Post on 25-Sep-2015
description
REGLAMENTO DE LA LEY FEDERAL DE PROTECCIN DE DATOS PERSONALES EN POSESIN DE LOS PARTICULARES
CMARA DE DIPUTADOS DEL H. CONGRESO DE LA UNIN Secretara General Secretara de Servicios Parlamentarios
Nuevo Reglamento DOF 21-12-2011
1 de 31
REGLAMENTO DE LA LEY FEDERAL DE PROTECCIN DE DATOS PERSONALES EN POSESIN DE LOS PARTICULARES
TEXTO VIGENTE
Nuevo Reglamento publicado en el Diario Oficial de la Federacin el 21 de diciembre de 2011
Al margen un sello con el Escudo Nacional, que dice: Estados Unidos Mexicanos.- Presidencia de la Repblica.
FELIPE DE JESS CALDERN HINOJOSA, Presidente de los Estados Unidos Mexicanos, en ejercicio de la
facultad que me confiere el artculo 89, fraccin I de la Constitucin Poltica de los Estados Unidos Mexicanos, con
fundamento en los artculos 34 de la Ley Orgnica de la Administracin Pblica Federal y 3, fraccin X, 18, ltimo
prrafo, 45, ltimo prrafo, 46, segundo prrafo, 54, ltimo prrafo, 60, ltimo prrafo y 62, ltimo prrafo de la Ley
Federal de Proteccin de Datos Personales en Posesin de los Particulares, he tenido a bien expedir el siguiente
REGLAMENTO DE LA LEY FEDERAL DE PROTECCIN DE DATOS PERSONALES EN POSESIN DE LOS
PARTICULARES
Captulo I
Disposiciones Generales
Objeto
Artculo 1. El presente ordenamiento tiene por objeto reglamentar las disposiciones de la Ley Federal de
Proteccin de Datos Personales en Posesin de los Particulares.
Definiciones
Artculo 2. Adems de las definiciones establecidas en el artculo 3 de la Ley Federal de Proteccin de Datos
Personales en Posesin de los Particulares, para los efectos del presente Reglamento se entender por:
I. Dependencias: Las sealadas en el artculo 26 de la Ley Orgnica de la Administracin Pblica Federal;
II. Derechos ARCO: Son los derechos de acceso, rectificacin, cancelacin y oposicin;
III. Entorno digital: Es el mbito conformado por la conjuncin de hardware, software, redes, aplicaciones,
servicios o cualquier otra tecnologa de la sociedad de la informacin que permiten el intercambio o procesamiento
informatizado o digitalizado de datos;
IV. Listado de exclusin: Base de datos que tiene por objeto registrar de manera gratuita la negativa del titular al
tratamiento de sus datos personales;
V. Medidas de seguridad administrativas: Conjunto de acciones y mecanismos para establecer la gestin, soporte
y revisin de la seguridad de la informacin a nivel organizacional, la identificacin y clasificacin de la informacin,
as como la concienciacin, formacin y capacitacin del personal, en materia de proteccin de datos personales;
VI. Medidas de seguridad fsicas: Conjunto de acciones y mecanismos, ya sea que empleen o no la tecnologa,
destinados para:
a) Prevenir el acceso no autorizado, el dao o interferencia a las instalaciones fsicas, reas crticas de la
organizacin, equipo e informacin;
b) Proteger los equipos mviles, porttiles o de fcil remocin, situados dentro o fuera de las instalaciones;
c) Proveer a los equipos que contienen o almacenan datos personales de un mantenimiento que asegure su
disponibilidad, funcionalidad e integridad, y
d) Garantizar la eliminacin de datos de forma segura;
VII. Medidas de seguridad tcnicas: Conjunto de actividades, controles o mecanismos con resultado medible, que
se valen de la tecnologa para asegurar que:
REGLAMENTO DE LA LEY FEDERAL DE PROTECCIN DE DATOS PERSONALES EN POSESIN DE LOS PARTICULARES
CMARA DE DIPUTADOS DEL H. CONGRESO DE LA UNIN Secretara General Secretara de Servicios Parlamentarios
Nuevo Reglamento DOF 21-12-2011
2 de 31
a) El acceso a las bases de datos lgicas o a la informacin en formato lgico sea por usuarios identificados y
autorizados;
b) El acceso referido en el inciso anterior sea nicamente para que el usuario lleve a cabo las actividades que
requiere con motivo de sus funciones;
c) Se incluyan acciones para la adquisicin operacin, desarrollo y mantenimiento de sistemas seguros, y
d) Se lleve a cabo la gestin de comunicaciones y operaciones de los recursos informticos que se utilicen en el
tratamiento de datos personales;
VIII. Persona fsica identificable: Toda persona fsica cuya identidad pueda determinarse, directa o
indirectamente, mediante cualquier informacin. No se considera persona fsica identificable cuando para lograr la
identidad de sta se requieran plazos o actividades desproporcionadas;
IX. Remisin: La comunicacin de datos personales entre el responsable y el encargado, dentro o fuera del
territorio mexicano;
X. Soporte electrnico: Medio de almacenamiento al que se pueda acceder slo mediante el uso de algn aparato
con circuitos electrnicos que procese su contenido para examinar, modificar o almacenar los datos personales,
incluidos los microfilms;
XI. Soporte fsico: Medio de almacenamiento inteligible a simple vista, es decir, que no requiere de ningn aparato
que procese su contenido para examinar, modificar o almacenar los datos personales, y
XII. Supresin: Actividad consistente en eliminar, borrar o destruir el o los datos personales, una vez concluido el
periodo de bloqueo, bajo las medidas de seguridad previamente establecidas por el responsable.
mbito objetivo de aplicacin
Artculo 3. El presente Reglamento ser de aplicacin al tratamiento de datos personales que obren en soportes
fsicos o electrnicos, que hagan posible el acceso a los datos personales con arreglo a criterios determinados, con
independencia de la forma o modalidad de su creacin, tipo de soporte, procesamiento, almacenamiento y
organizacin.
No se aplicarn las disposiciones del presente Reglamento cuando para acceder a los datos personales, se
requieran plazos o actividades desproporcionadas.
En trminos del artculo 3, fraccin V de la Ley, los datos personales podrn estar expresados en forma numrica,
alfabtica, grfica, fotogrfica, acstica o de cualquier otro tipo, concerniente a una persona fsica identificada o
persona fsica identificable.
mbito territorial de aplicacin
Artculo 4. El presente Reglamento ser de aplicacin obligatoria a todo tratamiento cuando:
I. Sea efectuado en un establecimiento del responsable ubicado en territorio mexicano;
II. Sea efectuado por un encargado con independencia de su ubicacin, a nombre de un responsable establecido
en territorio mexicano;
III. El responsable no est establecido en territorio mexicano pero le resulte aplicable la legislacin mexicana,
derivado de la celebracin de un contrato o en trminos del derecho internacional, y
IV. El responsable no est establecido en territorio mexicano y utilice medios situados en dicho territorio, salvo
que tales medios se utilicen nicamente con fines de trnsito que no impliquen un tratamiento. Para efectos de esta
fraccin, el responsable deber proveer los medios que resulten necesarios para el efectivo cumplimiento de las
obligaciones que impone la Ley, su Reglamento y dems disposiciones aplicables, derivado del tratamiento de datos
personales. Para ello, podr designar un representante o implementar el mecanismo que considere pertinente,
siempre que a travs del mismo se garantice que el responsable estar en posibilidades de cumplir de manera
efectiva, en territorio mexicano, con las obligaciones que la normativa aplicable imponen a aquellas personas fsicas
o morales que tratan datos personales en Mxico.
REGLAMENTO DE LA LEY FEDERAL DE PROTECCIN DE DATOS PERSONALES EN POSESIN DE LOS PARTICULARES
CMARA DE DIPUTADOS DEL H. CONGRESO DE LA UNIN Secretara General Secretara de Servicios Parlamentarios
Nuevo Reglamento DOF 21-12-2011
3 de 31
Cuando el responsable no se encuentre ubicado en territorio mexicano, pero el encargado lo est, a este ltimo le
sern aplicables las disposiciones relativas a las medidas de seguridad contenidas en el Captulo III del presente
Reglamento.
En el caso de personas fsicas, el establecimiento se entender como el local en donde se encuentre el principal
asiento de sus negocios o el que utilicen para el desempeo de sus actividades o su casa habitacin.
Tratndose de personas morales, el establecimiento se entender como el local en donde se encuentre la
administracin principal del negocio; si se trata de personas morales residentes en el extranjero, el local en donde se
encuentre la administracin principal del negocio en territorio mexicano, o en su defecto el que designen, o cualquier
instalacin estable que permita el ejercicio efectivo o real de una actividad.
Informacin de personas fsicas con actividad comercial y datos de representacin y contacto
Artculo 5. Las disposiciones del presente Reglamento no sern aplicables a la informacin siguiente:
I. La relativa a personas morales;
II. Aqulla que refiera a personas fsicas en su calidad de comerciantes y profesionistas, y
III. La de personas fsicas que presten sus servicios para alguna persona moral o persona fsica con actividades
empresariales y/o prestacin de servicios, consistente nicamente en su nombre y apellidos, las funciones o puestos
desempeados, as como algunos de los siguientes datos laborales: domicilio fsico, direccin electrnica, telfono y
nmero de fax; siempre que esta informacin sea tratada para fines de representacin del empleador o contratista.
Tratamiento derivado de una relacin jurdica
Artculo 6. Cuando el tratamiento tenga como propsito cumplir con una obligacin derivada de una relacin
jurdica, no se considerar para uso exclusivamente personal.
Fuentes de acceso pblico
Artculo 7. Para los efectos del artculo 3, fraccin X de la Ley, se consideran fuentes de acceso pblico:
I. Los medios remotos o locales de comunicacin electrnica, ptica y de otra tecnologa, siempre que el sitio
donde se encuentren los datos personales est concebido para facilitar informacin al pblico y est abierto a la
consulta general;
II. Los directorios telefnicos en trminos de la normativa especfica;
III. Los diarios, gacetas o boletines oficiales, de acuerdo con su normativa, y
IV. Los medios de comunicacin social.
Para que los supuestos enumerados en el presente artculo sean considerados fuentes de acceso pblico ser
necesario que su consulta pueda ser realizada por cualquier persona no impedida por una norma limitativa, o sin ms
exigencia que, en su caso, el pago de una contraprestacin, derecho o tarifa.
