internet, podrn utilizarse firma electrnica o cualquier mecanismo o procedimiento que al efecto se establezca para identificar al titular,as comodispositivos o medios que el responsable ponga a disposicin del titular para que a travs de mensajes de datos manifieste dicho consentimiento. Revocacin del consentimiento Artculo 18. En cualquier momento, el titular podr revocar su consentimiento para el tratamiento de sus datos personales a travs del ejercicio de los derechos de cancelacin u oposicin, segn requiera revocar el consentimiento para el tratamiento de sus datos personales en posesin de un responsable,o bien respecto de ciertas finalidades, siempre y cuando no lo impida una disposicin legal. Artculo 19. En caso de negativa por parte del responsable al cese en el tratamiento de datos personales ante la revocacin del consentimiento, el titular podr presentar ante el Instituto la solicitud de proteccin de derechos a que refiere el Captulo VIII del presente Reglamento.

6

Principio de informacin Artculo 20. El responsable deber dar a conocer al titular la informacin relativa a la existencia y caractersticas principales del tratamiento a que sern sometidos sus datos personales a travs del aviso de privacidad, de conformidad con lo previsto en la Ley y el presente Reglamento. Caractersticas del aviso de privacidad Artculo 21. El aviso de privacidad deber caracterizarse por ser sencillo, con informacin necesaria, escrito en lenguaje claro y comprensible, y con una estructura y diseo que facilite su lectura. Medios de difusin Artculo 22. Para la difusin de los avisos de privacidad el responsable podr valerse de formatos fsicos, electrnicos, medios verbales o cualquier otra tecnologa, siempre y cuando garantice y cumpla con el deber de informar al titular. Elementos del aviso de privacidad Artculo 23. El aviso de privacidad deber contener los elementos a que se refieren los artculos 8, 15, 16 y 36 de la Ley, as como los que se establezcan en los lineamientos a que se refiere el artculo 43, fraccin III de la Ley. Artculo 24. En trminos del artculo 17 de la Ley, cuando los datos personales sean obtenidos directamente del titular, ste deber proporcionar de manera inmediata al menos la siguiente informacin: I. II. III. La identidad y domicilio del responsable; Las finalidades del tratamiento, y Los mecanismos que el responsable ofrece para que el titular conozca el aviso de privacidad.

La divulgacin inmediata dela informacin antes sealada no exime al responsable de la obligacin de proveer los mecanismos para que el titular conozca el contenido del aviso de privacidad, de conformidad con el artculo 23 del presente Reglamento. Artculo 25. Entre las finalidades del tratamiento de datos personales a las que refiere la fraccin II del artculo 16 de la Ley, se debern incluir las relativas al tratamiento para fines mercadotcnicos, publicitarios y/o de prospeccin comercial. Lo anterior sin perjuicio de lo establecido por las disposiciones vigentes en la materia, cuando stas contemplen una proteccin mayor para el titular de los datos personales que la dispuesta en la Ley y el presente Reglamento.

7

Deber del responsable de acreditar la puesta a disposicin del aviso de privacidad Artculo 26. El responsable deber conservar el modelo del aviso de privacidad que utiliz para cumplir con el deber de informar, hasta en tanto se traten datos personales conforme al mismo y perduren las obligaciones que de ste deriven. Para el almacenamiento del modelo, el responsable podr emplear medios informticos, electrnicos o cualquier otra tecnologa. Medidas compensatorias Artculo 27. En trminos del tercer prrafo del artculo 18 de la Ley, cuando resulte imposible dar a conocer el aviso de privacidad al titular o exija esfuerzos desproporcionados, en consideracin al nmero de titulares o a la antigedad de los datos, el responsable podr instrumentar medidas compensatorias de comunicacin masivade acuerdo con los supuestosautorizados por el Instituto, bajo los cuales podrn utilizarse las medidas compensatorias que se establecen en el siguiente artculo. Los casos que no se ubiquen en los supuestosautorizados por el Instituto requerirn la autorizacin de este ltimo, previo a la instrumentacin de la medida compensatoria, quien tendr un plazo de diez das siguientes a la recepcin de la solicitud de medida compensatoria del responsable, para emitir la resolucin correspondiente. Si el Instituto no resuelve en el plazo establecido, la solicitud de medida compensatoria se entender como autorizada. Artculo 28. Las medidas compensatorias de comunicacin masiva debern contener los datos previstos en el artculo 24 del presente Reglamento y podr ser cualquiera de las siguientes: I. II. Publicacin del aviso de privacidad en un diario de circulacin nacional; Publicacin del aviso de privacidad en un diario local o en una revista especializada, cuando se acredite que los titulares de los datos personales residan en una determinada entidad federativa o pertenezcan a una determinada actividad; Publicacin del aviso de privacidad en una pgina de Internet del responsable; Publicacin del aviso de privacidad en un hiperenlace o hipervnculo en una pgina de Internet que se habilite para dicho fin por parte de la Secretara o del Instituto, cuando el responsable no cuente con una pgina de Internet propia; Publicacin del aviso de privacidad a travs de carteles; Difusin del aviso de privacidad en cpsulas informativas en radiodifusoras, o Otros medios alternos de comunicacin masiva.8

III. IV.

V. VI. VII.

Principio de calidad Artculo 29. Los datos personales tratados por el responsable cumplirn con el principio de calidad cuando los mismos sean pertinentes y correctos, es decir, cuando sean exactos y se mantengan completos y actualizados segn se requiera para el cumplimiento de la finalidad para la cual son tratados. Se presumen correctos los datos personales proporcionados directamente por el titular hasta que ste no manifieste y acredite lo contrario, o bien, el responsable cuente con evidencia objetiva que los contradiga. Cuando los datos personales no fueren obtenidos del titular, el responsable deber adoptar medidas razonables para que stos respondan al principio de calidad, en tanto perdure el tratamiento. El responsable deber adoptar los mecanismos necesarios para la actualizacin de los datos personales atendiendo a la naturaleza de los mismos. Plazos de conservacin Artculo 30. Los plazos de conservacin de los datos personales no debern exceder aqullos que sean necesarios para el cumplimiento de las finalidades que justificaron el tratamiento. Una vez cumplida la o las finalidades del tratamiento, el responsable deber proceder a la cancelacin de los datos en su posesin previo bloqueo de los mismos, para su posterior supresin. Artculo 31. Los responsables debern documentar los procedimientos para la conservaciny, en su caso,bloqueo y supresin de los datos, que incluyan los periodos de conservacin de los mismos, de conformidad con las disposiciones aplicables a la materia de que se trate, tomando en cuenta los aspectos administrativos, contables, fiscales, jurdicos e histricos de la informacin. Principio de finalidad Artculo 32. Los datos personales slo podrn ser tratados en relacin con las finalidades determinadasy legtimas para las que se hayan obtenido. El responsable deber sealar en el aviso de privacidad de forma clara y concreta la finalidad o finalidades del tratamiento. Se entender que la finalidad del tratamiento es determinada cuando sin lugar a confusin seespecifique en qu consiste el tratamiento de los datos personales y ser legtima cuando no contravenga disposicin legal alguna. Artculo 33. El responsable diferenciar en el aviso de privacidad las finalidades que originaron el tratamiento, de aqullas que no son indispensables para el mismo.

9

Artculo 34. El responsable no podr llevar a cabo tratamientos con finalidades que no resulten compatibles o anlogas con aqullas para las que hubiese recabado de origen los datos personales y que hayan sido previstas en el aviso de privacidad. Para el tratamiento de los datos con finalidades distintas ser necesario que lo requiera de forma explcita una ley, o que el responsable cuente con el consentimiento del titular para el nuevo tratamiento, de acuerdo con lo previsto en la Ley y el presente Reglamento. Tratamiento con fines histricos, estadsticos o cientficos Artculo 35. Para los efectos previstos en el artculo anterior, no se considerar incompatible el tratamiento con fines estadsticos, histricos o cientficos, siempre que los datos se hubiesen disociado previamente. Para el tratamiento con fines histricos o cientficos, en los que no sea posible la disociacin previa de los datos personales, ser necesario que el responsable solicite la autorizacin del Instituto, de acuerdo con las disposiciones que para tal efecto se emitan. El Instituto podr solicitar la opinin de la autoridad competente en la materia de que se trate, a fin de establecer la existencia de valores histricos o cientficos, o a falta de sta, la de expertos en la misma. Principio de lealtad Artculo 36. El principio de lealtad establece la obligacin de tratar los datos personales privilegiando la proteccin de los intereses del titular y la expectativa razonable de privacidad, en los trminos establecidos en el artculo 7 de la Ley. Por ningn motivo se podrn utilizar medios engaosos o fraudulentos para recabar y tratar datos personales. Se considerar que se acta de manera fraudulenta o engaosa cuando: I. II. III. Exista dolo, mala fe o negligencia en la informacin proporcionada al titular sobre el tratamiento de los datos personales; Se vulnere la expectativa razonable de privacidad del titular a la que refiere el artculo 7 de la Ley, o Las finalidades no fueron las establecidas en el aviso de privacidad.

