Página 2 Periódico Oficial No. Extraordinario del 14 de Mayo del 2012

Al margen un sello con el Escudo Nacional quedice Estados Unidos Mexicanos. Congreso delEstado Libre y Soberano. Tlaxcala. PoderLegislativo.

MARIANO GONZALEZ ZARUR,Gobernador del Estado a sus habitantes sabed:

Que por conducto de la Secretaría Parlamentariadel Honorable Congreso del Estado, con estafecha se me ha comunicado lo siguiente:

EL CONGRESO DEL ESTADO LIBRE YSOBERANO DE TLAXCALA,

A NOMBRE DEL PUEBLO DECRETA.

NUMERO 91

LEY DE PROTECCIÓN DE DATOSPERSONALES PARA EL ESTADO DE

TLAXCALA

TÍTULO PRIMERODISPOSICIONES GENERALES

CAPÍTULO ÚNICODEL OBJETO Y ÁMBITO DE

APLICACIÓN

Artículo 1. La presente Ley es de orden públicoe interés general y tiene por objeto garantizar laprotección de datos personales, que el sectorpúblico recabe o posea para un uso posteriorregistrados en soporte físico o automatizado,regulando su tratamiento legítimo, controlado einformado, con la finalidad de garantizar laprivacidad y proteger el derecho a laautodeterminación informativa de las personas;conforme a lo dispuesto en el párrafo segundo delos artículos 6 y 16 de la Constitución Política delos Estados Unidos Mexicanos y en la fracción Vdel artículo 19 de la Constitución Política delEstado Libre y Soberano de Tlaxcala.

La administración de los datos personales enposesión de los particulares estará regulada porla Ley Federal de Protección de DatosPersonales en Posesión de Particulares.

Artículo 2. Son sujetos obligados por esta Ley:

I. Los Poderes del Estado;

II. Las dependencias centralizadas y lasentidades paraestatales de laadministración pública estatal;

III. Los organismos públicos autónomos;

IV. Los organismos públicosdescentralizados, patronatos de laadministración pública dependiente delPoder Ejecutivo del Estado;

V. Los partidos políticos, asociaciones yagrupaciones políticas;

VI. Los ayuntamientos, comisionesmunicipales, dependencias y entidadesde la administración pública municipal,organismos públicos descentralizadosmunicipales, las empresas departicipación municipal, fideicomisospúblicos municipales, así como laspresidencias de comunidad ydelegaciones municipales, y

VII. Aquellos que la legislación localreconozca como de interés público yejerzan gasto público; y los entesequivalentes a personas jurídicas dederecho público o privado, ya sea que enejercicio de sus actividades actúen enauxilio de los órganos antes citados oejerzan gasto público.

Artículo 3. Para los efectos de la presente Ley,se entenderá por:

Área Responsable del Sistema de DatosPersonales: La unidad administrativa, receptorade las solicitudes de acceso, rectificación,cancelación y oposición de datos personales enposesión de las entidades públicas, a cuya tutelaestará el trámite de las mismas, conforme a loestablecido en esta Ley y en los lineamientos queal efecto expida la Comisión.

Aviso de Privacidad: Documento físico,electrónico o en cualquier otro formato generadopor los sujetos obligados, a través del cual, deforma previa al tratamiento de sus datospersonales, se le informa al interesado, los datosque de él se recaban y con qué fines.

Bases de datos: El conjunto ordenado de datospersonales referentes a una persona identificadao identificable.

Periódico Oficial No. Extraordinario del 14 de Mayo del 2012 Página 3

Bloqueo de datos personales: La identificacióny reserva de datos personales con el fin deimpedir su tratamiento. Una vez transcurrido elperiodo de bloqueo, procederá la cancelación delos datos en el sistema de datos personales.

Cancelación: Eliminación de determinadosdatos de un sistema de datos personales previobloqueo de los mismos.

Cesión de datos personales: Toda obtención dedatos resultante de la consulta de un archivo,registro, base o banco de datos, una publicaciónde los datos contenidos en él, su interconexióncon otros ficheros y la comunicación de datosrealizada por una persona distinta a la interesada,así como la transferencia o comunicación dedatos realizada entre sujetos obligados.