No se considerar una fuente de acceso pblico cuando la informacin contenida en la misma sea o tenga una
procedencia ilcita.
El tratamiento de datos personales obtenidos a travs de fuentes de acceso pblico, respetar la expectativa
razonable de privacidad, a que se refiere el tercer prrafo del artculo 7 de la Ley.
Grupos sin personalidad jurdica
Artculo 8. Las personas integrantes de un grupo que acte sin personalidad jurdica y que trate datos personales
para finalidades especficas o propias del grupo se considerarn tambin responsables o encargados, segn sea el
caso.
Captulo II
De los Principios de Proteccin de Datos Personales
Seccin I
Principios
REGLAMENTO DE LA LEY FEDERAL DE PROTECCIN DE DATOS PERSONALES EN POSESIN DE LOS PARTICULARES
CMARA DE DIPUTADOS DEL H. CONGRESO DE LA UNIN Secretara General Secretara de Servicios Parlamentarios
Nuevo Reglamento DOF 21-12-2011
4 de 31
Principios de Proteccin de Datos
Artculo 9. De acuerdo con lo previsto en el artculo 6 de la Ley, los responsables deben cumplir con los
siguientes principios rectores de la proteccin de datos personales:
I. Licitud;
II. Consentimiento;
III. Informacin;
IV. Calidad;
V. Finalidad;
VI. Lealtad;
VII. Proporcionalidad, y
VIII. Responsabilidad.
Asimismo, el responsable deber observar los deberes de seguridad y confidencialidad a que se refieren los
artculos 19 y 21 de la Ley.
Principio de licitud
Artculo 10. El principio de licitud obliga al responsable a que el tratamiento sea con apego y cumplimiento a lo
dispuesto por la legislacin mexicana y el derecho internacional.
Principio de consentimiento
Artculo 11. El responsable deber obtener el consentimiento para el tratamiento de los datos personales, a
menos que no sea exigible con arreglo a lo previsto en el artculo 10 de la Ley. La solicitud del consentimiento deber
ir referida a una finalidad o finalidades determinadas, previstas en el aviso de privacidad.
Cuando los datos personales se obtengan personalmente o de manera directa de su titular, el consentimiento
deber ser previo al tratamiento.
Caractersticas del consentimiento
Artculo 12. La obtencin del consentimiento tcito o expreso deber ser:
I. Libre: sin que medie error, mala fe, violencia o dolo, que puedan afectar la manifestacin de voluntad del titular;
II. Especfica: referida a una o varias finalidades determinadas que justifiquen el tratamiento, y
III. Informada: que el titular tenga conocimiento del aviso de privacidad previo al tratamiento a que sern
sometidos sus datos personales y las consecuencias de otorgar su consentimiento.
El consentimiento expreso tambin deber ser inequvoco, es decir, que existan elementos que de manera
indubitable demuestren su otorgamiento.
Consentimiento tcito
Artculo 13. Salvo que la Ley exija el consentimiento expreso del titular, ser vlido el consentimiento tcito como
regla general, conforme a lo dispuesto en los artculos 11 y 12 del presente Reglamento.
Solicitud del consentimiento tcito
Artculo 14. Cuando el responsable pretenda recabar los datos personales directa o personalmente de su titular,
deber previamente poner a disposicin de ste el aviso de privacidad, el cual debe contener un mecanismo para
que, en su caso, el titular pueda manifestar su negativa al tratamiento de sus datos personales para las finalidades
que sean distintas a aqullas que son necesarias y den origen a la relacin jurdica entre el responsable y el titular.
En los casos en que los datos personales se obtengan de manera indirecta del titular y tenga lugar un cambio de
las finalidades que fueron consentidas en la transferencia, el responsable deber poner a disposicin del titular el
aviso de privacidad previo al aprovechamiento de los datos personales. Cuando el aviso de privacidad no se haga del
REGLAMENTO DE LA LEY FEDERAL DE PROTECCIN DE DATOS PERSONALES EN POSESIN DE LOS PARTICULARES
CMARA DE DIPUTADOS DEL H. CONGRESO DE LA UNIN Secretara General Secretara de Servicios Parlamentarios
Nuevo Reglamento DOF 21-12-2011
5 de 31
conocimiento del titular de manera directa o personal, el titular tendr un plazo de cinco das para que, de ser el caso,
manifieste su negativa para el tratamiento de sus datos personales para las finalidades que sean distintas a aqullas
que son necesarias y den origen a la relacin jurdica entre el responsable y el titular. Si el titular no manifiesta su
negativa para el tratamiento de sus datos de conformidad con lo anterior, se entender que ha otorgado su
consentimiento para el tratamiento de los mismos, salvo prueba en contrario.
Cuando el responsable utilice mecanismos en medios remotos o locales de comunicacin electrnica, ptica u
otra tecnologa, que le permitan recabar datos personales de manera automtica y simultnea al tiempo que el titular
hace contacto con los mismos, en ese momento se deber informar al titular sobre el uso de esas tecnologas, que a
travs de las mismas se obtienen datos personales y la forma en que se podrn deshabilitar.
Consentimiento expreso
Artculo 15. El responsable deber obtener el consentimiento expreso del titular cuando:
I. Lo exija una ley o reglamento;
II. Se trate de datos financieros o patrimoniales;
III. Se trate de datos sensibles;
IV. Lo solicite el responsable para acreditar el mismo, o
V. Lo acuerden as el titular y el responsable.
Solicitud del consentimiento expreso
Artculo 16. Cuando el consentimiento expreso sea exigido en trminos de una disposicin legal o reglamentaria,
el responsable deber facilitar al titular un medio sencillo y gratuito para que, en su caso, lo pueda manifestar.
Excepciones al principio del consentimiento
Artculo 17. En trminos de lo dispuesto por los artculos 10, fraccin IV y 37, fraccin VII de la Ley, no se
requerir el consentimiento tcito o expreso para el tratamiento de los datos personales cuando stos deriven de una
relacin jurdica entre el titular y el responsable.
No resulta aplicable lo establecido en el prrafo anterior cuando el tratamiento de datos personales sea para
finalidades distintas a aqullas que son necesarias y den origen a la relacin jurdica entre el responsable y el titular.
En ese caso, para la obtencin del consentimiento tcito, el responsable deber observar lo dispuesto en los
artculos 8, tercer prrafo de la Ley y 11, 12 y 13 del presente Reglamento, y tratndose de datos sensibles,
financieros y patrimoniales, deber obtener el consentimiento expreso, o bien, expreso y por escrito, segn lo exija la
Ley.
Consentimiento verbal
Artculo 18. Se considera que el consentimiento expreso se otorg verbalmente cuando el titular lo externa
oralmente de manera presencial o mediante el uso de cualquier tecnologa que permita la interlocucin oral.
Consentimiento escrito
Artculo 19. Se considerar que el consentimiento expreso se otorg por escrito cuando el titular lo externe
mediante un documento con su firma autgrafa, huella dactilar o cualquier otro mecanismo autorizado por la
normativa aplicable. Tratndose del entorno digital, podrn utilizarse firma electrnica o cualquier mecanismo o
procedimiento que al efecto se establezca y permita identificar al titular y recabar su consentimiento.
Prueba para demostrar la obtencin del consentimiento
Artculo 20. Para efectos de demostrar la obtencin del consentimiento, la carga de la prueba recaer, en todos
los casos, en el responsable.
Revocacin del consentimiento
REGLAMENTO DE LA LEY FEDERAL DE PROTECCIN DE DATOS PERSONALES EN POSESIN DE LOS PARTICULARES
CMARA DE DIPUTADOS DEL H. CONGRESO DE LA UNIN Secretara General Secretara de Servicios Parlamentarios
Nuevo Reglamento DOF 21-12-2011
6 de 31
Artculo 21. En cualquier momento, el titular podr revocar su consentimiento para el tratamiento de sus datos
personales, para lo cual el responsable deber establecer mecanismos sencillos y gratuitos, que permitan al titular
revocar su consentimiento al menos por el mismo medio por el que lo otorg, siempre y cuando no lo impida una
disposicin legal.
Los mecanismos o procedimientos que el responsable establezca para atender las solicitudes de revocacin del
consentimiento no podrn exceder los plazos previstos en el artculo 32 de la Ley.
Cuando el titular solicite la confirmacin del cese del tratamiento de sus datos personales, el responsable deber
responder expresamente a dicha solicitud.
En caso de que los datos personales hubiesen sido remitidos con anterioridad a la fecha de revocacin del
consentimiento y sigan siendo tratados por encargados, el responsable deber hacer de su conocimiento dicha
revocacin, para que procedan a efectuar lo conducente.
Procedimiento ante la negativa al cese en el tratamiento
Artculo 22. En caso de negativa por parte del responsable al cese en el tratamiento ante la revocacin del
consentimiento, el titular podr presentar ante el Instituto la denuncia correspondiente a que refiere el Captulo IX del
presente Reglamento.
Principio de informacin
Artculo 23. El responsable deber dar a conocer al titular la informacin relativa a la existencia y caractersticas
principales del tratamiento a que sern sometidos sus datos personales a travs del aviso de privacidad, de
conformidad con lo previsto en la Ley y el presente Reglamento.
Caractersticas del aviso de privacidad
Artculo 24. El aviso de privacidad deber caracterizarse por ser sencillo, con informacin necesaria, expresado
en lenguaje claro y comprensible, y con una estructura y diseo que facilite su entendimiento.
Medios de difusin
Artculo 25. Para la difusin de los avisos de privacidad, el responsable podr valerse de formatos fsicos,
electrnicos, medios verbales o cualquier otra tecnologa, siempre y cuando garantice y cumpla con el deber de
informar al titular.
Elementos del aviso de privacidad
Artculo 26. El aviso de privacidad deber contener los elementos a que se refieren los artculos 8, 15, 16, 33 y
36 de la Ley, as como los que se establezcan en los lineamientos a que se refiere el artculo 43, fraccin III de la
Ley.