Principio de proporcionalidad Artculo 37. Slo podrn ser objeto de tratamiento los datos personales que resulten necesarios, adecuados y relevantes en relacin con las finalidades para las que se hayan obtenido. Artculo 38. El responsable deber realizar esfuerzos razonables para limitar los datos personales tratados al mnimo necesario.

10

Principio de responsabilidad Artculo 39. En trminos de losartculos 6 y 14 de la Ley, el responsable tiene la obligacin de velar y responder por el tratamiento de los datos personales que se encuentren bajo su custodia o posesin o por aqullos que haya comunicado a un encargado, ya sea que este ltimo se encuentre o no en territorio mexicano. Para cumplir con esta obligacin, el responsable podr valerse de estndares y mejores prcticas internacionales, as como de esquemas de autorregulacin. Artculo 40. En trminos del artculo 14 de la Ley, el responsable deber adoptar medidas para garantizar el debido tratamiento de los datos personales, privilegiando los intereses del titular respecto a dicho tratamiento y la expectativa razonable de privacidad. Entre las medidas que podr adoptar el responsable se encuentran, de manera enunciativa mas no limitativa, las siguientes: I. II. III. IV. V. VI. VII. VIII. Elaborar polticas y programas de privacidad obligatorios y exigibles al interior de la organizacin del responsable; Poner en prctica un programa de capacitacin, actualizacin y concientizacin del personal sobre las obligaciones en materia de proteccin de datos personales; Establecer un sistema de supervisin y vigilancia interna, as como verificaciones o auditoras externas para verificar el cumplimiento de las polticas de privacidad; Destinar recursos para la instrumentacin de los programas y polticas de privacidad; Instrumentar un procedimiento para que se atienda el riesgo para la proteccin de datos personales por la implementacin de nuevos productos, servicios, tecnologas y modelos de negocios, as como para mitigarlos; Revisar peridicamente las polticas y programas de seguridad para determinar las modificaciones que se requieran; Establecer procedimientos para recibir y responder dudas y quejas de los titulares de los datos personales, o Disponer de mecanismos para el cumplimiento de las polticas y programas de privacidad, as como de sanciones por su incumplimiento.

Relacin entre responsable y encargado Artculo 41. La relacin entre el responsable y el encargado, nacional o extranjero, deber estar regulada en un contrato, y establecer expresamente como obligaciones del encargado lo siguiente: I. Tratar nicamente los datos personales conforme a las instrucciones del responsable;

11

II. III. IV. V.

VI.

No tratar los datos personales para una finalidad distinta a la que figure en el contrato; Implementar las medidas de seguridad conforme a la Ley, el Reglamento y las dems disposiciones aplicables; Guardar confidencialidad respecto de los datos personales sometidos a tratamiento; Suprimir los datos personales objeto de tratamiento al responsable, en trminos del artculo 44 del presente Reglamento, una vez cumplida la prestacin contractual por parte del encargado y/o por instrucciones del responsable, y No transferir los datos personales salvo en el caso de que el responsable as lo determine, la comunicacin derive de una subcontratacin, o cuando as lo requiera la autoridad competente.

Los acuerdos entre el responsable y el encargado relacionados con el tratamiento de datos personales debern estar acordes con el aviso de privacidad correspondiente. Artculo 42. De conformidad con lo dispuesto por el artculo 3, fraccin IX de la Ley, ser encargado la persona fsica o moral, pblica o privada, nacional o extranjera que, sola o conjuntamente con otras, trate datos personales por cuenta del responsable, como consecuencia de la existencia de una relacin jurdica que le vincula con el mismo y delimita el mbito de su actuacin para la prestacin de un servicio. Podrn ser tambin encargados las personas integrantes de un grupo que acte sin personalidad jurdica y que trate datos personales para finalidades propias y especficas. Artculo 43. Las transmisiones nacionales e internacionales de datos personales entre un responsable y un encargado no requerirn ser informadas al titular ni contar con su consentimiento. En el caso de que el encargado destine los datos personales a otra finalidad o los transfiera a un tercero, incumpliendo las instrucciones del responsable, derivadas de las estipulaciones del contrato, ser considerado responsable del nuevo tratamiento, con las obligaciones y responsabilidades propias de ste. El encargado no incurrir en responsabilidad cuando, previa indicacin expresa del responsable, transmita los datos personales a otro encargado designado por este ltimo, al que hubiera encomendado la prestacin de un servicio, o transfiera los datos personales a un tercero conforme a lo previsto en el presente Reglamento. Artculo 44. En trminos de lo dispuesto por la fraccin V del artculo 41 del presente Reglamento, el encargado no proceder a la supresin de los datos personales cuando exista una previsin legal que exija su conservacin.12

Artculo 45. No se considerar encargado al proveedor de los servicios de alojamiento de bases de datos personalesen la infraestructura del entorno digital, cuando el responsable utilice sus plataformas o servidores sin que medie una contratacin expresa conforme al artculo 41 de este Reglamento y se adhiera a servicios preexistentes prestados por dicho proveedor. En consecuencia, el responsable asumir las obligaciones que implique el almacenamiento de los datos personales en las plataformas o servicios antes referidos, a fin de evitar su acceso, reproduccin, alteracin o supresin sin consentimiento del titular. Subcontratacin de servicios Artculo 46. Toda subcontratacin de servicios por parte del encargado que implique el tratamiento de datos personales deber ser autorizada por el responsable, y se realizar en nombre y por cuenta de este ltimo. Una vez obtenida la autorizacin, el encargado deber formalizar un contrato con el subcontratista, en el que se establezca lo previsto en las fracciones I a VI del artculo 41 del presente Reglamento. La persona fsica o moral subcontratada asumir las mismas obligaciones que se establezcan para el encargado en la Ley, el presente Reglamento y dems disposiciones aplicables. La obligacin de acreditar que la subcontratacin se realiz con autorizacin del responsable corresponder al encargado. Artculo 47. Cuando el contrato entre el responsable y el encargado prevea la subcontratacin de servicios, la autorizacin a la que refiere el artculo anterior se entender como otorgada a travs de lo estipulado en el contrato. En caso de que la subcontratacin no haya sido prevista en el contrato celebrado entre el responsable y el encargado, este ltimo deber obtener la autorizacin correspondiente del responsable previo a la subcontratacin. En ambos casos, se deber observar lo previsto en el artculo anterior. Seccin II De los Datos Personales Sensibles Supuestos para la creacin de bases de datos personales sensibles Artculo 48. En trminos de lo previsto en el artculo 9, segundo prrafo de la Ley, slo podrn crearse bases de datos que contengan datos personales sensibles cuando:13

I. II. III.

Obedezca a un mandato legal; Se justifique en trminos del artculo 4 de la Ley, o El responsable lo requiera para finalidades legtimas, concretas y acordes con las actividades o fines explcitos que persiga.