Cesionario: Persona física o moral, pública oprivada, a la que un sujeto obligado realice unacesión de datos personales.

Comisión: La Comisión de Acceso a laInformación Pública y Protección de DatosPersonales del Estado de Tlaxcala.

Consentimiento: Toda manifestación devoluntad libre, inequívoca, específica einformada, mediante la que el interesadoconsiente el tratamiento de datos personales quele conciernen.

Datos personales: La información numérica,alfabética, gráfica, acústica o de cualquier otrotipo concerniente a una persona física,identificada o identificable.

Datos personales sensibles: Aquellos datospersonales que afecten a la esfera más íntima desu titular o cuya utilización indebida, pueda darorigen a discriminación o conlleve un riesgograve para éste. De manera enunciativa mas nolimitativa, se consideran sensibles aquellosrelativos al origen racial o étnico, característicasfísicas, estado de salud presente y futuro,información genética, creencias religiosas,filosóficas y morales, vida afectiva y familiar,afiliación sindical, opiniones políticas,preferencia sexual del individuo, patrimonio,domicilio, número telefónico, y, en general,cualquier otra que afecten su intimidad.

Disociación: Procedimiento mediante el cuallos datos personales que se obtengan no puedanasociarse a una persona física identificada oidentificable, ni permitir por su estructura,contenido o grado de desagregación, laidentificación del mismo.

Encargado: La persona física o jurídica, sea deorden público o privado, o servidor público, quesola o conjuntamente con otras, lleve a cabo eltratamiento físico o automatizado de los datospersonales por cuenta del responsable.

Fuente de acceso público: Aquellas bases dedatos cuya consulta puede ser realizada porcualquier persona, no impedida por una normalimitativa o sin más requisito que, en su caso, elpago de una contraprestación, de conformidadcon lo señalado en el Reglamento de esta Ley.

Información confidencial: La información enpoder de las entidades públicas, que contengadatos personales sensibles, protegida por elderecho fundamental a la privacidad conformelo dispone esta Ley.

Información pública: Todo registro, archivo ocualquier dato que se recopile, mantenga,procese o se encuentre en poder de los sujetosobligados a que se refiere esta Ley.

Interesado: Persona física, titular de los datospersonales que sean objeto del tratamiento alque se refiere la presente Ley.

Ley: La Ley de Protección de DatosPersonales para el Estado de Tlaxcala.

Reglamento: El Reglamento de la Ley deProtección de Datos Personales para el Estadode Tlaxcala.

Registro: El Registro Estatal de Protección deDatos Personales, que fungirá como un órganotécnico de la Comisión.

Responsable: Persona física designada por eltitular u órgano de gobierno del sujetoobligado, que decida sobre la protección ytratamiento de datos personales, así como elcontenido y finalidad de los mismos.

Página 4 Periódico Oficial No. Extraordinario del 14 de Mayo del 2012

Sistema de Datos Personales: El conjuntoorganizado de datos, archivos, registros,ficheros, bases o banco de datos personales delos sujetos obligados, cualquiera que sea laforma o modalidad de su creación,almacenamiento, organización y acceso.

Soporte físico: Es el medio de almacenamientoque no requiere de ningún aparato que procesesu contenido para examinar, modificar oalmacenar los datos. Es decir, documentos,oficios, formularios impresos, fotografías, placasradiológicas, carpetas, expedientes.

Soporte electrónico: Medio de almacenamientoque requieren aparatos con circuitos electrónicoscomo lo son las cintas magnéticas de audio,vídeo y datos, fichas de microfilm, discosópticos CDs y DVDs, discos magneto-ópticos,discos magnéticos; para poder examinar,modificar o almacenar datos, (flexibles y duros).

Supresión: Eliminación de un sistema de datospersonales mediante acuerdo publicado en elPeriódico Oficial del Gobierno del Estado deTlaxcala.

Sujeto Obligado: Aquellos a que se refiere elartículo 2 de esta Ley.