Aviso de privacidad para la obtencin directa de los datos personales
Artculo 27. En trminos del artculo 17, fraccin II de la Ley, cuando los datos personales sean obtenidos
directamente del titular, el responsable deber proporcionar de manera inmediata al menos la siguiente informacin:
I. La identidad y domicilio del responsable;
II. Las finalidades del tratamiento, y
III. Los mecanismos que el responsable ofrece para que el titular conozca el aviso de privacidad de conformidad
con el artculo 26 del presente Reglamento.
La divulgacin inmediata de la informacin antes sealada no exime al responsable de la obligacin de proveer
los mecanismos para que el titular conozca el contenido del aviso de privacidad, de conformidad con el artculo 26
del presente Reglamento.
Aviso de privacidad en formatos con espacio limitado
REGLAMENTO DE LA LEY FEDERAL DE PROTECCIN DE DATOS PERSONALES EN POSESIN DE LOS PARTICULARES
CMARA DE DIPUTADOS DEL H. CONGRESO DE LA UNIN Secretara General Secretara de Servicios Parlamentarios
Nuevo Reglamento DOF 21-12-2011
7 de 31
Artculo 28. El responsable podr poner a disposicin del titular el aviso de privacidad en trminos del artculo
anterior, cuando obtenga los datos personales por medios impresos, siempre que el espacio utilizado para la
obtencin de los datos personales sea mnimo y limitado, de forma tal que los datos personales obtenidos tambin
sean mnimos.
Aviso de privacidad para obtencin indirecta de datos personales
Artculo 29. Cuando los datos personales sean obtenidos de manera indirecta del titular, el responsable deber
observar lo siguiente para la puesta a disposicin del aviso de privacidad:
I. Cuando los datos personales sean tratados para una finalidad prevista en una transferencia consentida o se
hayan obtenido de una fuente de acceso pblico, el aviso de privacidad se deber dar a conocer en el primer
contacto que se tenga con el titular, o
II. Cuando el responsable pretenda utilizar los datos para una finalidad distinta a la consentida, es decir, vaya a
tener lugar un cambio de finalidad, el aviso de privacidad deber darse a conocer previo el aprovechamiento de los
mismos.
Tratamiento para fines mercadotcnicos, publicitarios o de prospeccin comercial
Artculo 30. Entre las finalidades del tratamiento a las que refiere la fraccin II del artculo 16 de la Ley, en su
caso, se debern incluir las relativas al tratamiento para fines mercadotcnicos, publicitarios o de prospeccin
comercial.
Lo anterior sin perjuicio de lo establecido por las disposiciones vigentes que regulen el tratamiento para los fines
sealados en el prrafo anterior, cuando stas contemplen una proteccin mayor para el titular que la dispuesta en la
Ley y el presente Reglamento.
Prueba del aviso de privacidad
Artculo 31. Para efectos de demostrar la puesta a disposicin del aviso de privacidad en cumplimiento del
principio de informacin, la carga de la prueba recaer, en todos los casos, en el responsable.
Medidas compensatorias
Artculo 32. En trminos del tercer prrafo del artculo 18 de la Ley, cuando resulte imposible dar a conocer el
aviso de privacidad al titular o exija esfuerzos desproporcionados, en consideracin al nmero de titulares o a la
antigedad de los datos, el responsable podr instrumentar medidas compensatorias de comunicacin masiva de
acuerdo con los criterios generales expedidos por el Instituto, mismos que sern publicados en el Diario Oficial de la
Federacin, bajo los cuales podrn utilizarse los medios que se establecen en el artculo 35 del presente
Reglamento.
Los casos que no actualicen los criterios generales emitidos por el Instituto requerirn la autorizacin expresa de
ste, previo a la instrumentacin de la medida compensatoria, de conformidad con el procedimiento establecido en
los artculos 33 y 34 del presente Reglamento.
Solicitud para autorizacin de medidas compensatorias
Artculo 33. El procedimiento para que el Instituto autorice el uso de medidas compensatorias de comunicacin
masiva, al que refiere el segundo prrafo del artculo anterior, iniciar siempre a peticin del responsable.
El responsable presentar su solicitud directamente ante el Instituto o a travs de cualquier otro medio que ste
haya habilitado para tal efecto. La solicitud deber contener la siguiente informacin:
I. Nombre, denominacin o razn social del responsable que la promueva y, en su caso, de su representante, as
como copia de la identificacin oficial que acredite su personalidad y original para su cotejo. En el caso del
representante, se deber presentar copia del documento que acredite la representacin del responsable y original
para su cotejo;
II. Domicilio para or y recibir notificaciones, y nombre de la persona autorizada para recibirlas;
REGLAMENTO DE LA LEY FEDERAL DE PROTECCIN DE DATOS PERSONALES EN POSESIN DE LOS PARTICULARES
CMARA DE DIPUTADOS DEL H. CONGRESO DE LA UNIN Secretara General Secretara de Servicios Parlamentarios
Nuevo Reglamento DOF 21-12-2011
8 de 31
III. Tratamiento al que pretende aplicar la medida compensatoria y sus caractersticas principales, tales como
finalidad; tipo de datos personales tratados; si se efectan transferencias; particularidades de los titulares, entre ellas
edad, ubicacin geogrfica, nivel educativo y socioeconmico, entre otros;
IV. Causas o justificacin de la imposibilidad de dar a conocer el aviso de privacidad a los titulares o el esfuerzo
desproporcionado que esto exige. El responsable deber informar sobre el nmero de titulares afectados, antigedad
de los datos, si existe o no contacto directo con los titulares, y su capacidad econmica;
V. Tipo de medida compensatoria que pretende aplicar y por qu periodo la publicara;
VI. Texto propuesto para la medida compensatoria, y
VII. Documentos que el responsable considere necesarios presentar ante el Instituto.
Procedimiento para la autorizacin de medidas compensatorias
Artculo 34. El Instituto tendr un plazo de diez das siguientes a la recepcin de la solicitud de medida
compensatoria, para emitir la resolucin correspondiente.
Si el Instituto no resuelve en el plazo establecido, la solicitud de medida compensatoria se entender como
autorizada.
Una vez presentada la solicitud por el responsable ante el Instituto, ste valorar los esfuerzos
desproporcionados para dar a conocer el aviso de privacidad, tomando en cuenta lo siguiente:
I. El nmero de titulares;
II. La antigedad de los datos;
III. La capacidad econmica del responsable;
IV. El mbito territorial y sectorial de operacin del responsable, y
V. La medida compensatoria a utilizar.
En caso de que el Instituto en su valoracin considere que la medida compensatoria propuesta no cumple con el
principio de informacin, podr proponer al responsable la adopcin de alguna medida compensatoria alterna a la
propuesta por el responsable en su solicitud.
La propuesta del Instituto se har del conocimiento del responsable, a fin de que ste exponga lo que a su
derecho convenga en un plazo no mayor a cinco das, contados a partir del da siguiente en que haya recibido la
notificacin.
Si el responsable no responde en el plazo que seala el prrafo anterior, el Instituto resolver con los elementos
que consten en el expediente.
Cuando el Instituto determine que el responsable no justific la imposibilidad de dar a conocer el aviso de
privacidad al titular o que ello exige esfuerzos desproporcionados, no ser autorizado el uso de medidas
compensatorias.
La autorizacin que en su caso otorgue el Instituto estar vigente mientras no se modifiquen las circunstancias
bajo las cuales se autoriz la medida compensatoria.
Modalidades de medidas compensatorias
Artculo 35. Las medidas compensatorias de comunicacin masiva debern contener la informacin prevista en
el artculo 27 del presente Reglamento y se darn a conocer a travs de avisos de privacidad que se publicarn en
cualquiera de los medios siguientes:
I. Diarios de circulacin nacional;
II. Diarios locales o revistas especializadas, cuando se demuestre que los titulares de los datos personales
residan en una determinada entidad federativa o pertenezcan a una determinada actividad;
REGLAMENTO DE LA LEY FEDERAL DE PROTECCIN DE DATOS PERSONALES EN POSESIN DE LOS PARTICULARES
CMARA DE DIPUTADOS DEL H. CONGRESO DE LA UNIN Secretara General Secretara de Servicios Parlamentarios
Nuevo Reglamento DOF 21-12-2011
9 de 31
III. Pgina de Internet del responsable;
IV. Hiperenlaces o hipervnculos situados en una pgina de Internet del Instituto, habilitados para dicho fin,
cuando el responsable no cuente con una pgina de Internet propia;
V. Carteles informativos;
VI. Difusin en cpsulas informativas en radiodifusoras, o
VII. Otros medios alternos de comunicacin masiva.
Principio de calidad
Artculo 36. Se cumple con el principio de calidad cuando los datos personales tratados sean exactos,
completos, pertinentes, correctos y actualizados segn se requiera para el cumplimiento de la finalidad para la cual
son tratados.
Se presume que se cumple con la calidad en los datos personales cuando stos son proporcionados
directamente por el titular, y hasta que ste no manifieste y acredite lo contrario, o bien, el responsable cuente con
evidencia objetiva que los contradiga.
Cuando los datos personales no fueron obtenidos directamente del titular, el responsable deber adoptar medidas
razonables para que stos respondan al principio de calidad, de acuerdo con el tipo de datos personales y las
condiciones del tratamiento.
El responsable deber adoptar los mecanismos que considere necesarios para procurar que los datos personales
que trate sean exactos, completos, pertinentes, correctos y actualizados, a fin de que no se altere la veracidad de la
informacin, ni que ello tenga como consecuencia que el titular se vea afectado por dicha situacin.
Plazos de conservacin de los datos personales
Artculo 37. Los plazos de conservacin de los datos personales no debern exceder aqullos que sean
necesarios para el cumplimiento de las finalidades que justificaron el tratamiento, y debern atender las disposiciones
aplicables a la materia de que se trate, y tomar en cuenta los aspectos administrativos, contables, fiscales, jurdicos e
histricos de la informacin. Una vez cumplida la o las finalidades del tratamiento, y cuando no exista disposicin
legal o reglamentaria que establezca lo contrario, el responsable deber proceder a la cancelacin de los datos en su
posesin previo bloqueo de los mismos, para su posterior supresin.