En todos los casos, el responsable deber establecer medidas suficientes para evitar la discriminacin de los titulares cuyos datos personales sensibles se encuentren en su posesin y la divulgacin de los mismos a terceros no autorizados. Captulo III De las Medidas de Seguridad en el Tratamiento de Datos Personales Alcance Artculo 49. El responsable y, en su caso, el encargado debern establecer y mantener las medidas de seguridad administrativas, fsicas y, en su caso, tcnicas para la proteccin de los datos personales, con arreglo a lo dispuesto en la Ley y el presente Captulo, con independencia del sistema de tratamiento. Se entender por medidas de seguridad para los efectos del presente Captulo, el control o grupo de controles de seguridad para proteger los datos personales. En el supuesto al que se refiere artculo 45 del presente Reglamento, el responsable deber cuidar que el prestador del servicio correspondiente cuente con medidas de seguridad adecuadas para la proteccin de los datos personales. Lo anterior sin perjuicio de lo establecido por las disposiciones vigentes en materia de seguridad emitidas por las autoridades competentes al sector que corresponda, cuando stas contemplen una proteccin mayor para el titular de los datos personales que la dispuesta en la Ley y el presente Reglamento. Artculo 50. En trminos de lo dispuesto en el artculo 65, fraccin III de la Ley, en los casos en que ocurra una vulneracin a la seguridad de los datos personales, el cumplimiento de las recomendaciones que el Instituto emita en materia de medidas de seguridad se tomar en consideracin para determinar la atenuacin de la sancin que corresponda. Funciones de seguridad Artculo 51. Para garantizar el establecimiento y mantenimiento efectivo de las medidas de seguridad, el responsable podr desarrollar las funciones de seguridad, o bien contratar a un encargado para tal fin. Medidas de seguridad Artculo 52. El responsable determinar las medidas de seguridad aplicables a los datos personales que trate, tomando en consideracin los siguientes factores:14

I. II. III. IV. V. VI. VII. VIII.

El riesgo inherente por tipo de dato personal; La sensibilidad de los datos personales tratados; El nmero de titulares; El desarrollo tecnolgico; Las posibles consecuencias de una vulneracin para los titulares; Las vulnerabilidades previas ocurridas en los sistemas de tratamiento; El valor que podran tener los datos para un tercero no autorizado, y Dems factores que puedan incidir en el nivel de riesgo o que resulten de otras leyes o regulacin aplicable al responsable.

Para tales efectos, el Instituto emitir recomendaciones para identificar las medidas de seguridad con base en las fracciones anteriores. Artculo 53. El Instituto desarrollar y pondr a disposicin de los responsables, a manera de recomendacin, una herramienta para identificar las medidas de seguridad mnimas que aplicarn a los datos personales tratados. Cuando exista un bajo riesgo para los datos personales tratados, de conformidad con las recomendaciones que emita el Instituto, la herramienta facilitar la elaboracin del documento de seguridad y la identificacin de las acciones previstas en el siguiente artculo. Documento de Seguridad Artculo 54. A fin de garantizar la seguridad de los datos personales, el responsable debertomar en cuentalas siguientes acciones: I. II. III. IV. V. VI. VII. VIII. IX. Elaborar un inventario de datos personales y de los sistemas de tratamiento de datos personales; Determinar las funciones y obligaciones de las personas que traten datos personales; Contar con un anlisis de riesgos de datos personales que consiste en identificar peligros y estimar los riesgos a los datos personales; Establecer las medidas de seguridad aplicables a los datos personales e identificar aqullas implementadas de manera efectiva; Realizar el anlisis de brecha que consiste en la diferencia de las medidas de seguridad existentes y aqullas faltantes para cada tipo de dato y para cada sistema de tratamiento; Elaborar un plan de trabajo para la implementacin de las medidas de seguridad faltantes, derivadas del anlisis de brecha; Llevar a cabo revisiones y/o auditoras; Capacitar al personal que trate datos personales; Realizar un registro de las cancelaciones o destrucciones de datos personales, y

15

X.

Realizar un registro de los medios de almacenamiento de los datos personales.

El responsable deber elaborar un documento de seguridad tomando en cuenta las acciones previstas en las fracciones anteriores y, en su caso, identificando las personas que realicen las funciones de seguridad. Actualizaciones al documento de seguridad Artculo 55. El documento de seguridad deber ser revisado y, en su caso, actualizado cuando ocurran los siguientes eventos: I. II. III. IV. Se modifiquen las medidas y/o procesos de seguridad para su mejora continua, derivado de las revisiones a la poltica de seguridad del responsable; Se produzcan modificaciones sustanciales en el tratamiento de datos personales que deriven en un cambio del nivel de riesgo; Se vulneren los sistemas de tratamiento, de conformidad con lo dispuesto en el artculo 20 de la Ley y 56 del presente Reglamento, o Exista una afectacin a los datos personales distinta a las anteriores.

En el caso de datos personales sensibles, el documento de seguridad deber revisarse y actualizarse una vez al ao. Vulneraciones de seguridad Artculo 56. Las vulneracionesde seguridad de datos personales ocurridas en cualquier fase del tratamiento son: I. II. III. IV. La prdida o destruccin no autorizada; El robo, extravo o copia no autorizada; El uso, acceso o tratamiento no autorizado, o El dao, la alteracin y/o modificacin no autorizada.

Notificacin de vulneraciones de seguridad Artculo 57. El responsable deber informar al titular las vulneraciones que afecten de forma significativa los derechos patrimoniales o morales de los titulares sin dilacin, en cuantotenga conocimiento de la vulneracin y haya tomado las acciones encaminadas a detonar un proceso de revisin exhaustiva de la magnitud de la afectacin, a fin de que los titulares afectados puedan tomar las medidas correspondientes. Artculo 58. El responsable deber informar al titular al menos lo siguiente: I. II. III. La naturaleza de la vulneracin; Los datos personales comprometidos; Las acciones correctivas realizadas de forma inmediata, y16

IV.

Los medios donde puede obtener ms informacin al respecto.

Artculo 59. En caso de que ocurra una vulneracin a los datos personales, el responsable deber analizar las causas por las cuales se present e implementar las acciones correctivas, preventivas y de mejora para adecuar las medidas de seguridad correspondientes, a efecto de evitar que la vulneracin se repita. Captulo IV De las Transferencias de Datos Personales Artculo 60. La transferencia implica la comunicacin de datos personales realizada a persona distinta del titular, del responsable o del encargado del tratamiento que acte por cuenta de ste, dentro o fuera del territorio nacional. Artculo 61. Toda transferencia de datos personales, sea sta nacional o internacional, se encuentra sujeta al consentimiento de su titular y le deber ser informada mediante el aviso de privacidad, salvo las excepciones previstas en la Ley. Artculo 62. La transferencia de datos personales ser legtima cuando cuente con el consentimiento del titular, salvo las excepciones previstas en la Ley,se limite a la finalidad que la justifique y quede debidamente documentada de acuerdo con el artculo siguiente. Artculo 63. La transferencia de datos personales ser posible cuando el transferente de los datos personales garantice que el receptor cumplir con las disposiciones previstas en la Ley, el presente Reglamento y dems normatividad aplicable, a travs de clusulas contractuales u otros mecanismosque prevean al menos las mismas obligaciones a las que se encuentra sujeto el responsable que transfiere los datos, y en los que consten las necesarias previsiones para la proteccin de los datos personales. Captulo V De la Coordinacin entre Autoridades Artculo 64. Cuando la dependencia competente, atendiendo a las necesidades que advierta sobre su sector, determine la necesidad de normar el tratamiento de datos personales en posesin de los particulares, podr emitir o modificar la regulacin especfica, en coadyuvancia con el Instituto. Asimismo, cuando el Instituto derivado del ejercicio de sus atribuciones advierta la necesidad de emitir o modificar regulacin especfica para normar el tratamiento de datos personales en un sector determinado, podr proponer a la dependencia competente la elaboracin de un anteproyecto.