Tercero: La persona física o moral, nacional oextranjera, distinta del interesado o delresponsable de los datos.

Tratamiento de Datos Personales: Cualquieroperación o conjunto de operaciones, efectuadamediante procedimientos de carácterautomatizado o físico, aplicados a los sistemasde datos personales, relacionados con laobtención, registro, organización, conservación,elaboración, utilización, cesión, difusión,interconexión o cualquier otra forma que permitaobtener información de los mismos y facilite alinteresado el acceso, rectificación, cancelación uoposición de sus datos.

Usuario: Aquel autorizado por el sujetoobligado para prestarle servicios para eltratamiento de datos personales.

Artículo 4. La interpretación de esta Ley serealizará conforme a lo previsto por la

Constitución Política de los Estados UnidosMexicanos, la Declaración Universal de losDerechos Humanos, el Pacto Internacional deDerechos Civiles y Políticos, la ConvenciónAmericana sobre Derechos Humanos y demásinstrumentos internacionales suscritos yratificados por el Estado Mexicano y lainterpretación que de los mismos hayanrealizado los órganos internacionalesrespectivos.

En todo lo no previsto en los procedimientos aque se refiere esta Ley, se aplicará de manerasupletoria la Ley del ProcedimientoAdministrativo del Estado de Tlaxcala y susMunicipios y el Código de ProcedimientosCiviles del Estado Libre y Soberano deTlaxcala.

TÍTULO SEGUNDODE LA TUTELA DE DATOS PERSONALES

CAPÍTULO IDE LOS PRINCIPIOS DE PROTECCIÓN

DE DATOS PERSONALES

Artículo 5. Los principios y derechos previstosen esta Ley, tendrán como límite en cuanto a suobservancia y ejercicio, la protección de laseguridad nacional, estatal y municipal, el orden,la seguridad y la salud públicos, así como losderechos de terceros.

Artículo 6. Los responsables de los sistemas dedatos personales en posesión de las entidadespúblicas, deberán observar los principiossiguientes:

Licitud: Consiste en que la posesión ytratamiento de sistemas de datos personalesobedecerá exclusivamente a las atribucioneslegales o reglamentarias de cada sujetoobligado, y deberán obtenerse a través demedios previstos en dichas disposiciones.

Los sistemas de datos personales no puedentener finalidades contrarias a las leyes o a lamoral pública y en ningún caso pueden serutilizados para finalidades distintas oincompatibles con aquella que motivaron suobtención. No se considerará incompatible eltratamiento posterior de éstos con fineshistóricos, estadísticos o científicos.

Periódico Oficial No. Extraordinario del 14 de Mayo del 2012 Página 5

Consentimiento: Consistente en que eltratamiento de datos personales debe estarsujeto a la manifestación de la voluntad libre,expresa, inequívoca, específica e informada delinteresado.

Calidad de los Datos: Consiste en que los datospersonales recabados deben ser exactos, ciertos,adecuados, pertinentes y no excesivos enrelación al ámbito y finalidad para los que sehubieren obtenido y respecto a las atribucioneslegales del sujeto obligado que los posea.

Confidencialidad: Consistente en que, demanera exclusiva, la persona interesada accedaa los datos personales o, en su caso, elresponsable o el usuario del sistema de datospersonales para su tratamiento, guardando elresponsable del sistema como los usuarios, lasecrecía debida.

Atendiendo al principio de confidencialidad, losdatos personales adquieren el carácter deirrenunciables, intransferibles e indelegables,por lo que no podrán transmitirse salvodisposición legal o cuando medie elconsentimiento del interesado.

La obligación de confidencialidad subsistirá aúndespués de finalizada la relación entre el sujetoobligado con el titular de los datos personales,así como después de finalizada la relaciónlaboral entre el sujeto obligado y el responsabledel sistema de datos personales o los usuarios.

Los instrumentos jurídicos relativos a lacontratación de servicios del encargado delsistema de datos personales, así como de losusuarios, deberán prever la obligación degarantizar la seguridad y confidencialidad de lossistemas de datos personales, así como laprohibición de utilizarlos con propósitosdistintos para los cuales se llevó a cabo lacontratación y las sanciones a que se haganacreedores quienes incumplan con el principiode confidencialidad. Lo anterior, sin perjuicio delas responsabilidades penales, civiles oadministrativas previstas en otras disposicionesaplicables.