Procedimientos para conservacin, bloqueo y supresin de los datos personales
Artculo 38. El responsable establecer y documentar procedimientos para la conservacin y, en su caso,
bloqueo y supresin de los datos personales, que incluyan los periodos de conservacin de los mismos, de
conformidad con el artculo anterior.
Prueba del cumplimiento de los plazos de conservacin
Artculo 39. Al responsable le corresponde demostrar que los datos personales se conservan o, en su caso,
bloquean, suprimen o cancelan cumpliendo los plazos previstos en el artculo 37 del presente Reglamento, o bien, en
atencin a una solicitud de derecho de cancelacin.
Principio de finalidad
Artculo 40. Los datos personales slo podrn ser tratados para el cumplimiento de la finalidad o finalidades
establecidas en el aviso de privacidad, en trminos del artculo 12 de la Ley.
Para efectos del prrafo anterior, la finalidad o las finalidades establecidas en el aviso de privacidad debern ser
determinadas, lo cual se logra cuando con claridad, sin lugar a confusin y de manera objetiva se especifica para qu
objeto sern tratados los datos personales.
Diferenciacin de finalidades
REGLAMENTO DE LA LEY FEDERAL DE PROTECCIN DE DATOS PERSONALES EN POSESIN DE LOS PARTICULARES
CMARA DE DIPUTADOS DEL H. CONGRESO DE LA UNIN Secretara General Secretara de Servicios Parlamentarios
Nuevo Reglamento DOF 21-12-2011
10 de 31
Artculo 41. El responsable identificar y distinguir en el aviso de privacidad entre las finalidades que dieron
origen y son necesarias para la relacin jurdica entre el responsable y el titular, de aqullas que no lo son.
Oposicin del tratamiento para finalidades distintas
Artculo 42. El titular podr negar o revocar su consentimiento, as como oponerse para el tratamiento de sus
datos personales para las finalidades que sean distintas a aqullas que son necesarias y den origen a la relacin
jurdica entre el responsable y el titular, sin que ello tenga como consecuencia la conclusin del tratamiento para
estas ltimas finalidades.
Tratamiento para finalidades distintas
Artculo 43. El responsable no podr llevar a cabo tratamientos para finalidades distintas que no resulten
compatibles o anlogas con aqullas para las que hubiese recabado de origen los datos personales y que hayan sido
previstas en el aviso de privacidad, a menos que:
I. Lo permita de forma explcita una ley o reglamento, o
II. El responsable haya obtenido el consentimiento para el nuevo tratamiento.
Principio de lealtad
Artculo 44. El principio de lealtad establece la obligacin de tratar los datos personales privilegiando la
proteccin de los intereses del titular y la expectativa razonable de privacidad, en los trminos establecidos en el
artculo 7 de la Ley.
No se podrn utilizar medios engaosos o fraudulentos para recabar y tratar datos personales. Existe una
actuacin fraudulenta o engaosa cuando:
I. Exista dolo, mala fe o negligencia en la informacin proporcionada al titular sobre el tratamiento;
II. Se vulnere la expectativa razonable de privacidad del titular a la que refiere el artculo 7 de la Ley, o
III. Las finalidades no son las informadas en el aviso de privacidad.
Principio de proporcionalidad
Artculo 45. Slo podrn ser objeto de tratamiento los datos personales que resulten necesarios, adecuados y
relevantes en relacin con las finalidades para las que se hayan obtenido.
Criterio de minimizacin
Artculo 46. El responsable deber realizar esfuerzos razonables para que los datos personales tratados sean los
mnimos necesarios de acuerdo con la finalidad del tratamiento que tenga lugar.
Principio de responsabilidad
Artculo 47. En trminos de los artculos 6 y 14 de la Ley, el responsable tiene la obligacin de velar y responder
por el tratamiento de los datos personales que se encuentren bajo su custodia o posesin, o por aqullos que haya
comunicado a un encargado, ya sea que este ltimo se encuentre o no en territorio mexicano.
Para cumplir con esta obligacin, el responsable podr valerse de estndares, mejores prcticas internacionales,
polticas corporativas, esquemas de autorregulacin o cualquier otro mecanismo que determine adecuado para tales
fines.
Medidas para el principio de responsabilidad
Artculo 48. En trminos del artculo 14 de la Ley, el responsable deber adoptar medidas para garantizar el
debido tratamiento, privilegiando los intereses del titular y la expectativa razonable de privacidad.
Entre las medidas que podr adoptar el responsable se encuentran por lo menos las siguientes:
REGLAMENTO DE LA LEY FEDERAL DE PROTECCIN DE DATOS PERSONALES EN POSESIN DE LOS PARTICULARES
CMARA DE DIPUTADOS DEL H. CONGRESO DE LA UNIN Secretara General Secretara de Servicios Parlamentarios
Nuevo Reglamento DOF 21-12-2011
11 de 31
I. Elaborar polticas y programas de privacidad obligatorios y exigibles al interior de la organizacin del
responsable;
II. Poner en prctica un programa de capacitacin, actualizacin y concientizacin del personal sobre las
obligaciones en materia de proteccin de datos personales;
III. Establecer un sistema de supervisin y vigilancia interna, verificaciones o auditoras externas para comprobar
el cumplimiento de las polticas de privacidad;
IV. Destinar recursos para la instrumentacin de los programas y polticas de privacidad;
V. Instrumentar un procedimiento para que se atienda el riesgo para la proteccin de datos personales por la
implementacin de nuevos productos, servicios, tecnologas y modelos de negocios, as como para mitigarlos;
VI. Revisar peridicamente las polticas y programas de seguridad para determinar las modificaciones que se
requieran;
VII. Establecer procedimientos para recibir y responder dudas y quejas de los titulares de los datos personales;
VIII. Disponer de mecanismos para el cumplimiento de las polticas y programas de privacidad, as como de
sanciones por su incumplimiento;
IX. Establecer medidas para el aseguramiento de los datos personales, es decir, un conjunto de acciones
tcnicas y administrativas que permitan garantizar al responsable el cumplimiento de los principios y obligaciones
que establece la Ley y el presente Reglamento, o
X. Establecer medidas para la trazabilidad de los datos personales, es decir, acciones, medidas y procedimientos
tcnicos que permiten rastrear a los datos personales durante su tratamiento.
Figura del encargado
Artculo 49. El encargado es la persona fsica o moral, pblica o privada, ajena a la organizacin del
responsable, que sola o conjuntamente con otras, trata datos personales por cuenta del responsable, como
consecuencia de la existencia de una relacin jurdica que le vincula con el mismo y delimita el mbito de su
actuacin para la prestacin de un servicio.
Obligaciones del encargado
Artculo 50. El encargado tendr las siguientes obligaciones respecto del tratamiento que realice por cuenta del
responsable:
I. Tratar nicamente los datos personales conforme a las instrucciones del responsable;
II. Abstenerse de tratar los datos personales para finalidades distintas a las instruidas por el responsable;
III. Implementar las medidas de seguridad conforme a la Ley, el Reglamento y las dems disposiciones
aplicables;
IV. Guardar confidencialidad respecto de los datos personales tratados;
V. Suprimir los datos personales objeto de tratamiento una vez cumplida la relacin jurdica con el responsable o
por instrucciones del responsable, siempre y cuando no exista una previsin legal que exija la conservacin de los
datos personales, y
VI. Abstenerse de transferir los datos personales salvo en el caso de que el responsable as lo determine, la
comunicacin derive de una subcontratacin, o cuando as lo requiera la autoridad competente.
Los acuerdos entre el responsable y el encargado relacionados con el tratamiento debern estar acordes con el
aviso de privacidad correspondiente.
Relacin entre el responsable y el encargado
REGLAMENTO DE LA LEY FEDERAL DE PROTECCIN DE DATOS PERSONALES EN POSESIN DE LOS PARTICULARES
CMARA DE DIPUTADOS DEL H. CONGRESO DE LA UNIN Secretara General Secretara de Servicios Parlamentarios
Nuevo Reglamento DOF 21-12-2011
12 de 31
Artculo 51. La relacin entre el responsable y el encargado deber estar establecida mediante clusulas
contractuales u otro instrumento jurdico que decida el responsable, que permita acreditar su existencia, alcance y
contenido.
Tratamiento de datos personales en el denominado cmputo en la nube
Artculo 52. Para el tratamiento de datos personales en servicios, aplicaciones e infraestructura en el
denominado cmputo en la nube, en los que el responsable se adhiera a los mismos mediante condiciones o
clusulas generales de contratacin, slo podr utilizar aquellos servicios en los que el proveedor:
I. Cumpla, al menos, con lo siguiente:
a) Tener y aplicar polticas de proteccin de datos personales afines a los principios y deberes aplicables que
establece la Ley y el presente Reglamento;
b) Transparentar las subcontrataciones que involucren la informacin sobre la que se presta el servicio;
c) Abstenerse de incluir condiciones en la prestacin del servicio que le autoricen o permitan asumir la titularidad
o propiedad de la informacin sobre la que presta el servicio, y
d) Guardar confidencialidad respecto de los datos personales sobre los que se preste el servicio, y
II. Cuente con mecanismos, al menos, para:
a) Dar a conocer cambios en sus polticas de privacidad o condiciones del servicio que presta;
b) Permitir al responsable limitar el tipo de tratamiento de los datos personales sobre los que se presta el servicio;
c) Establecer y mantener medidas de seguridad adecuadas para la proteccin de los datos personales sobre los
que se preste el servicio;
d) Garantizar la supresin de los datos personales una vez que haya concluido el servicio prestado al
responsable, y que este ltimo haya podido recuperarlos, y
e) Impedir el acceso a los datos personales a personas que no cuenten con privilegios de acceso, o bien en caso
de que sea a solicitud fundada y motivada de autoridad competente, informar de ese hecho al responsable.
En cualquier caso, el responsable no podr adherirse a servicios que no garanticen la debida proteccin de los
datos personales.
Para fines del presente Reglamento, por cmputo en la nube se entender al modelo de provisin externa de
servicios de cmputo bajo demanda, que implica el suministro de infraestructura, plataforma o software, que se
distribuyen de modo flexible, mediante procedimientos de virtualizacin, en recursos compartidos dinmicamente.
Las dependencias reguladoras, en el mbito de sus competencias, en coadyuvancia con el Instituto, emitirn
criterios para el debido tratamiento de datos personales en el denominado cmputo en la nube.