17

Artculo 65. Para la elaboracin, emisin y publicacin de la regulacin a que se refiere el artculo 40 de la Ley, la dependencia y el Instituto establecern los mecanismos de coordinacin correspondientes. Captulo VI De la Autorregulacin Vinculante Objeto de la autorregulacin Artculo 66. De conformidad con lo establecido en el artculo 44 de la Ley, las personas fsicas o morales podrn convenir entre ellas o con organizaciones civiles o gubernamentales, nacionales o extranjeras, esquemas de autorregulacin vinculante en materia de proteccin de datos personales, que complementen lo dispuesto por la Ley, el presente Reglamento y las disposiciones que se emitan por las dependencias en desarrollo del mismo y en el mbito de sus atribuciones. Asimismo, a travs de dichos esquemas el responsable podr demostrar ante el Instituto el cumplimiento de las obligaciones previstas en dicha normatividad. Lo anterior con el objeto de armonizar los tratamientos que lleven a cabo quienes se adhieren a los mismos y facilitar el ejercicio de los derechos de los titulares. Objetivos especficos de la autorregulacin Artculo 67. La autorregulacin vinculante tendr los siguientes objetivos primordiales: I. II. Establecer procesos y prcticas cualitativos en el mbito de la proteccin de datos personales que complementen lo dispuesto en la Ley; Fomentar que los responsables establezcan polticas, procesos y buenas prcticas para el cumplimiento de los principios de proteccin de datos personales, garantizando la privacidad y confidencialidad de la informacin personal que est en su posesin; Garantizar el aseguramiento y la trazabilidad; Promover que los responsables de manera voluntaria cuenten con constancias o certificaciones sobre el cumplimiento de lo establecido en la Ley, y mostrar a los titulares su compromiso con la proteccin de datos personales; Identificar a los responsables que cuenten con polticas de privacidad alineadas al cumplimiento de los principios y derechos previstos en la Ley, as como de competencia laboral para el debido cumplimiento de sus obligaciones en la materia; Promover el compromiso de los responsables con la rendicin de cuentas y adopcin de polticas internas consistentes con criterios externos, as como para auspiciar mecanismos para implementar polticas de privacidad, incluyendo herramientas, transparencia, supervisin interna continua, evaluaciones de riesgo, verificaciones externas y sistemas de remediacin; y18

III. IV.

V.

VI.

VII.

Encauzar mecanismos de solucin alternativa de controversias entre responsables, titulares y terceros, como son los de conciliacin y mediacin.

Artculo 68. Los esquemas de autorregulacin podrn traducirse en cdigos deontolgicos o de buenas prcticas profesionales, sellos de confianza u otros mecanismos y contendrn reglas o estndares especficos. Cuando un responsable adopte y mantenga un esquema de autorregulacin, dicha circunstancia ser tomada en consideracin para determinar la atenuacin de la sancin que corresponda, en caso de verificarse algn incumplimiento a lo dispuesto por la Ley y el presente Reglamento, por parte del Instituto. Estos esquemas sern vinculantes para quienes se adhieran a los mismos; no obstante, la adhesin ser de carcter voluntario. Contenido de los esquemas de autorregulacin Artculo 69. Los esquemas de autorregulacin debern considerar los parmetros que emita la Secretara, en coadyuvancia con el Instituto, para el correcto desarrollo de este tipo de mecanismos y medidas de autorregulacin, considerando al menos lo siguiente: I. El tipo de esquema convenido, que podr constituirse en cdigos deontolgicos, cdigo de buena prctica profesional, sellos de confianza, u otros que posibilite a los titulares identificar a los responsables comprometidos con la proteccin de sus datos personales; Los procedimientos o mecanismos que se emplearn para medir la eficacia en la proteccin de los datos personales por parte de los adheridos; Los mecanismos para facilitar los derechos de los titulares de los datos personales; La identificacin de las personas fsicas o morales adheridas, que posibilite reconocer a los responsables que satisfacen los requisitos exigidos por determinado esquema de autorregulacin y que se encuentran comprometidos con la proteccin de los datos personales que poseen, y Las medidas correctivas eficaces en caso de incumplimiento.

II. III. IV.

V.

Artculo 70. Los parmetros de autorregulacin a los que se refiere el artculo 43, fraccin V, de la Leycontendrn los mecanismos para acreditar y revocar a terceros certificadores, as como sus funciones y el procedimiento de notificacin de los esquemas de autorregulacin vinculante. Captulo VII De los Derechos de los Titulares de Datos Personales y su Ejercicio Seccin I Disposiciones Generales19

Personas facultadas para el ejercicio de los derechos Artculo 71. Los derechos ARCO se ejercern: I. Por el titular, previa acreditacin de su identidad, a travs de la presentacin de copia de su documento de identificacin y habiendo exhibido el original para su cotejo. Tambin podrn ser admisibles los instrumentos electrnicos por medio de los cuales sea posible identificar fehacientemente al titular u otros mecanismos de autenticacin previamente establecidos por el responsable. La utilizacin de firma electrnica avanzada o del instrumento electrnico que lo sustituya eximir de la presentacin de la copia del documento de identificacin, y II. Por el representante del titular, previa acreditacin de la representacin. mediante instrumento pblico o carta poder firmada ante dos testigos, o declaracin en comparecencia personal del titular. Cuando la solicitud sea formulada por persona distinta del titular y no se acredite que la misma acta en representacin de aqul, el responsable ante el cual se haya presentado deber tenerla como no presentada. Servicios de atencin al pblico Artculo 72. Cuando el responsable disponga de servicios de cualquier ndole para la atencin a su pblico o el ejercicio de reclamaciones relacionadas con el servicio prestado o los productos ofertados, podr atender las solicitudes para el ejercicio de los derechos ARCO a travs de dichos servicios, siempre y cuando los plazos no contravengan los establecidos en el artculo 32 de la Ley. En tal caso, la identidad del titular se considerar acreditada por los medios establecidos por el responsable para la identificacin de los titulares en la prestacin de sus servicios o contratacin de sus productos, siempre que a travs de dichos medios se garantice la identidad del titular. Artculo 73. El ejercicio de cualquiera de los derechos ARCO no excluye la posibilidad de ejercer alguno de los otros, ni puede constituir requisito previo para el ejercicio de cualquiera de estos derechos. Costos Artculo 74. El ejercicio de los derechos ARCO ser sencillo y gratuito, debiendo cubrir el titular nicamente los gastos de envo, reproduccin y, en su caso, certificacin de documentos, salvo la excepcin prevista en el segundo prrafo del artculo 35 de la Ley. Los costos de reproduccin no podrn ser mayores a los costos de recuperacin del material correspondiente.

20

El responsable no podr establecer como nica va para la presentacin de las solicitudes del ejercicio de los derechos ARCO algn medio que suponga un costo para el titular. Restricciones al ejercicio de los derechos Artculo 75. El ejercicio de los derechos ARCO podr restringirse por razones de seguridad nacional, disposiciones de orden pblico, seguridad y salud pblicas o para proteger los derechos de terceros, en los casos y con los alcances previstos en las leyes aplicables en la materia, o bien mediante resolucin de la autoridad competente debidamente fundada y motivada. Medios para el ejercicio de los derechos Artculo 76. Para el ejercicio de los derechos ARCO, el responsable podr utilizar medios remotos o locales de comunicacin electrnica u otros que considere pertinentes. Los responsables podrn establecer formularios, sistemas y otros mtodos simplificados para facilitar a los titulares el ejercicio de los derechos ARCO, lo cual deber informarse en el aviso de privacidad. Artculo 77. Cuando las leyes aplicables a determinadas bases de datos establezcan un procedimiento especfico para solicitar el ejercicio de los derechos ARCO, se estar a lo dispuesto en aqullas que ofrezcan mayores garantas al titular, y no contravengan las disposiciones previstas en la Ley. Artculo 78. Para el ejercicio de los derechos ARCO, el titular o su representante podrn presentar la solicitud ante el responsable conforme a los medios establecidos en el aviso de privacidad. Domicilio del titular Artculo 79. Para los efectos del artculo 29, fraccin I de la Ley, el titular o su representante debern sealar en su solicitud el domicilio o cualquier otro medio que designe para que le sea notificada la respuesta a su solicitud. En caso de no cumplir con este requisito, el responsable tendr por no presentada la solicitud, dejando constancia de ello. Registro de solicitudes Artculo 80. El responsable deber dar trmite a toda solicitud para el ejercicio de los derechos ARCO, siempre que el titular acredite la recepcin de la misma por parte del responsable.El plazo para que se atienda la solicitud empezar a computarse a partir del da en que la misma fue recibida por el responsable, en cuyo caso proceder a la recepcin de la solicitud y devolver un acuse de recibo, en el que deber aparecer la fecha del registro. Requerimiento de informacin adicional21

Artculo 81. En el caso de que la informacin proporcionada en la solicitud sea insuficiente o errnea para atenderla, o bien, no se acompaen los documentos a que hacen referencia los artculos 29, fraccin II y 31 de la Ley, el responsable podr requerir al titular, por una vez y dentro de los cinco das siguientes a la recepcin de la solicitud, que aporte los elementos o documentos necesarios para dar trmite a la misma. El plazo para dar respuesta, previsto en el artculo anterior, empezar a correr a partir de que el titular atienda el requerimiento. Transcurridos diez das sin que el titular atienda el requerimiento, la solicitud se tendr por no presentada. Ampliacin de los plazos Artculo 82. En trminos del artculo 32 de la Ley, en caso de que el responsable determine ampliar el plazo de respuesta a una solicitud para el ejercicio de los derechos ARCO o aqul para hacer efectiva la respuesta, ste deber notificar al solicitante las causas que justificaron dicha ampliacin, en los siguientes plazos: I. En caso de ampliar los veinte das para comunicar la determinacin adoptada sobre la procedencia de la solicitud, la justificacin de la ampliacin deber notificarse dentro del mismo plazo contado a partir del da siguiente a la fecha en que se recibi la solicitud, o bien, En caso de ampliar los quince das para hacer efectivo el ejercicio del derecho que corresponda, la justificacin de la ampliacin deber notificarse dentro del mismo plazo contado a partir del da siguiente a la fecha en que se notific la procedencia de la solicitud.