El responsable del sistema de datos personales olos usuarios podrán ser relevados del deber de

confidencialidad por resolución judicial ycuando se anteponga la salud pública o laseguridad nacional, estatal o municipal.

Seguridad: Consiste en la adopción de medidasque garanticen, por parte del responsable, laintegridad, confiabilidad, confidencialidad ydisponibilidad de los datos personales medianteacciones que eviten su alteración, pérdida,transmisión y acceso no autorizado.

Disponibilidad: Esto es que, los datospersonales sean almacenados de modo quepermitan el ejercicio de los derechos de acceso,rectificación, cancelación y oposición delinteresado.

Temporalidad: Consiste en que los datospersonales deben ser destruidos cuando hayandejado de ser necesarios o pertinentes a los finespara los que hubiesen sido recolectados, exceptoque éstos sean tratados con objetivosestadísticos o científicos, siempre que cuentencon el procedimiento de disociación.

Los datos personales que tengan fines históricospodrán ser conservados de manera íntegra ypermanente.

CAPÍTULO IIDE LAS MEDIDAS DE SEGURIDAD

Artículo 7. Los sujetos obligados, estableceránlas medidas de seguridad técnica y organizativapara garantizar la confidencialidad e integridadde cada archivo, sistema o base de datospersonales que posean, con la finalidad depreservar el pleno ejercicio de los derechostutelados en la presente Ley, frente a sualteración, pérdida, transmisión y acceso noautorizado, de conformidad al tipo de datoscontenidos en dichos archivos, sistemas o basesde datos.

Dichas medidas se considerarán de naturalezarestringida, serán adoptadas en relación con elmenor o mayor grado de protección queameriten los datos personales, deberán constarpor escrito y ser comunicadas a la Comisiónpara su inscripción en el Registro.

Página 6 Periódico Oficial No. Extraordinario del 14 de Mayo del 2012

Las medidas de seguridad que al efecto seestablezcan deberán indicar el nombre y cargodel servidor público o, en su caso, la personafísica o moral que intervengan en el tratamientode datos personales con el carácter deresponsable del archivo o sistema de datospersonales o usuario, según corresponda.Cuando se trate de usuarios se deberán incluirlos datos del acto jurídico mediante el cual, elsujeto obligado otorgó el tratamiento del archivoo sistema de datos personales.

Artículo 8. Todos los servidores públicos o elpersonal involucrado en el tratamiento de datospersonales, así como los usuarios, deberánobservar las disposiciones contenidas en estaLey así como en los lineamientos emitidos porla Comisión y demás normatividad aplicablepara cada sistema de datos personales.

SECCIÓN PRIMERADE LOS TIPOS DE SEGURIDAD

Artículo 9. El sujeto obligado, responsable dela tutela y tratamiento del sistema de datospersonales, adoptará los siguientes tipos deseguridad:

I. Física. Relativa a las medidas tendentesa proteger y dar mantenimiento óptimoa las instalaciones, equipos, soportes osistemas de datos, cuyo objeto sea laprevención de riesgos causados porcasos fortuitos o causas de fuerzamayor;

II. Lógica. Relativa a la autenticación delas personas o usuarios autorizados parael tratamiento de datos personales, deacuerdo con su función;

III. De comunicaciones y redesinformáticas. Tiene por objetoestablecer las restricciones preventivaso de riesgos que deberán observar losusuarios de sistemas de datospersonales para acceder a dominios oinstalar programas informáticosautorizados, así como para el manejo detelecomunicaciones;

IV. De cifrado. Tiene por objeto laimplementación de algoritmos, claves,contraseñas, así como los dispositivosconcretos de protección que garanticenla integridad y confidencialidad de lainformación, y

V. De desarrollo y aplicaciones. Relativa alas autorizaciones requeridas para lacreación o tratamiento de datospersonales, para garantizar el adecuadodesarrollo y uso de los mismos,previendo la participación de losusuarios, la separación de entornos, lasconsideraciones especiales relativas alas aplicaciones y las pruebas realizadasa éstas, la metodología a seguir y losciclos de vida de los sistemas de datos.