Remisiones de datos personales
Artculo 53. Las remisiones nacionales e internacionales de datos personales entre un responsable y un
encargado no requerirn ser informadas al titular ni contar con su consentimiento.
El encargado, ser considerado responsable con las obligaciones propias de ste, cuando:
I. Destine o utilice los datos personales con una finalidad distinta a la autorizada por el responsable, o
II. Efecte una transferencia, incumpliendo las instrucciones del responsable.
El encargado no incurrir en responsabilidad cuando, previa indicacin expresa del responsable, remita los datos
personales a otro encargado designado por este ltimo, al que hubiera encomendado la prestacin de un servicio, o
transfiera los datos personales a otro responsable conforme a lo previsto en el presente Reglamento.
Subcontratacin de servicios
Artculo 54. Toda subcontratacin de servicios por parte del encargado que implique el tratamiento de datos
personales deber ser autorizada por el responsable, y se realizar en nombre y por cuenta de este ltimo.
REGLAMENTO DE LA LEY FEDERAL DE PROTECCIN DE DATOS PERSONALES EN POSESIN DE LOS PARTICULARES
CMARA DE DIPUTADOS DEL H. CONGRESO DE LA UNIN Secretara General Secretara de Servicios Parlamentarios
Nuevo Reglamento DOF 21-12-2011
13 de 31
Una vez obtenida la autorizacin, el encargado deber formalizar la relacin con el subcontratado a travs de
clusulas contractuales u otro instrumento jurdico que permita acreditar su existencia, alcance y contenido.
La persona fsica o moral subcontratada asumir las mismas obligaciones que se establezcan para el encargado
en la Ley, el presente Reglamento y dems disposiciones aplicables.
La obligacin de acreditar que la subcontratacin se realiz con autorizacin del responsable corresponder al
encargado.
Autorizacin de la subcontratacin
Artculo 55. Cuando las clusulas contractuales o los instrumentos jurdicos mediante los cuales se haya
formalizado la relacin entre el responsable y el encargado, prevean que este ltimo pueda llevar a cabo a su vez las
subcontrataciones de servicios, la autorizacin a la que refiere el artculo anterior se entender como otorgada a
travs de lo estipulado en stos.
En caso de que la subcontratacin no haya sido prevista en las clusulas contractuales o en los instrumentos
jurdicos a los que refiere el prrafo anterior, el encargado deber obtener la autorizacin correspondiente del
responsable previo a la subcontratacin.
En ambos casos, se deber observar lo previsto en el artculo anterior.
Seccin II
De los Datos Personales Sensibles
Supuestos para la creacin de bases de datos personales sensibles
Artculo 56. En trminos de lo previsto en el artculo 9, segundo prrafo de la Ley, slo podrn crearse bases de
datos que contengan datos personales sensibles cuando:
I. Obedezca a un mandato legal;
II. Se justifique en trminos del artculo 4 de la Ley, o
III. El responsable lo requiera para finalidades legtimas, concretas y acordes con las actividades o fines explcitos
que persiga.
Captulo III
De las Medidas de Seguridad en el Tratamiento de Datos Personales
Alcance
Artculo 57. El responsable y, en su caso, el encargado debern establecer y mantener las medidas de seguridad
administrativas, fsicas y, en su caso, tcnicas para la proteccin de los datos personales, con arreglo a lo dispuesto
en la Ley y el presente Captulo, con independencia del sistema de tratamiento. Se entender por medidas de
seguridad para los efectos del presente Captulo, el control o grupo de controles de seguridad para proteger los datos
personales.
Lo anterior sin perjuicio de lo establecido por las disposiciones vigentes en materia de seguridad emitidas por las
autoridades competentes al sector que corresponda, cuando stas contemplen una proteccin mayor para el titular
que la dispuesta en la Ley y el presente Reglamento.
Atenuacin de sanciones
Artculo 58. En trminos de lo dispuesto en el artculo 65, fraccin III de la Ley, en los casos en que ocurra una
vulneracin a la seguridad de los datos personales, el Instituto podr tomar en consideracin el cumplimiento de sus
recomendaciones para determinar la atenuacin de la sancin que corresponda.
Funciones de seguridad
Artculo 59. Para establecer y mantener de manera efectiva las medidas de seguridad, el responsable podr
desarrollar las funciones de seguridad por s mismo, o bien, contratar a una persona fsica o moral para tal fin.
REGLAMENTO DE LA LEY FEDERAL DE PROTECCIN DE DATOS PERSONALES EN POSESIN DE LOS PARTICULARES
CMARA DE DIPUTADOS DEL H. CONGRESO DE LA UNIN Secretara General Secretara de Servicios Parlamentarios
Nuevo Reglamento DOF 21-12-2011
14 de 31
Factores para determinar las medidas de seguridad
Artculo 60. El responsable determinar las medidas de seguridad aplicables a los datos personales que trate,
considerando los siguientes factores:
I. El riesgo inherente por tipo de dato personal;
II. La sensibilidad de los datos personales tratados;
III. El desarrollo tecnolgico, y
IV. Las posibles consecuencias de una vulneracin para los titulares.
De manera adicional, el responsable procurar tomar en cuenta los siguientes elementos:
I. El nmero de titulares;
II. Las vulnerabilidades previas ocurridas en los sistemas de tratamiento;
III. El riesgo por el valor potencial cuantitativo o cualitativo que pudieran tener los datos personales tratados para
una tercera persona no autorizada para su posesin, y
IV. Dems factores que puedan incidir en el nivel de riesgo o que resulten de otras leyes o regulacin aplicable al
responsable.
Acciones para la seguridad de los datos personales
Artculo 61. A fin de establecer y mantener la seguridad de los datos personales, el responsable deber
considerar las siguientes acciones:
I. Elaborar un inventario de datos personales y de los sistemas de tratamiento;
II. Determinar las funciones y obligaciones de las personas que traten datos personales;
III. Contar con un anlisis de riesgos de datos personales que consiste en identificar peligros y estimar los riesgos
a los datos personales;
IV. Establecer las medidas de seguridad aplicables a los datos personales e identificar aqullas implementadas
de manera efectiva;
V. Realizar el anlisis de brecha que consiste en la diferencia de las medidas de seguridad existentes y aqullas
faltantes que resultan necesarias para la proteccin de los datos personales;
VI. Elaborar un plan de trabajo para la implementacin de las medidas de seguridad faltantes, derivadas del
anlisis de brecha;
VII. Llevar a cabo revisiones o auditoras;
VIII. Capacitar al personal que efecte el tratamiento, y
IX. Realizar un registro de los medios de almacenamiento de los datos personales.
El responsable deber contar con una relacin de las medidas de seguridad derivadas de las fracciones
anteriores.
Actualizaciones de las medidas de seguridad
Artculo 62. Los responsables debern actualizar la relacin de las medidas de seguridad, cuando ocurran los
siguientes eventos:
I. Se modifiquen las medidas o procesos de seguridad para su mejora continua, derivado de las revisiones a la
poltica de seguridad del responsable;
II. Se produzcan modificaciones sustanciales en el tratamiento que deriven en un cambio del nivel de riesgo;
III. Se vulneren los sistemas de tratamiento, de conformidad con lo dispuesto en el artculo 20 de la Ley y 63 del
presente Reglamento, o
IV. Exista una afectacin a los datos personales distinta a las anteriores.
REGLAMENTO DE LA LEY FEDERAL DE PROTECCIN DE DATOS PERSONALES EN POSESIN DE LOS PARTICULARES
CMARA DE DIPUTADOS DEL H. CONGRESO DE LA UNIN Secretara General Secretara de Servicios Parlamentarios
Nuevo Reglamento DOF 21-12-2011
15 de 31
En el caso de datos personales sensibles, los responsables procurarn revisar y, en su caso, actualizar las
relaciones correspondientes una vez al ao.
Vulneraciones de seguridad
Artculo 63. Las vulneraciones de seguridad de datos personales ocurridas en cualquier fase del tratamiento son:
I. La prdida o destruccin no autorizada;
II. El robo, extravo o copia no autorizada;
III. El uso, acceso o tratamiento no autorizado, o
IV. El dao, la alteracin o modificacin no autorizada.
Notificacin de vulneraciones de seguridad
Artculo 64. El responsable deber informar al titular las vulneraciones que afecten de forma significativa sus
derechos patrimoniales o morales, en cuanto confirme que ocurri la vulneracin y haya tomado las acciones
encaminadas a detonar un proceso de revisin exhaustiva de la magnitud de la afectacin, y sin dilacin alguna, a fin
de que los titulares afectados puedan tomar las medidas correspondientes.
Informacin mnima al titular en caso de vulneraciones de seguridad
Artculo 65. El responsable deber informar al titular al menos lo siguiente:
I. La naturaleza del incidente;
II. Los datos personales comprometidos;
III. Las recomendaciones al titular acerca de las medidas que ste pueda adoptar para proteger sus intereses;
IV. Las acciones correctivas realizadas de forma inmediata, y
V. Los medios donde puede obtener ms informacin al respecto.
Medidas correctivas en caso de vulneraciones de seguridad
Artculo 66. En caso de que ocurra una vulneracin a los datos personales, el responsable deber analizar las
causas por las cuales se present e implementar las acciones correctivas, preventivas y de mejora para adecuar las
medidas de seguridad correspondientes, a efecto de evitar que la vulneracin se repita.
Captulo IV
De las Transferencias de Datos Personales
Seccin I
Disposiciones Generales
Alcance
Artculo 67. La transferencia implica la comunicacin de datos personales dentro o fuera del territorio nacional,
realizada a persona distinta del titular, del responsable o del encargado.
Condiciones para la transferencia
Artculo 68. Toda transferencia de datos personales, sea sta nacional o internacional, se encuentra sujeta al
consentimiento de su titular, salvo las excepciones previstas en el artculo 37 de la Ley; deber ser informada a este
ltimo mediante el aviso de privacidad y limitarse a la finalidad que la justifique.