II.

Respuesta por parte del responsable Artculo 83. La respuesta al titular deber comprender la totalidad de sus datos personales sometidos a tratamiento, salvo que ste hubiera hecho referencia en su solicitud a un tratamiento en lo particular, a datos personales especficos, o bien a una categora de datos personales. La respuesta deber presentarse en un formato legible y comprensible y de fcil acceso. En caso de uso de cdigos, siglas o claves se debern proporcionar los significados correspondientes. Artculo 84. En todos los casos, el responsable deber dar respuesta a la solicitud que se le dirija, con independencia de que figuren o no datos personales del titular en sus bases de datos, de conformidad con los plazos establecidos en el artculo 32 de la Ley. Cuando el acceso a los datos personales sea en sitio, el responsable deber determinar el periodo durante el cual el titular podr presentarse a consultarlos, mismo que no podr ser menor a quince das. Transcurrido ese plazo, sin que el22

titular haya acudido a tener acceso a sus datos personales, ser necesaria la presentacin de una nueva solicitud. Artculo 85. En todo caso, el responsable deber justificar su negativa para atender el ejercicio de los derechos ARCO por parte del titular, as como informar a este ltimo el derecho que le asiste para solicitar el inicio del procedimiento de proteccin de derechos ante el Instituto. Seccin II Del Derecho de Acceso y su Ejercicio Artculo 86. En trminos de lo dispuesto por el artculo 23 de la Ley, el titular o su representante tienen derecho a obtener del responsable sus datos personales, as como informacin relativa a las condiciones y generalidades del tratamiento, entre la que se encuentra los datos utilizados para la toma de decisiones en las que no haya intervencin humana valorativa. Artculo 87. Para el ejercicio del derecho de acceso, el titular o su representante podrn optar por la reproduccin de la informacin solicitada en copias simples, medios magnticos, pticos, sonoros, visuales, hologrficos, as como otras tecnologas o medios. Las modalidades de acceso podrn restringirse en funcin de la configuracin o caractersticas de la base de datos, siempre que se justifique dicha situacin ante el titular y se ofrezcan vas alternativas para facilitar el acceso. Seccin III Del Derecho de Rectificacin y su Ejercicio Artculo 88. De conformidad con lo dispuesto por el artculo 24 de la Ley, el titular o su representante podrn solicitar en todo momento al responsable que rectifique sus datos personales que resulten ser inexactos o incompletos. Artculo 89. La solicitud de rectificacin deber indicar a qu datos personales se refiere, as como la correccin que haya de realizarse y deber ir acompaada de la documentacin que ampare la procedencia de lo solicitado. Seccin IV Del Derecho de Cancelacin y su Ejercicio Artculo 90. En trminos del artculo 25 de la Ley, la cancelacin implica el cese en el tratamiento de datos personales por parte del responsable, a partir de un bloqueo de los mismos y su posterior supresin.

23

Artculo 91. El titular o su representante podrn solicitar en todo momento al responsable la cancelacin de los datos personales. La solicitud ser procedente cuando el tratamiento de los mismos por parte del responsable no cumpla con los principios de proporcionalidad, finalidad y calidad que establece la Ley y el presente Reglamento, es decir, cuando los datos tratados resulten ser inadecuados, innecesarios o irrelevantes con relacin a la finalidad para la cual fueron recabados; estn siendo utilizados para fines no autorizados o incompatibles con la finalidad que justific su tratamiento; o bien, el responsable no los haya suprimido a pesar de que se agot la finalidad para la cual fueron recabados. Asimismo, la cancelacin proceder cuando el titular solicite la revocacin del consentimiento para el tratamiento de la totalidad de sus datos personales en posesin del responsable, siempre y cuando no lo impida una disposicin legal. La cancelacin proceder respecto de la totalidad de los datos personales del titular contenidos en una base de datos, o slo parte de ellos. Bloqueo Artculo 92. De resultar procedente la cancelacin, y sin perjuicio de lo establecido en el artculo 32 de la Ley, el responsable deber: I. Determinar un periodo de bloqueo de acuerdo con las responsabilidades que motivan el tratamiento, as como la prescripcin legal o contractual de las mismas, y notificarlo al titular o a su representante dentro de un plazo de veinte das, contados desde la fecha en que se recibi la solicitud de cancelacin; Atender las medidas de seguridad adecuadas para el bloqueo, y Transcurrido el periodo de bloqueo, llevar a cabo la supresin correspondiente, bajo las medidas de seguridad previamente establecidas por el responsable.

II. III.

Artculo 93. En trminos del artculo 3, fraccin III de la Ley, el bloqueo tiene como propsito impedir el tratamiento de los datos personales o posible acceso por persona alguna, con excepcin del titular, salvo que alguna disposicin legal prevea lo contrario. El periodo de bloqueo ser hasta el plazo de prescripcin legal o contractual correspondiente. Seccin V Del Derecho de Oposicin y su Ejercicio Derecho de oposicin Artculo 94. En trminos del artculo 27 de la Ley, el titular podr oponerse al tratamiento de sus datos personales o exigir que se cese en el mismo cuando:24

I. II.

Su situacin especfica as lo requiera, la cual debe justificar que aun siendo lcito el tratamiento, el mismo debe cesar para evitar que su persistencia cause un perjuicio al titular, o Requiera manifestar su oposicin o revocacin al consentimiento para el tratamiento de sus datos personales, incluso previo al inicio del mismo, a fin de que no se lleve a cabo el tratamiento para fines especficos.

Listados de exclusin Artculo 95. Para el ejercicio del derecho de oposicin, los responsables podrn gestionar listados de exclusin propios en los que incluyan los datos de las personas que han manifestado su negativa para que trate sus datos personales, ya sea para sus productos o de terceros. Asimismo, los responsables podrn gestionar listados comunes de exclusin por sectores o generales. En ambos casos, la inscripcin del titular a dichos listados deber ser gratuita y se deber poner a disposicin del titular los medios que le permitan tener certeza de dicha inscripcin. Artculo 96. El Registro Pblico de Consumidores previsto en la Ley Federal de Proteccin al Consumidor y el Registro Pblico de Usuarios previsto en la Ley de Proteccin y Defensa al Usuario de Servicios Financieros, as como cualquier otro de la misma naturaleza, constituyen listas de exclusin en los trminos del presente Reglamento, y se regirn de conformidad con lo que establezcan las disposiciones aplicables. Seccin VI De las decisiones sin intervencin humana valorativa Artculo 97. Cuando se traten datos personales para la toma de decisiones sin que intervenga la valoracin de una persona fsica, el responsable deber informar al titular sobre dicha situacin mediante el aviso de privacidad, as como los mecanismos para solicitar se reconsideren estas decisiones. Captulo VIII Del Procedimiento de Proteccin de Derechos Inicio Artculo 98. La solicitud para iniciar el procedimiento de proteccin de derechos deber presentarse por el titular de los datos personales o su representante; ya sea mediante escrito libre, en los formatos que para tal efecto determine el