SECCIÓN SEGUNDADE LOS NIVELES DE SEGURIDAD

Artículo 10. Además de los tipos de seguridad aque se refiere el artículo anterior, el responsablede la tutela y tratamiento del sistema de datospersonales, adoptará y observará los siguientesniveles de seguridad:

I. Básico. El que comprende la elaboraciónde la normativa que contenga lasmedidas generales de seguridad cuyaaplicación es obligatoria para todos lossistemas de datos personales, mediantela emisión del Documento de Seguridadque habrán de observar todos losservidores públicos del sujeto obligado,así como para aquellas personas que conmotivo de la prestación de un servicio,tengan acceso a los sistemas de datospersonales o al sitio donde éstos seubican. El documento de seguridaddeberá contener, cuando menos:

a) Nombre del sistema;

b) Cargo y adscripción del

responsable;

c) Ámbito de aplicación;

d) Estructura y descripción del

Sistema de Datos Personales;

Periódico Oficial No. Extraordinario del 14 de Mayo del 2012 Página 7

e) Especificación detallada de lacategoría de datos personalescontenidos en el Sistema;

f) Funciones y obligaciones delpersonal que intervenga en eltratamiento de los sistemas dedatos personales. El titular uórgano de dirección del sujetoobligado, en coordinación con elresponsable del Sistema deDatos Personales, adoptarán lasmedidas necesarias para que losservidores públicos del sujetoobligado conozcan las normasde seguridad y lasresponsabilidades yconsecuencias en que se pudieraincurrir en caso deincumplimiento;

g) Medidas, normas,procedimientos y criterios paragarantizar el nivel de seguridad;

h) Registro de incidencias. Para talefecto se hará constar elmomento y el tipo de incidenciaocurrida y se establecerán losprocedimientos de notificación,gestión y respuesta;

i) Identificación y autentificaciónde los usuarios, consistente en laobligación del responsable deadoptar medidas para que losencargados y usuarios tenganacceso autorizado únicamente aaquellos datos y recursos queprecisen para el desarrollo de susfunciones. Para tal efecto, elresponsable deberá manteneractualizada una relación depersonas autorizadas y losaccesos autorizados para cadauna de ellas;

j) Control de acceso, que implicaque el responsable deberáestablecer los procedimientospara el uso de bitácoras respectode las acciones cotidianas

llevadas a cabo por las personasautorizadas en el sistema dedatos personales, así como lafacultad del responsable deconceder, alterar o anular laautorización para el acceso a lossistemas de datos personales;

k) Gestión de soportes, e

l) Copias de respaldo yrecuperación. Esto es, que encaso de que los datos personalesse encuentren en soporte físico,se procurará que el respaldo seefectúe mediante ladigitalización de losdocumentos, mientras que parasoportes electrónicos seestablecerán procedimientospara la recuperación de los datosque garanticen en todo momentosu reconstrucción en el estado enque se encontraban al tiempo deproducirse la pérdidainvoluntaria o destrucciónaccidental.

El responsable se encargará deverificar, al menos, cada seismeses la correcta definición,funcionamiento y aplicación delos procedimientos de realizaciónde copias de respaldo y derecuperación de los datos.

II. Medio. Consiste en la adopción deaquellas medidas de seguridad cuyaaplicación corresponde a aquellossistemas de datos administrados conmotivo de la comisión de infraccionesadministrativas o penales, por tratarse deasuntos de hacienda pública, serviciosfinancieros, datos patrimoniales, así comoa los sistemas que contengan datos decarácter personal suficientes que permitanobtener una evaluación de la personalidaddel individuo. Este nivel de seguridad, demanera adicional a las medidascalificadas como básicas, considerará lossiguientes aspectos:

Página 8 Periódico Oficial No. Extraordinario del 14 de Mayo del 2012

a) Responsable de seguridad. Elsujeto obligado designará uno ovarios responsables de seguridadpara coordinar y controlar lasmedidas definidas en eldocumento de seguridad. Estadesignación podrá ser única paratodos los sistemas de datos enposesión del sujeto obligado, odiferenciada, dependiendo de losmétodos de organización ytratamiento de los mismos. Entodo caso dicha circunstanciadeberá especificarse en eldocumento de seguridad.