Prueba del cumplimiento de las obligaciones en materia de transferencias
REGLAMENTO DE LA LEY FEDERAL DE PROTECCIN DE DATOS PERSONALES EN POSESIN DE LOS PARTICULARES
CMARA DE DIPUTADOS DEL H. CONGRESO DE LA UNIN Secretara General Secretara de Servicios Parlamentarios
Nuevo Reglamento DOF 21-12-2011
16 de 31
Artculo 69. Para efectos de demostrar que la transferencia, sea sta nacional o internacional, se realiz
conforme a lo que establece la Ley y el presente Reglamento la carga de la prueba recaer, en todos los casos, en el
responsable que transfiere y en el receptor de los datos personales.
Transferencias dentro del mismo grupo del responsable
Artculo 70. En el caso de transferencias de datos personales entre sociedades controladoras, subsidiarias o
afiliadas bajo el control comn del mismo grupo del responsable, o a una sociedad matriz o a cualquier sociedad del
mismo grupo del responsable, el mecanismo para garantizar que el receptor de los datos personales cumplir con las
disposiciones previstas en la Ley, el presente Reglamento y dems normativa aplicable, podr ser la existencia de
normas internas de proteccin de datos personales cuya observancia sea vinculante, siempre y cuando stas
cumplan con lo establecido en la Ley, el presente Reglamento y dems normativa aplicable.
Seccin II
Transferencias nacionales
Condiciones especficas para las transferencias nacionales
Artculo 71. Para realizar una transferencia de datos personales dentro del territorio nacional ser necesario que
el responsable cumpla con lo previsto en los artculos 36 de la Ley y 68 del presente Reglamento.
Receptor de los datos personales
Artculo 72. El receptor de los datos personales ser un sujeto regulado por la Ley y el presente Reglamento en
su carcter de responsable, y deber tratar los datos personales conforme a lo convenido en el aviso de privacidad
que le comunique el responsable transferente.
Formalizacin de las transferencias nacionales
Artculo 73. La transferencia deber formalizarse mediante algn mecanismo que permita demostrar que el
responsable transferente comunic al responsable receptor las condiciones en las que el titular consinti el
tratamiento de sus datos personales.
Seccin III
Transferencias Internacionales
Condiciones especficas para las transferencias internacionales
Artculo 74. Sin perjuicio de lo dispuesto en el artculo 37 de la Ley, las transferencias internacionales de datos
personales sern posibles cuando el receptor de los datos personales asuma las mismas obligaciones que
corresponden al responsable que transfiri los datos personales.
Formalizacin de las transferencias internacionales
Artculo 75. A tal efecto, el responsable que transfiera los datos personales podr valerse de clusulas
contractuales u otros instrumentos jurdicos en los que se prevean al menos las mismas obligaciones a las que se
encuentra sujeto el responsable que transfiere los datos personales, as como las condiciones en las que el titular
consinti el tratamiento de sus datos personales.
Opinin del Instituto respecto de las transferencias
Artculo 76. Los responsables, en caso de considerarlo necesario, podrn solicitar la opinin del Instituto
respecto a si las transferencias internacionales que realicen cumplen con lo dispuesto por la Ley y el presente
Reglamento.
Captulo V
De la Coordinacin entre Autoridades
Emisin de regulacin secundaria
REGLAMENTO DE LA LEY FEDERAL DE PROTECCIN DE DATOS PERSONALES EN POSESIN DE LOS PARTICULARES
CMARA DE DIPUTADOS DEL H. CONGRESO DE LA UNIN Secretara General Secretara de Servicios Parlamentarios
Nuevo Reglamento DOF 21-12-2011
17 de 31
Artculo 77. Cuando la dependencia competente, atendiendo a las necesidades que advierta sobre el sector que
regule, determine la necesidad de normar el tratamiento de datos personales en posesin de los particulares podr,
en el mbito de sus competencias, emitir o modificar regulacin especfica, en coadyuvancia con el Instituto.
Asimismo, cuando el Instituto derivado del ejercicio de sus atribuciones advierta la necesidad de emitir o modificar
regulacin especfica para normar el tratamiento de datos personales en un sector o actividad determinada, podr
proponer a la dependencia competente la elaboracin de un anteproyecto.
Mecanismos de coordinacin
Artculo 78. Para la elaboracin, emisin y publicacin de la regulacin a que se refiere el artculo 40 de la Ley, la
dependencia y el Instituto establecern los mecanismos de coordinacin correspondientes.
En todos los casos, la dependencia y el Instituto, en el mbito de sus atribuciones, determinarn las disposiciones
que normen el tratamiento de datos personales en el sector o actividad que corresponda.
Captulo VI
De la Autorregulacin Vinculante
Objeto de la autorregulacin
Artculo 79. De conformidad con lo establecido en el artculo 44 de la Ley, las personas fsicas o morales podrn
convenir entre ellas o con organizaciones civiles o gubernamentales, nacionales o extranjeras, esquemas de
autorregulacin vinculante en materia de proteccin de datos personales, que complementen lo dispuesto por la Ley,
el presente Reglamento y las disposiciones que se emitan por las dependencias en desarrollo del mismo y en el
mbito de sus atribuciones. Asimismo, a travs de dichos esquemas el responsable podr demostrar ante el Instituto
el cumplimiento de las obligaciones previstas en dicha normativa.
Lo anterior con el objeto de armonizar los tratamientos que lleven a cabo quienes se adhieren a los mismos y
facilitar el ejercicio de los derechos de los titulares.
Objetivos especficos de la autorregulacin
Artculo 80. Los esquemas de autorregulacin podrn traducirse en cdigos deontolgicos o de buenas prcticas
profesionales, sellos de confianza, polticas de privacidad, reglas de privacidad corporativas u otros mecanismos, que
incluirn reglas o estndares especficos y tendrn los siguientes objetivos primordiales:
I. Coadyuvar al cumplimiento del principio de responsabilidad al que refiere la Ley y el presente Reglamento;
II. Establecer procesos y prcticas cualitativos en el mbito de la proteccin de datos personales que
complementen lo dispuesto en la Ley;
III. Fomentar que los responsables establezcan polticas, procesos y buenas prcticas para el cumplimiento de los
principios de proteccin de datos personales, garantizando la privacidad y confidencialidad de la informacin
personal que est en su posesin;
IV. Promover que los responsables de manera voluntaria cuenten con constancias o certificaciones sobre el
cumplimiento de lo establecido en la Ley, y mostrar a los titulares su compromiso con la proteccin de datos
personales;
V. Identificar a los responsables que cuenten con polticas de privacidad alineadas al cumplimiento de los
principios y derechos previstos en la Ley, as como de competencia laboral para el debido cumplimiento de sus
obligaciones en la materia;
VI. Facilitar la coordinacin entre los distintos esquemas de autorregulacin reconocidos internacionalmente;
VII. Facilitar las transferencias con responsables que cuenten con esquemas de autorregulacin como puerto
seguro;
REGLAMENTO DE LA LEY FEDERAL DE PROTECCIN DE DATOS PERSONALES EN POSESIN DE LOS PARTICULARES
CMARA DE DIPUTADOS DEL H. CONGRESO DE LA UNIN Secretara General Secretara de Servicios Parlamentarios
Nuevo Reglamento DOF 21-12-2011
18 de 31
VIII. Promover el compromiso de los responsables con la rendicin de cuentas y adopcin de polticas internas
consistentes con criterios externos, as como para auspiciar mecanismos para implementar polticas de privacidad,
incluyendo herramientas, transparencia, supervisin interna continua, evaluaciones de riesgo, verificaciones externas
y sistemas de remediacin, y
IX. Encauzar mecanismos de solucin alternativa de controversias entre responsables, titulares y terceras
personas, como son los de conciliacin y mediacin.
Estos esquemas sern vinculantes para quienes se adhieran a los mismos; no obstante, la adhesin ser de
carcter voluntario.
Incentivos para la autorregulacin
Artculo 81. Cuando un responsable adopte y cumpla un esquema de autorregulacin, dicha circunstancia ser
tomada en consideracin para determinar la atenuacin de la sancin que corresponda, en caso de verificarse algn
incumplimiento a lo dispuesto por la Ley y el presente Reglamento, por parte del Instituto. Asimismo, el Instituto
podr determinar otros incentivos para la adopcin de esquemas de autorregulacin, as como mecanismos que
faciliten procesos administrativos ante el mismo.
Contenido mnimo de los esquemas de autorregulacin
Artculo 82. Los esquemas de autorregulacin debern considerar los parmetros que emita la Secretara, en
coadyuvancia con el Instituto, para el correcto desarrollo de este tipo de mecanismos y medidas de autorregulacin,
considerando al menos lo siguiente:
I. El tipo de esquema convenido, que podr constituirse en cdigos deontolgicos, cdigo de buena prctica
profesional, sellos de confianza, u otros que posibilite a los titulares identificar a los responsables comprometidos con
la proteccin de sus datos personales;
II. mbito de aplicacin de los esquemas de autorregulacin;
III. Los procedimientos o mecanismos que se emplearn para hacer eficaz la proteccin de datos personales por
parte de los adheridos, as como para medir la eficacia;
IV. Sistemas de supervisin y vigilancia internos y externos;
V. Programas de capacitacin para quienes traten los datos personales;
VI. Los mecanismos para facilitar los derechos de los titulares de los datos personales;
VII. La identificacin de las personas fsicas o morales adheridas, que posibilite reconocer a los responsables que
satisfacen los requisitos exigidos por determinado esquema de autorregulacin y que se encuentran comprometidos
con la proteccin de los datos personales que poseen, y
VIII. Las medidas correctivas eficaces en caso de incumplimiento.
Certificacin en proteccin de datos personales
Artculo 83. Los esquemas de autorregulacin vinculante podrn incluir la certificacin de los responsables en
materia de proteccin de datos personales.
En caso de que el responsable decida someterse a un procedimiento de certificacin, sta deber ser otorgada
por una persona fsica o moral certificadora ajena al responsable, de conformidad con los criterios que para tal fin
establezcan los parmetros a los que refiere el artculo 43, fraccin V de la Ley.
Personas fsicas o morales acreditadas
Artculo 84. Las personas fsicas o morales acreditadas como certificadores tendrn la funcin principal de
certificar que las polticas, programas y procedimientos de privacidad instrumentados por los responsables que de
manera voluntaria se sometan a su actuacin, aseguren el debido tratamiento y que las medidas de seguridad
adoptadas son las adecuadas para su proteccin. Para ello, los certificadores podrn valerse de mecanismos como
verificaciones y auditoras.