25

Instituto o a travs del sistema que ste establezca, en el plazo previsto en el artculo 45 de la Ley. Tanto el formato como el sistema debern ser puestos a disposicin por el Instituto en su sitio de Internet y en cada una de las oficinas habilitadas que ste determine. Al promover una solicitud de proteccin de derechos, el titular o su representante debern acreditar su personalidad en los trminos establecidos en el artculo 71 del presente Reglamento. Artculo 99. La solicitud de proteccin de derechos deber presentarse en el domicilio del Instituto, en sus oficinas habilitadas, por correo certificado con acuse de recibo o en el sistema al que refiere el artculo anterior, en este ltimo caso, siempre que el particular cuente con la certificacin del medio de identificacin electrnica a que se refiere el artculo 69-C de la Ley Federal de Procedimiento Administrativo. En todo caso, se entregar al promovente un acuse de recibo en el cual conste de manera fehaciente la fecha de la presentacin de la solicitud. Cuando el promovente presente su solicitud por medios electrnicos a travs del sistema que establezca el Instituto, se entender que acepta que las notificaciones le sean efectuadas por dicho sistema, salvo que seale un medio distinto para efectos de las notificaciones. El plazo para la sustanciacin de este procedimiento se computarn de acuerdo con lo que establece el artculo 47 de la Ley. Causales de procedencia Artculo 100. El procedimiento de proteccin de derechos proceder en contra de las inconformidades derivadas del ejercicio de los derechos ARCO, entre otras, cuando: I. II. III. IV. V. El titular no haya recibido respuesta por parte del responsable; El responsable no otorgue acceso a los datos personales solicitados o lo haga en un formato ilegible o incomprensible; El responsable se niegue a efectuar las rectificaciones a los datos personales; El titular no est conforme con la informacin entregada por considerar que es incompleta o no corresponde a la solicitada, o bien, con el costo o modalidad de la reproduccin; El responsable se niegue a cancelar los datos personales, ya sea ante el ejercicio del derecho de cancelacin o la revocacin del consentimiento por parte del titular, o

26

VI.

El responsable persista en el tratamiento a pesar de haber procedido la solicitud de oposicin, o bien, se niegue a atender la solicitud de oposicin o de revocacin del consentimiento.

Artculo 101. El promovente deber adjuntar a su solicitud, en trminos del artculo 46 de la Ley: I. Copia de la solicitud del ejercicio de derechos que corresponda y en el caso de la revocacin del consentimiento los elementos circunstanciales de la misma, as como copia de los documentos anexos para cada una de las partes, de ser el caso; El documento que acredite que acta por su propio derecho o en representacin del titular; El documento en que conste la respuesta del responsable, de ser el caso; En el supuesto en que impugne la falta de respuesta del responsable, deber acompaar una copia en la que obre el acuse o constancia de recepcin de la solicitud del ejercicio de derechos por parte del responsable; Las pruebas documentales que ofrece para acreditar su pretensin, El documento en el que seale las dems pruebas que ofrezca, en trminos del artculo 104 del presente Reglamento, y Cualquier otro documento que considere procedente someter a juicio del Instituto.

II. III. IV.

V. VI. VII.

Artculo 102. Acordada la admisin de la solicitud de proteccin de derechos, el Instituto notificar la misma al promovente y correr traslado al responsable, anexando todos los documentos que el titular hubiere aportado, a efecto de que manifieste lo que a su derecho convenga en un plazo de quince das a partir de la notificacin, debiendo ofrecer las pruebas que considere pertinentes. Admisin o desechamiento de las pruebas Artculo 103. El Instituto dictar un acuerdo de admisin o desechamiento de las pruebas, y de ser necesario stas sern desahogadas en una audiencia, de la cual se notificar el lugar o medio, la fecha y hora a las partes. Ofrecimiento de pruebas Artculo 104. Se podrn ofrecer como pruebas las siguientes: I. II. III. IV. V. La documental pblica; La documental privada; La inspeccin, siempre y cuando se realice a travs de la autoridad competente; Las fotografas, pginas electrnicas, escritos y dems elementos aportados por la ciencia y tecnologa, y La presuncional, en su doble aspecto, legal y humana.27

En caso de que se ofrezca prueba pericial, se precisarn los hechos sobre los que deber versar y se sealarn el nombre y domicilio del perito. Sin estos sealamientos se tendr por no ofrecida la prueba. Conciliacin Artculo 105. Admitida la solicitud y sin perjuicio de lo dispuesto por el artculo 54 de la Ley, dentro de los primeros quince das, el Instituto promover un acuerdo de conciliacin entre las partes de conformidad con el siguiente procedimiento: I. El Instituto requerir a las partes se manifiesten sobre su voluntad de conciliar, exponindoles un resumen de la solicitud de proteccin de datos personales y de la respuesta del responsable si la hubiere, sealando los elementos comunes y los puntos de controversia, y las exhortar para llegar a un arreglo, salvaguardando los derechos del titular de los datos personales. La conciliacin podr celebrarse presencialmente, por medios remotos o locales de comunicacin electrnica o por cualquier otro medio que determine el Instituto. En cualquier caso, la conciliacin habr de hacerse constar por el medio que permita acreditar su existencia. Queda exceptuado de la etapa de conciliacin, cuando el titular sea menor de edad y se haya vulnerado alguno de los derechos contemplados en la Ley para la Proteccin de los Derechos de Nias, Nios y Adolescentes, vinculados con la Ley y el presente Reglamento, salvo que cuente con representacin legal debidamente acreditada. II. Aceptada la posibilidad de conciliar por las partes, el Instituto sealar el lugar o medio, da y hora para la celebracin de una audiencia de conciliacin dentro de los cinco das siguientes en que el Instituto haya recibido la manifestacin de la voluntad de conciliar de las partes, en la que se procurar avenir los intereses entre el titular y el responsable. El conciliador podr, en todo momento, requerir a las partes los elementos de conviccin que estime necesarios para la conciliacin. Las partes podrn aportar las pruebas que estimen necesarias para acreditar los elementos de la solicitud del titular y de la respuesta del responsable. El conciliador podr suspender cuando lo estime pertinente o a instancia de ambas partes la audiencia de conciliacin hasta en dos ocasiones. En caso de que se suspenda la audiencia, el conciliador sealar da y hora para su reanudacin.

28

De toda audiencia de conciliacin se levantar el acta respectiva, en la que conste el resultado de la misma. En caso de que el responsable o el titular o sus respectivos representantes no firmen el acta, ello no afectar su validez, debindose hacer constar dicha negativa. III. Si el responsable no acude a la audiencia de conciliacin y no justifica su ausencia ser acreedor a un extraamiento y ser convocado a una segunda audiencia de conciliacin. En caso de que no acuda a sta, se continuar con el procedimiento de proteccin de derechos. En caso de que el titular sin justificacin no acuda a la primera audiencia de conciliacin, se continuar con el procedimiento. En ambos casos, de haber causa justificada, se convocar a una segunda audiencia de conciliacin; De no existir acuerdo en la audiencia de conciliacin, se continuar con el procedimiento de proteccin de derechos; En caso de que en la audiencia se logre la conciliacin, el acuerdo deber constar por escrito y tendr efectos vinculantes y sealar, en su caso, el plazo de su cumplimiento, y El cumplimiento del acuerdo dar por concluido el procedimiento de proteccin de derechos, en caso contrario, el Instituto reanudar el procedimiento. El plazo al que se refiere el artculo 47 de la Ley ser suspendido durante el periodo de cumplimiento del acuerdo de conciliacin. El procedimiento establecido en el presente artculo no obsta para que, en trminos del artculo 54 de la Ley, el Instituto pueda buscar la conciliacin en cualquier momento del procedimiento de proteccin de derechos. Audiencia Artculo 106. Para los efectos del penltimo prrafo del artculo 45 de la Ley, el Instituto determinar, en su caso, el lugar o medio, fecha y hora para la celebracin de la audiencia, la cual podr posponerse slo por causa justificada. En dicha audiencia se desahogarn las pruebas que por su naturaleza as lo requieran y se levantar el acta correspondiente. Presentacin de alegatos Artculo 107. Antes de dictar resolucin, se pondrn las actuaciones a disposicin de las partes, para que en su caso formulen alegatos, en un plazo de cinco das, contados a partir de la notificacin del acuerdo correspondiente. Al trmino de dicho plazo, se cerrar la instruccin y el Instituto emitir su resolucin en el plazo establecido en el artculo 47 de la Ley.

IV. V.

VI.