En ningún caso esta designaciónsupone una delegación de lasfacultades y atribuciones quecorresponden al responsable delsistema de datos personales;

b) Auditoría. Las medidas deseguridad implementadas para laprotección de los sistemas dedatos personales se someterán auna auditoría interna o externa,mediante la que se verifique elcumplimiento de lasdisposiciones de esta Ley ydemás procedimientos vigentesen materia de seguridad de datos,al menos, cada dos años.

El informe de resultados de laauditoría deberá dictaminar sobrela adecuación de las medidas deseguridad previstas en esta Ley,así como en las recomendacionesinstrucciones, lineamientos,criterios, que en su caso, hayaemitido la Comisión. Además,deberá identificar susdeficiencias y proponer lasmedidas preventivas, correctivaso complementarias necesarias.

El informe de auditoría así comolas medidas correctivas derivadasde la auditoría deberá sercomunicado por el responsable ala Comisión dentro de los veinte

días siguientes a su emisión uobservancia;

c) Control de acceso físico. Elacceso a las instalaciones dondese encuentren los sistemas dedatos personales, ya sea ensoporte físico o electrónico,deberá permitirse exclusivamentea quienes estén expresamenteautorizados en el documento deseguridad, e

d) Pruebas con datos reales. Laspruebas que se lleven a cabo conefecto de verificar la correctaaplicación y funcionamiento delos procedimientos para laobtención de copias de respaldoy de recuperación de los datos,anteriores a la implantación omodificación de los sistemasinformáticos que traten sistemasde datos personales, no serealizarán con datos reales, salvoque se asegure el nivel deseguridad correspondiente al tipode datos tratados. Si se realizanpruebas con datos reales, seelaborará con anterioridad unacopia de respaldo.

III. Alto. Relativo a las medidas deseguridad aplicables a sistemas de datosconcernientes a la ideología, religión,creencias, afiliación política, origenracial o étnico, salud, biométricos,genéticos o vida sexual, así como los quecontengan datos recabados para finespoliciales, de seguridad, prevención,investigación y persecución de delitos.Los sistemas de datos a los quecorresponde adoptar el nivel deseguridad alto, además de incorporar lasmedidas de nivel básico y medio,deberán completar las que se detallan acontinuación:

a) Seguridad en la distribución desoportes. La distribución de los soportesque contengan datos de carácter personalse realizará cifrando dichos datos, o bien

Periódico Oficial No. Extraordinario del 14 de Mayo del 2012 Página 9

utilizando cualquier otro mecanismo quegarantice que dicha información no seainteligible ni manipulada durante sutraslado o transmisión;

b) Registro de acceso. El acceso a lossistemas de datos personales se limitaráexclusivamente al personal autorizado,estableciendo mecanismos que permitanidentificar los accesos realizados en elcaso en que los sistemas puedan serutilizados por múltiples autorizados. Losmecanismos que permiten el registro deaccesos estarán bajo el control directodel responsable de seguridadcorrespondiente, sin que se permita ladesactivación o manipulación de losmismos.

De cada acceso se guardarán, al menos,la identificación del usuario, la fecha yhora en que se realizó, el sistemaaccedido, el tipo de acceso y si éste fueautorizado o denegado.

El periodo de conservación de los datosconsignados en el registro de acceso seráde, al menos, dos años, e

c) Cifrado de telecomunicaciones. Latransmisión de datos de carácterpersonal, a través de redes públicas oredes inalámbricas de comunicacioneselectrónicas, se realizará cifrando dichosdatos o bien utilizando cualquier otromecanismo que garantice que lainformación no sea inteligible nimanipulable por terceros.

Los diferentes niveles de seguridad seránestablecidos atendiendo a las característicaspropias de la información.