REGLAMENTO DE LA LEY FEDERAL DE PROTECCIN DE DATOS PERSONALES EN POSESIN DE LOS PARTICULARES
CMARA DE DIPUTADOS DEL H. CONGRESO DE LA UNIN Secretara General Secretara de Servicios Parlamentarios
Nuevo Reglamento DOF 21-12-2011
19 de 31
El procedimiento de acreditacin de los certificadores a los que refiere el prrafo anterior, se llevar a cabo de
acuerdo con los parmetros que prev el artculo 43, fraccin V de Ley. Estos certificadores debern garantizar la
independencia e imparcialidad para el otorgamiento de certificados, as como el cumplimiento de los requisitos y
criterios que se establezcan en los parmetros en mencin.
Parmetros de autorregulacin
Artculo 85. Los parmetros de autorregulacin a los que se refiere el artculo 43, fraccin V de la Ley contendrn
los mecanismos para acreditar y revocar a las personas fsicas o morales certificadoras, as como sus funciones; los
criterios generales para otorgar los certificados en materia de proteccin de datos personales, y el procedimiento de
notificacin de los esquemas de autorregulacin vinculante.
Registro de esquemas de autorregulacin
Artculo 86. Los esquemas de autorregulacin notificados en trminos del ltimo prrafo del artculo 44 de la Ley
formarn parte de un registro, que ser administrado por el Instituto y en el que se incluirn aqullos que cumplan
con los requisitos que establezcan los parmetros previstos en el artculo 43, fraccin V de la Ley.
Captulo VII
De los Derechos de los Titulares de Datos Personales y su Ejercicio
Seccin I
Disposiciones Generales
Ejercicio de los derechos
Artculo 87. El ejercicio de cualquiera de los derechos ARCO no excluye la posibilidad de ejercer alguno de los
otros, ni puede constituir requisito previo para el ejercicio de cualquiera de estos derechos.
Restricciones al ejercicio de los derechos
Artculo 88. El ejercicio de los derechos ARCO podr restringirse por razones de seguridad nacional,
disposiciones de orden pblico, seguridad y salud pblicas o para proteger los derechos de terceras personas, en los
casos y con los alcances previstos en las leyes aplicables en la materia, o bien mediante resolucin de la autoridad
competente debidamente fundada y motivada.
Personas facultadas para el ejercicio de los derechos
Artculo 89. Los derechos ARCO se ejercern:
I. Por el titular, previa acreditacin de su identidad, a travs de la presentacin de copia de su documento de
identificacin y habiendo exhibido el original para su cotejo. Tambin podrn ser admisibles los instrumentos
electrnicos por medio de los cuales sea posible identificar fehacientemente al titular, u otros mecanismos de
autenticacin permitidos por otras disposiciones legales o reglamentarias, o aqullos previamente establecidos por el
responsable. La utilizacin de firma electrnica avanzada o del instrumento electrnico que lo sustituya eximir de la
presentacin de la copia del documento de identificacin, y
II. Por el representante del titular, previa acreditacin de:
a) La identidad del titular;
b) La identidad del representante, y
c) La existencia de la representacin, mediante instrumento pblico o carta poder firmada ante dos testigos, o
declaracin en comparecencia personal del titular.
Para el ejercicio de los derechos ARCO de datos personales de menores de edad o de personas que se
encuentren en estado de interdiccin o incapacidad establecida por ley, se estar a las reglas de representacin
dispuestas en el Cdigo Civil Federal.
Medios para el ejercicio de los derechos
REGLAMENTO DE LA LEY FEDERAL DE PROTECCIN DE DATOS PERSONALES EN POSESIN DE LOS PARTICULARES
CMARA DE DIPUTADOS DEL H. CONGRESO DE LA UNIN Secretara General Secretara de Servicios Parlamentarios
Nuevo Reglamento DOF 21-12-2011
20 de 31
Artculo 90. El titular, para el ejercicio de los derechos ARCO, podr presentar, por s mismo o a travs de su
representante, la solicitud ante el responsable conforme a los medios establecidos en el aviso de privacidad. Para tal
fin, el responsable pondr a disposicin del titular, medios remotos o locales de comunicacin electrnica u otros que
considere pertinentes.
Asimismo, el responsable podr establecer formularios, sistemas y otros mtodos simplificados para facilitar a los
titulares el ejercicio de los derechos ARCO, lo cual deber informarse en el aviso de privacidad.
Servicios de atencin al pblico
Artculo 91. Cuando el responsable disponga de servicios de cualquier ndole para la atencin a su pblico o el
ejercicio de reclamaciones relacionadas con el servicio prestado o los productos ofertados, podr atender las
solicitudes para el ejercicio de los derechos ARCO a travs de dichos servicios, siempre y cuando los plazos no
contravengan los establecidos en el artculo 32 de la Ley. En tal caso, la identidad del titular se considerar
acreditada por los medios establecidos por el responsable para la identificacin de los titulares en la prestacin de
sus servicios o contratacin de sus productos, siempre que a travs de dichos medios se garantice la identidad del
titular.
Procedimientos especficos para el ejercicio de los derechos ARCO
Artculo 92. Cuando las disposiciones aplicables a determinadas bases de datos o tratamientos establezcan un
procedimiento especfico para solicitar el ejercicio de los derechos ARCO, se estar a lo dispuesto en aqullas que
ofrezcan mayores garantas al titular, y no contravengan las disposiciones previstas en la Ley.
Costos
Artculo 93. El ejercicio de los derechos ARCO ser sencillo y gratuito, debiendo cubrir el titular nicamente los
gastos de envo, reproduccin y, en su caso, certificacin de documentos, salvo la excepcin prevista en el segundo
prrafo del artculo 35 de la Ley.
Los costos de reproduccin no podrn ser mayores a los costos de recuperacin del material correspondiente.
El responsable no podr establecer como nica va para la presentacin de las solicitudes del ejercicio de los
derechos ARCO algn servicio o medio con costo.
Domicilio del titular
Artculo 94. En la solicitud de acceso, para los efectos del artculo 29, fraccin I de la Ley, se deber indicar el
domicilio o cualquier otro medio para que sea notificada la respuesta. En caso de no cumplir con este requisito, el
responsable tendr por no presentada la solicitud, dejando constancia de ello.
Registro de solicitudes
Artculo 95. El responsable deber dar trmite a toda solicitud para el ejercicio de los derechos ARCO. El plazo
para que se atienda la solicitud empezar a computarse a partir del da en que la misma haya sido recibida por el
responsable, en cuyo caso ste anotar en el acuse de recibo que entregue al titular la correspondiente fecha de
recepcin.
El plazo sealado se interrumpir en caso de que el responsable requiera informacin al titular, en trminos de lo
dispuesto por el artculo siguiente.
Requerimiento de informacin adicional
Artculo 96. En el caso de que la informacin proporcionada en la solicitud sea insuficiente o errnea para
atenderla, o bien, no se acompaen los documentos a que hacen referencia los artculos 29, fraccin II y 31 de la
Ley, el responsable podr requerir al titular, por una vez y dentro de los cinco das siguientes a la recepcin de la
solicitud, que aporte los elementos o documentos necesarios para dar trmite a la misma. El titular contar con diez
das para atender el requerimiento, contados a partir del da siguiente en que lo haya recibido. De no dar respuesta
en dicho plazo, se tendr por no presentada la solicitud correspondiente.
En caso de que el titular atienda el requerimiento de informacin, el plazo para que el responsable d respuesta a
la solicitud empezar a correr al da siguiente de que el titular haya atendido el requerimiento.
REGLAMENTO DE LA LEY FEDERAL DE PROTECCIN DE DATOS PERSONALES EN POSESIN DE LOS PARTICULARES
CMARA DE DIPUTADOS DEL H. CONGRESO DE LA UNIN Secretara General Secretara de Servicios Parlamentarios
Nuevo Reglamento DOF 21-12-2011
21 de 31
En caso de que el responsable no requiera al titular documentacin adicional para la acreditacin de su identidad
o de la personalidad de su representante, se entender por acreditada la misma con la documentacin aportada por
el titular desde la presentacin de su solicitud.
Ampliacin de los plazos
Artculo 97. En trminos del artculo 32, segundo prrafo de la Ley, en caso de que el responsable determine
ampliar el plazo de respuesta a una solicitud para el ejercicio de los derechos ARCO o aqul para hacer efectiva la
respuesta, ste deber notificar al solicitante las causas que justificaron dicha ampliacin, en cualquiera de los
siguientes plazos:
I. En caso de ampliar los veinte das para comunicar la determinacin adoptada sobre la procedencia de la
solicitud, la justificacin de la ampliacin deber notificarse dentro del mismo plazo contado a partir del da en que se
recibi la solicitud, o
II. En caso de ampliar los quince das para hacer efectivo el ejercicio del derecho que corresponda, la justificacin
de la ampliacin deber notificarse dentro del mismo plazo contado a partir del da en que se notific la procedencia
de la solicitud.
Respuesta por parte del responsable
Artculo 98. En todos los casos, el responsable deber dar respuesta a las solicitudes de derechos ARCO que
reciba, con independencia de que figuren o no datos personales del titular en sus bases de datos, de conformidad
con los plazos establecidos en el artculo 32 de la Ley.
La respuesta al titular deber referirse exclusivamente a los datos personales que especficamente se hayan
indicado en la solicitud correspondiente, y deber presentarse en un formato legible y comprensible y de fcil acceso.
En caso de uso de cdigos, siglas o claves se debern proporcionar los significados correspondientes.
Acceso a los datos personales en sitio
Artculo 99. Cuando el acceso a los datos personales sea en sitio, el responsable deber determinar el periodo
durante el cual el titular podr presentarse a consultarlos, mismo que no podr ser menor a quince das. Transcurrido
ese plazo, sin que el titular haya acudido a tener acceso a sus datos personales, ser necesaria la presentacin de
una nueva solicitud.
Negativa por parte del responsable
Artculo 100. El responsable que niegue el ejercicio de cualquiera de los derechos ARCO deber justificar su
respuesta, as como informar al titular el derecho que le asiste para solicitar el inicio del procedimiento de proteccin
de derechos ante el Instituto.