29

Tercero interesado Artculo 108. En caso de que no se haya sealado tercero interesado, ste podr apersonarse en el procedimiento mediante escrito en el que acredite inters jurdico para intervenir en el asunto, hasta antes del cierre de instruccin. Deber adjuntar a su escrito el documento en el que se acredite su personalidad cuando no acte en nombre propio y las pruebas documentales que ofrezca. Negativa ficta Artculo 109. En caso de que el procedimiento se inicie por falta de respuesta del responsable a una solicitud de ejercicio de los derechos ARCO, el Instituto correr traslado al responsable para que, en su caso, acredite haber dado respuesta a la misma, o bien, a falta de sta, emita la respuesta correspondiente y la notifique al titular con copia al Instituto, en un plazo de diez das contados a partir de la notificacin. En caso de que el responsable acredite haber dado respuesta a la solicitud de ejercicio de derechos en tiempo y forma, y la solicitud de procedimiento de proteccin de derechos haya sido presentada por el titular en el plazo y con los requisitos que establece la Ley y el presente Reglamento, el Instituto solicitar al titular que manifieste con claridad el contenido de su reclamacin con relacin a la respuesta del responsable, en un plazo de tres das contados a partir de la notificacin. Si el titular manifiesta su conformidad con la respuesta emitida por el responsable, el procedimiento de proteccin de derechos ser sobresedo, de lo contrario se continuar con el procedimiento de proteccin de derechos. Cuando el responsable acredite haber dado respuesta a la solicitud de ejercicio de derechos en tiempo y forma, y la solicitud de proteccin de derechos no haya sido presentada por el titular en el plazo y con los requisitos que establece la Ley y el presente Reglamento, el procedimiento de proteccin de derechos se sobreseer. En caso de que la respuesta sea emitida por el responsable durante el procedimiento de proteccin de derechos o hubiere sido emitida fuera del plazo establecido por el artculo 32 de la Ley, el responsable notificar dicha respuesta al titular y lo har del conocimiento del Instituto, para que en un plazo de quince das contados a partir de la notificacin, manifieste lo que a su derecho convenga, a efecto de continuar el curso del procedimiento. Si el titular manifiesta su conformidad con la respuesta, el procedimiento ser sobresedo. Cuando el responsable no atienda el requerimiento al que refiere el primer prrafo del presente artculo, se tendrn por ciertos los hechos manifestados por el promovente y se resolver con los elementos que consten en el expediente. Resoluciones

30

Artculo 110. Las resoluciones del Instituto debern cumplirse en el plazo y trminos que las mismas sealen, y podrn instruir el inicio de otros procedimientos previstos en la Ley. Artculo 111. Contra la resolucin al procedimiento de proteccin de derechos procede el recurso de revisin de la Ley Federal de Procedimiento Administrativo o el juicio de nulidad ante el Tribunal Federal de Justicia Fiscal y Administrativa. Artculo 112. En caso de que la solicitud de proteccin de derechos no actualice alguna de las causales de procedencia previstas en el artculo 100 del presente Reglamento, sino que refiera al procedimiento de verificacin contenido en el Captulo IX de este Reglamento, el Instituto deber realizar las gestiones conducentes para remitir, de forma sencilla y expedita, la solicitud del titular al procedimiento de verificacin correspondiente. Captulo IX Del Procedimiento de Verificacin Inicio Artculo 113. El Instituto, con el objeto de comprobar el cumplimiento de las disposiciones previstas en la Ley o en la regulacin que de ella derive, podr iniciar el procedimiento de verificacin, requiriendo al responsable la documentacin necesaria y/o realizando las visitas en el establecimiento en donde se encuentren las bases de datos respectivas, en das y horas hbiles. Artculo 114. El procedimiento de verificacin se llevar a cabo de oficio o a peticin de parte, por instruccin del Pleno del Instituto. Cualquier persona podr denunciar ante el Instituto las presuntas violaciones a los principios o disposiciones previstas en la Ley y dems ordenamientos aplicables, siempre que no se ubiquen en los supuestos de procedencia del procedimiento de proteccin de derechos. En este caso, el Pleno determinar, de manera fundada y motivada, la procedencia de iniciar la verificacin correspondiente, as como la forma en que, en su caso, intervendr el denunciante, atendiendo al inters jurdico que ste pudiera tener. Requisitos de la denuncia Artculo 115. La denuncia deber indicar lo siguiente: I. II. III. Nombre y domicilio del denunciado o, en su caso, datos para su ubicacin; Relacin de los hechos en los que basa su denuncia y, en su caso, los elementos con los que cuente para probar su dicho, y Nombre del denunciante y el domicilio o el medio para recibir notificaciones, en su caso.

31

La denuncia podr presentarse en los mismos medios establecidos para el procedimiento de proteccin de derechos. Cuando el denunciante presente su denuncia por medios electrnicos a travs del sistema que establezca el Instituto, se entender que acepta que las notificaciones le sean efectuadas por dicho sistema, salvo que seale un medio distinto para efectos de las notificaciones. Cuando las actuaciones se lleven a cabo como consecuencia de la existencia de una denuncia, el Instituto acusar de recibo de la denuncia, pudiendo solicitar la documentacin que estime oportuna para el desarrollo del procedimiento. Desarrollo de la verificacin Artculo 116. El procedimiento de verificacin tendr una duracin mxima de ciento ochenta das, contados a partir de la fecha en que el Pleno hubiera dictado el acuerdo de inicio. El Pleno del Instituto podr ampliar por una vez y hasta por un periodo igual este plazo. Este plazo deber ser notificado al responsable o encargado y, en su caso, al promovente. Artculo 117. El personal del Instituto que lleve a cabo las visitas de verificacin deber estar provisto de orden escrita fundada y motivada con firma autgrafa de la autoridad competente del Instituto, en la que deber precisarse el lugar en donde se encuentra el establecimiento del responsable, o bien en donde se encuentren las bases de datos objeto de la verificacin, el objeto de la visita, el alcance que deba tener la misma y las disposiciones legales que lo fundamenten. Artculo 118. Al iniciar la visita, el personal verificador deber exhibir credencial vigente con fotografa, expedida por el Instituto que lo acredite para desempear dicha funcin, as como la orden escrita fundada y motivada a la que se refiere el artculo anterior, de la que deber dejar copia con quien se entendi la visita. Artculo 119. Las visitas de verificacin concluirn con el levantamiento del acta correspondiente, en la que quedar constancia de las actuaciones practicadas durante la visita o visitas de verificacin. Dicha acta se levantar en presencia de dos testigos propuestos por la persona con quien se hubiera entendido la diligencia o por quien la practique si aqulla se hubiera negado a proponerlos. El acta que se emita por duplicado ser firmada por el personal verificador actuante y por el responsable, encargado o con quien se haya entendido la actuacin, que podr manifestar lo que a su derecho convenga. En caso de que el verificado se niegue a firmar el acta, se har constar expresamente esta circunstancia en la misma. Dicha negativa no afectar la validez de las actuaciones o de la propia acta. La firma del verificado no supondr su conformidad, sino tan slo la recepcin de la misma.32

Se entregar al verificado uno de los originales del acta de verificacin, incorporndose el otro a las actuaciones. Artculo 120. En las actas de verificacin se har constar: I. II. III. IV. V. VI. VII. VIII. IX. Nombre, denominacin o razn social del visitado; Hora, da, mes y ao en que se inicie y concluya la visita; Calle, nmero, poblacin o colonia, telfono u otra forma de comunicacin disponible, municipio o delegacin, cdigo postal y entidad federativa en que se encuentre ubicado el lugar en que se practique la visita; Nmero y fecha del oficio de comisin que la motiv; Nombre y cargo de la persona con quien se entendi la visita; Nombre y domicilio de las personas que fungieron como testigos; Datos relativos a la actuacin; Declaracin del visitado, si quisiera hacerla, y Nombre y firma de quienes intervinieron en la visita incluyendo los de quien la hubiera llevado a cabo. Si se negara a firmar el visitado o su representante legal, ello no afectar la validez del acta, debiendo el personal verificador asentar la razn relativa.