Artículo 11. Las medidas de seguridad a las quese refiere en el presente capítulo, constituyenmínimos exigibles, por lo que los sujetosobligados, podrán adoptar las medidasadicionales que estimen necesarias para brindarmayores garantías en la protección y resguardode los sistemas de datos personales. Por lanaturaleza de la información, las medidas deseguridad que se adopten serán consideradas

confidenciales y únicamente se comunicará a laComisión, a través del Registro, para suinscripción en el nivel de seguridad aplicable.

CAPÍTULO IIIDE LA DENUNCIA

Artículo 12. Cualquier persona podrá presentaruna denuncia ante la Comisión, solicitando unainvestigación con motivo de una probableviolación a las disposiciones establecidas en estaLey, siempre y cuando no se encuentre vinculadacon el ejercicio de los derechos ARCO (Acceso,Rectificación, Cancelación y Oposición de DatosPersonales).

Toda denuncia presentada ante la Comisión,deberá cumplir cuando menos con los requisitossiguientes:

I. EI nombre del denunciante o, en su caso,la autoridad que promueve la denuncia;

II. En caso de que la denuncia seapresentada por el interesado, deberáaportar los documentos que acrediten suidentidad;

III. Nombre del sujeto obligado que esdenunciado;

IV. Descripción clara y precisa del acto oresolución que motiva la denuncia,especificando el artículo y, en su caso, lafracción de la Ley que se considera nofueron observados;

V. Las pruebas que tengan relación directacon el acto por el que se inconforma, y

VI. El domicilio del denunciante o correoelectrónico para recibir notificaciones.

En caso de que no se señale domicilio alguno, obien se señala un domicilio fuera del Estado deTlaxcala, las notificaciones se practicarán através de los estrados o de la página de internetde la Comisión, pudiendo el denuncianteautorizar a terceras personas para recibirnotificaciones y documentos en su nombre.

Página 10 Periódico Oficial No. Extraordinario del 14 de Mayo del 2012

La Comisión deberá prevenir al denunciante delas deficiencias de forma y fondo que contengasu escrito de denuncia.

Artículo 13. Las denuncias que se reciban conmotivo de infracciones contenidas en la presenteLey, serán sustanciadas de conformidad con elprocedimiento que para tal efecto apruebe laComisión en un plazo no mayor de cuarentadías, contados a partir de la fecha en la que setenga por recibida.

CAPÍTULO IVDEL TRATAMIENTO DE DATOS

PERSONALES

Artículo 14. El tratamiento de los datospersonales, requerirá el consentimientoinequívoco, expreso y por escrito del interesado.

Se entenderá que el consentimiento otorgado porel interesado es expreso cuando la voluntad semanifieste verbalmente, por escrito, por medioselectrónicos, ópticos o por cualquier otratecnología, o por signos inequívocos; mientrasque el consentimiento será tácito cuandohabiéndose puesto a disposición del interesado elaviso de privacidad, éste no manifieste suoposición.

De manera previa al tratamiento de datospersonales, los sujetos obligados deberáninformar al interesado mediante la emisión delaviso de privacidad, que los datos personalesrecabados serán incorporados, protegidos ytratados en el Sistema de Datos Personales delsujeto obligado, el fundamento legal que facultaal sujeto obligado para recabar los datospersonales, la finalidad del tratamiento y losdestinatarios del mismo así como sobre laposible cesión o transmisión de los datospersonales que conforme a la ley, puedarealizarse. Asimismo, se le indicará al interesadosobre la prohibición que tiene el sujeto obligadode difundir sus datos sin que mediareconsentimiento expreso para ello, salvo lasdisposiciones previstas en esta Ley, sobre laposibilidad de ejercitar los derechos de acceso,rectificación, cancelación y oposición, y el cargoy dirección del responsable del sistema de datospersonales y, en su caso, de los destinatarios.