Seccin II
Del Derecho de Acceso y su Ejercicio
Derecho de acceso
Artculo 101. El titular, en trminos de lo dispuesto por el artculo 23 de la Ley, tiene derecho a obtener del
responsable sus datos personales, as como informacin relativa a las condiciones y generalidades del tratamiento.
Medios para el cumplimiento del derecho de Acceso
Artculo 102. La obligacin de acceso se dar por cumplida cuando el responsable ponga a disposicin del titular
los datos personales en sitio, respetando el periodo sealado en el artculo 99 del presente Reglamento, o bien,
mediante la expedicin de copias simples, medios magnticos, pticos, sonoros, visuales u hologrficos, o utilizando
otras tecnologas de la informacin que se hayan previsto en el aviso de privacidad. En todos los casos, el acceso
deber ser en formatos legibles o comprensibles para el titular.
Cuando el responsable as lo considere conveniente, podr acordar con el titular medios de reproduccin de la
informacin distintos a los informados en el aviso de privacidad.
Seccin III
REGLAMENTO DE LA LEY FEDERAL DE PROTECCIN DE DATOS PERSONALES EN POSESIN DE LOS PARTICULARES
CMARA DE DIPUTADOS DEL H. CONGRESO DE LA UNIN Secretara General Secretara de Servicios Parlamentarios
Nuevo Reglamento DOF 21-12-2011
22 de 31
Del Derecho de Rectificacin y su Ejercicio
Derecho de rectificacin
Artculo 103. De conformidad con lo dispuesto por el artculo 24 de la Ley, el titular podr solicitar en todo
momento al responsable que rectifique sus datos personales que resulten ser inexactos o incompletos.
Requisitos para el ejercicio del derecho de rectificacin
Artculo 104. La solicitud de rectificacin deber indicar a qu datos personales se refiere, as como la correccin
que haya de realizarse y deber ir acompaada de la documentacin que ampare la procedencia de lo solicitado. El
responsable podr ofrecer mecanismos que faciliten el ejercicio de este derecho en beneficio del titular.
Seccin IV
Del Derecho de Cancelacin y su Ejercicio
Derecho de cancelacin
Artculo 105. En trminos del artculo 25 de la Ley, la cancelacin implica el cese en el tratamiento por parte del
responsable, a partir de un bloqueo de los mismos y su posterior supresin.
Ejercicio del derecho de cancelacin
Artculo 106. El titular podr solicitar en todo momento al responsable la cancelacin de los datos personales
cuando considere que los mismos no estn siendo tratados conforme a los principios y deberes que establece la Ley
y el presente Reglamento.
La cancelacin proceder respecto de la totalidad de los datos personales del titular contenidos en una base de
datos, o slo parte de ellos, segn lo haya solicitado.
Bloqueo
Artculo 107. De resultar procedente la cancelacin, y sin perjuicio de lo establecido en el artculo 32 de la Ley, el
responsable deber:
I. Establecer un periodo de bloqueo con el nico propsito de determinar posibles responsabilidades en relacin
con su tratamiento hasta el plazo de prescripcin legal o contractual de stas, y notificarlo al titular o a su
representante en la respuesta a la solicitud de cancelacin, que se emita dentro del plazo de veinte das que
establece el artculo 32 de la Ley;
II. Atender las medidas de seguridad adecuadas para el bloqueo;
III. Llevar a cabo el bloqueo en el plazo de quince das que establece el artculo 32 de la Ley, y
IV. Transcurrido el periodo de bloqueo, llevar a cabo la supresin correspondiente, bajo las medidas de seguridad
previamente establecidas por el responsable.
Propsitos del bloqueo
Artculo 108. En trminos del artculo 3, fraccin III de la Ley, el bloqueo tiene como propsito impedir el
tratamiento, a excepcin del almacenamiento, o posible acceso por persona alguna, salvo que alguna disposicin
legal prevea lo contrario.
El periodo de bloqueo ser hasta el plazo de prescripcin legal o contractual correspondiente.
Seccin V
Del Derecho de Oposicin y su Ejercicio
Derecho de oposicin
Artculo 109. En trminos del artculo 27 de la Ley, el titular podr, en todo momento, oponerse al tratamiento de
sus datos personales o exigir que se cese en el mismo cuando:
REGLAMENTO DE LA LEY FEDERAL DE PROTECCIN DE DATOS PERSONALES EN POSESIN DE LOS PARTICULARES
CMARA DE DIPUTADOS DEL H. CONGRESO DE LA UNIN Secretara General Secretara de Servicios Parlamentarios
Nuevo Reglamento DOF 21-12-2011
23 de 31
I. Exista causa legtima y su situacin especfica as lo requiera, lo cual debe justificar que aun siendo lcito el
tratamiento, el mismo debe cesar para evitar que su persistencia cause un perjuicio al titular, o
II. Requiera manifestar su oposicin para el tratamiento de sus datos personales a fin de que no se lleve a cabo el
tratamiento para fines especficos.
No proceder el ejercicio del derecho de oposicin en aquellos casos en los que el tratamiento sea necesario
para el cumplimiento de una obligacin legal impuesta al responsable.
Listados de exclusin
Artculo 110. Para el ejercicio del derecho de oposicin, los responsables podrn gestionar listados de exclusin
propios en los que incluyan los datos de las personas que han manifestado su negativa para que trate sus datos
personales, ya sea para sus productos o de terceras personas.
Asimismo, los responsables podrn gestionar listados comunes de exclusin por sectores o generales.
En ambos casos, la inscripcin del titular a dichos listados deber ser gratuita y otorgar al titular una constancia
de su inscripcin al mismo, a travs de los mecanismos que el responsable determine.
Registro Pblico de Consumidores y Registro Pblico de Usuarios
Artculo 111. El Registro Pblico de Consumidores previsto en la Ley Federal de Proteccin al Consumidor y el
Registro Pblico de Usuarios previsto en la Ley de Proteccin y Defensa al Usuario de Servicios Financieros,
continuarn vigentes y se regirn de conformidad con lo que establezcan las leyes en cita y las disposiciones
aplicables que de ellas deriven.
Seccin VI
De las decisiones sin intervencin humana valorativa
Tratamiento de datos personales en decisiones sin intervencin humana valorativa
Artculo 112. Cuando se traten datos personales como parte de un proceso de toma de decisiones sin que
intervenga la valoracin de una persona fsica, el responsable deber informar al titular que esta situacin ocurre.
Asimismo, el titular podr ejercer su derecho de acceso, a fin de conocer los datos personales que se utilizaron
como parte de la toma de decisin correspondiente y, de ser el caso, el derecho de rectificacin, cuando considere
que alguno de los datos personales utilizados sea inexacto o incompleto, para que, de acuerdo con los mecanismos
que el responsable tenga implementados para tal fin, est en posibilidad de solicitar la reconsideracin de la decisin
tomada.
Captulo VIII
Del Procedimiento de Proteccin de Derechos
Inicio
Artculo 113. La solicitud para iniciar el procedimiento de proteccin de derechos deber presentarse por el titular
o su representante; ya sea mediante escrito libre, en los formatos que para tal efecto determine el Instituto o a travs
del sistema que ste establezca, en el plazo previsto en el artculo 45 de la Ley.
Tanto el formato como el sistema debern ser puestos a disposicin por el Instituto en su sitio de Internet y en
cada una de las oficinas habilitadas que ste determine.
Al promover una solicitud de proteccin de derechos, el titular o su representante debern acreditar su identidad o
personalidad respectivamente, en los trminos establecidos en el artculo 89 del presente Reglamento. En el caso del
titular, ste tambin podr acreditar su identidad a travs de medios electrnicos u otros, en trminos de lo que
prevean las disposiciones legales o reglamentarias aplicables.
El Instituto podr tener por reconocida la identidad del titular o la personalidad del representante cuando la misma
ya hubiere sido acreditada ante el responsable al ejercer su derecho ARCO.
Medios para presentar la solicitud de proteccin de derechos
REGLAMENTO DE LA LEY FEDERAL DE PROTECCIN DE DATOS PERSONALES EN POSESIN DE LOS PARTICULARES
CMARA DE DIPUTADOS DEL H. CONGRESO DE LA UNIN Secretara General Secretara de Servicios Parlamentarios
Nuevo Reglamento DOF 21-12-2011
24 de 31
Artculo 114. La solicitud de proteccin de derechos podr presentarse en el domicilio del Instituto, en sus
oficinas habilitadas, por correo certificado con acuse de recibo o en el sistema al que refiere el artculo anterior, en
este ltimo caso, siempre que el particular cuente con la certificacin del medio de identificacin electrnica a que se
refiere el artculo 69-C de la Ley Federal de Procedimiento Administrativo u otras disposiciones legales aplicables. En
todo caso, se entregar al promovente un acuse de recibo en el cual conste de manera fehaciente la fecha de la
presentacin de la solicitud.
Cuando el promovente presente su solicitud por medios electrnicos a travs del sistema que establezca el
Instituto, se entender que acepta que las notificaciones le sean efectuadas por dicho sistema o a travs de otros
medios electrnicos generados por ste, salvo que seale un medio distinto para efectos de las notificaciones.
Cuando la solicitud sea presentada por el titular o su representante en la oficina habilitada por el Instituto, sta
har constar la acreditacin de la identidad o, en su caso, de la personalidad del representante, y podr enviar o
registrar por medios electrnicos, tanto la solicitud, como los documentos exhibidos. En este caso, la solicitud se
tendr por recibida, para efectos del plazo a que se refiere el artculo 47 de la Ley, cuando el Instituto, a travs de
ese mismo medio, genere el acuse de recibo correspondiente.
Lo anterior, sin perjuicio de que la oficina habilitada remita al Instituto por correo certificado, la constancia de
identidad del titular o el documento de acreditacin de la personalidad del representante, as como la solicitud y los
documentos anexos, para su integracin al expediente respectivo.
En el caso de que el titular enve la solicitud y sus anexos por correo certificado, el plazo a que se refiere el
artculo 47 de la Ley empezar a contar a partir de la fecha que conste en el sello de recepcin del Instituto.
Causales de procedencia
Artculo 115. El procedimiento