Los visitados a quienes se haya levantado acta de verificacin, podrn formular observaciones en el acto de la visita y manifestar lo que a su derecho convenga en relacin a los hechos contenidos en ella, o bien, por escrito dentro del trmino de los cinco das siguientes a la fecha en que se hubiere levantado. Artculo 121. Cuando derivado del procedimiento de verificacin, el Instituto formulara observaciones, stas se harn constar por escrito y en forma circunstanciada, precisando los hechos u omisiones que se hubiesen conocido e impliquen un presunto incumplimiento de las disposiciones previstas en la Ley o en la regulacin que de ella derive. El responsable contar con un plazo de veinte das, contados a partir del da siguiente al que surta efectos la notificacin del oficio de observaciones, para presentar las pruebas que desvirten los presuntos hechos u omisiones asentados en el mismo y manifestar lo que a su derecho convenga. Se tendrn por consentidos los hechos u omisiones consignados en el oficio de observaciones, si en el plazo a que se refiere el prrafo anterior el responsable no presenta los elementos probatorios para desvirtuarlos. Desahogadas, en su caso, las pruebas, se notificar al responsable que cuenta con un plazo de cinco das para presentar alegatos, contados a partir de la notificacin correspondiente. Al terminar dicho plazo se cerrar la instruccin y el

33

Instituto emitir su resolucin en el plazo establecido en el artculo 116 de este Reglamento. Resolucin Artculo 122. El procedimiento de verificacin concluir con la resolucin que emita el Pleno del Instituto, en la cual, en su caso, se establecern las medidas que deber adoptar el responsable en el plazo que la misma establezca. La resolucin del Pleno podr instruir el inicio del procedimiento de imposicin de sanciones o establecer un plazo para su inicio, el cual se llevar a cabo conforme a lo dispuesto por la Ley y el presente Reglamento. La determinacin del Pleno ser notificada al verificado y al denunciante, en su caso. Medios de impugnacin Artculo 123. En contra de la resolucin al procedimiento de verificacin, se podr interponer el recurso de revisin que establece la Ley Federal de Procedimiento Administrativo o el juicio de nulidad ante el Tribunal Federal de Justicia Fiscal y Administrativa. Artculo 124. En caso de que la denuncia presentada no refiera al procedimiento previsto en el presente captulo, sino que actualice alguna de las causales de procedencia del procedimiento de proteccin de derechos, contenidas en el artculo 100 del presente Reglamento, se estar a lo dispuesto en el Captulo VIII de este Reglamento. El Instituto deber realizar las gestiones necesarias para remitir, de forma sencilla y expedita, la denuncia al procedimiento de proteccin de derechos. Captulo X De las medidas para el cese en el uso de los datos personales Artculo 125. Para garantizar la debida proteccin de los datos personales, el Instituto podr, de manera excepcional, ordenaral responsable el cese del uso de los datos personales durante la sustanciacin de los procedimientos de proteccin de derechos y verificacin, cuando se cumplan las siguientes condiciones: I. Exista una presuncin fundada y motivada de violaciones graves a la Ley, al Reglamento y dems disposiciones aplicables, y II. Cuando cualquier demora pueda ocasionar daos irreparables o de difcil reparacin para el titular de los datos personales. Artculo 126. Estas medidas debern ser proporcionales y conducentes al riesgo que se prev.

34

El Instituto podr solicitar al titular o denunciante informacin para comprobar la violacin que se presuma a la Ley, el Reglamento o dems disposiciones aplicables. Artculo 127. El responsable deber atender la medida ordenada por el Instituto, en un plazo que no podr ser mayor a cinco das contados a partir de la notificacin. En caso de que el responsable no atienda la medida ordenada por el Instituto en el plazo establecido en el presente artculo, el Instituto iniciar el procedimiento de imposicin de sanciones, de conformidad con el artculo 63, fraccin XVI de la Ley. Artculo 128. El responsable podr manifestar lo que a su derecho convenga en un plazo de cinco das a partir de la notificacin, pudiendo ofrecer las pruebas que considere pertinentes en ese mismo plazo. Artculo 129. La medida se levantar tan pronto como cesen las causas que le dieron origen, mediante resolucin del Instituto, la cual tendr que emitirse en un plazo que no podr exceder de diez das, a partir de la presentacin de pruebas por parte del responsable. La resolucin deber ser notificada al responsable. Captulo XI Del Procedimiento de Imposicin de Sanciones Inicio Artculo 130. Para efectos del artculo 61 de la Ley, el Instituto iniciar el procedimiento de imposicin de sanciones cuando de los procedimientos de proteccin de derechos o de verificacin, se determinen infracciones a la Ley susceptibles de ser sancionadas conforme al artculo 64 de la Ley. Para tales efectos, la Secretara de Proteccin de Datos Personales supervisar, coordinar y sustanciar el procedimiento de imposicin de sancin al que refiere el presente Captulo, y emitir la resolucin correspondiente y la notificar a las partes. El procedimiento iniciar con la notificacin que se haga al infractor, en el domicilio que el Instituto tenga registrado, derivado de los procedimientos de proteccin de derechos o de verificacin. La notificacin ir acompaada de un informe que describa los hechos constitutivos de la infraccin, emplazando al infractor para que en un trmino de quince das manifieste lo que a su derecho convenga y rinda las pruebas que estime convenientes para la determinacin de la sancin. Ofrecimiento y desahogo de pruebas

35

Artculo 131. El infractor en su contestacin se manifestar concretamente respecto de cada uno de los hechos que se le imputen de manera expresa, afirmndolos, negndolos, sealando que los ignora por no ser propios o exponiendo cmo ocurrieron, segn sea el caso; y presentar los argumentos por medio de los cuales desvirte la infraccin que se le imputa y las pruebas correspondientes. En caso de que se ofrezca prueba pericial o testimonial, se precisarn los hechos sobre los que deban versar y se sealarn los nombres y domicilios del perito o de los testigos. Sin estos sealamientos se tendrn por no ofrecidas dichas pruebas. Artculo 132. Al ofrecimiento de pruebas del infractor, deber recaer un acuerdo que admita o deseche los elementos de conviccin ofrecidos. De ser necesario, se determinar lugar, fecha y hora para el desahogo de pruebas, que por su naturaleza as lo requieran. Se levantar un acta de la celebracin de la audiencia y del desahogo de las pruebas. Cierre de instruccin y resolucin Artculo 133. Desahogadas, en su caso, las pruebas, se notificar al infractor que cuenta con cinco das para presentar alegatos. Al trmino de dicho plazo se cerrar la instruccin y la resolucin del Instituto deber emitirse en un plazo no mayor de cincuenta das, siguientes a los que inici el procedimiento. Cuando haya causa justificada, el Pleno del Instituto podr ampliar por una vez y hasta por un perodo igual el plazo al que refiere el prrafo anterior. Artculo 134. En contra de la resolucin al procedimiento de imposicin de sanciones procede el recurso de revisin de la Ley Federal de Procedimiento Administrativo o el juicio de nulidad ante el Tribunal Federal de Justicia Fiscal y Administrativa. Transitorios Artculo Primero. El presente Reglamento entrar en vigor al da siguiente al de su publicacin en el Diario Oficial de la Federacin. Cualquier tratamiento de datos personales regulado por la Ley y el presente Reglamento que se realice con posterioridad a la fecha de entrada en vigor de la Ley, deber ajustarse a las disposiciones previstas en dichos ordenamientos, con independencia de que los datos personales hayan sido obtenidos o la base de datos correspondiente haya sido conformada o creada con anterioridad a la entrada en vigor de la Ley.

36

Artculo Segundo. Los supuestos de aplicacin de las medidas compensatorias autorizados por el Instituto a las que se refiere el artculo 27 del presente Reglamento, sern publicadas por el Instituto a ms tardar a los tres meses a partir de la entrada en vigor de este Reglamento. Artculo Tercero. Para cumplir con la obligacin que establece el artculo 31 del presente Reglamento, los responsables tendrn doce meses a partir de la entrada en vigor de este Reglamento. Artculo Cuarto. El Instituto emitir las recomendaciones generales de las medidas de seguridad a las que refiere el Captulo III del presente Reglamento, a ms tardar a los seis meses siguientes de la entrada en vigor del Reglamento. Artculo Quinto. El responsable deber implementar las medidas de seguridad aplicables, a ms tardar a los dieciocho meses siguientes de la entrada en vigor del presente Reglamento. Artculo Sexto. La Secretara, en coadyuvancia con el Instituto, emitir los parmetros a que se refieren los artculos 69 y70 de este Reglamento, dentro de los seis meses siguientes a su entrada en vigor.

37