El aviso de privacidad debe ponerse adisposición de los titulares a través de formatosimpresos, digitales, visuales, sonoros o cualquierotra tecnología, de la manera siguiente:

I. Cuando los datos personales hayan sidoobtenidos personalmente del titular, elaviso de privacidad deberá ser facilitadoen el momento en que se recaba el datode forma clara y fehaciente, a través delos formatos por los que se recaban,salvo que se hubiera facilitado el avisocon anterioridad, y

II. Cuando los datos personales seanobtenidos directamente del titular porcualquier medio electrónico, óptico,sonoro, visual, o a través de cualquierotra tecnología, el responsable deberáproporcionar al titular de manerainmediata, la información a que serefiere el párrafo segundo del presenteartículo, así como proveer losmecanismos para que el titular conozcael texto completo del aviso deprivacidad.

Artículo 15. Tratándose de datos personalessensibles, el responsable deberá obtener elconsentimiento expreso y por escrito delinteresado, para su tratamiento, a través de sufirma autógrafa, firma electrónica, o cualquiermecanismo de autenticación que al efecto seestablezca.

No podrán crearse bases de datos que contengandatos personales sensibles, sin que se justifiquela creación de las mismas para finalidadeslegítimas, concretas y acordes con lasactividades o fines explícitos que persigue elsujeto regulado.

El consentimiento a que se refiere el presenteartículo podrá ser revocado cuando exista causajustificada para ello y no se le atribuyan efectosretroactivos.

Artículo 16. No se requerirá el consentimientoinequívoco, expreso y por escrito del interesado,en los casos y excepciones siguientes:

I. Cuando se recaben para el ejercicio de lasatribuciones legales conferidas a lossujetos obligados;

Periódico Oficial No. Extraordinario del 14 de Mayo del 2012 Página 11

II. Cuando exista una orden judicial;

III. Cuando se refieran a las partes de unconvenio de una relación de negocios,laboral o administrativa y sean necesariospara su mantenimiento o cumplimiento;

IV. Cuando el interesado no esté enposibilidad de otorgar su consentimientopor motivos de salud y el tratamiento desus datos resulte necesario para laprevención o para el diagnóstico médico,la prestación o gestión de asistenciasanitaria o tratamientos médicos, siempreque dicho tratamiento de datos se realicepor una persona sujeta al secretoprofesional u obligación equivalente;

V. Cuando la transmisión se encuentreexpresamente previsto en una ley;

VI. Cuando la transmisión se produzca entreorganismos gubernamentales y tenga porobjeto el tratamiento posterior de los datoscon fines históricos, estadísticos ocientíficos;

VII. Cuando se den a conocer a terceros para laprestación de un servicio que responda altratamiento de datos personales, mediantela libre y legítima aceptación de unarelación jurídica cuyo desarrollo,cumplimiento y control impliquenecesariamente que la comunicación delos datos será legítima en cuanto se limitea la finalidad que la justifique;

VIII. Cuando se trate de datos personalesrelativos a la salud, y sea necesario porrazones de salud pública, de emergencia, opara la realización de estudiosepidemiológicos, y

IX. Cuando los datos figuren en registrospúblicos en general y su tratamiento seanecesario, siempre que no se vulneren losderechos y libertades fundamentales delinteresado.

Artículo 17. El sujeto obligado no podrádifundir o ceder los datos personales contenidosen los sistemas de datos desarrollados en elejercicio de sus funciones, salvo que haya

mediado el consentimiento expreso por escrito opor un medio de autenticación similar, delinteresado a que haga referencia la información.Para tal efecto, el responsable contará con losformatos necesarios para recabar dichoconsentimiento.

El cesionario quedará sujeto a las mismasobligaciones legales y reglamentarias delcedente, respondiendo solidariamente por lainobservancia de las mismas.

Artículo 18. Cuando por motivo de lautilización o cesión de los datos de carácterpersonal, se impida gravemente o se atente deigual modo contra el ejercicio de derechos de laspersonas, la Comisión podrá requerir a losresponsables de los sistemas de datospersonales, la suspensión en la utilización ocesión de los datos. Si el requerimiento fueradesatendido, mediante resolución fundada ymotivada, la Comisión bloqueará tales sistemas,de conformidad con el procedimiento que alefecto se establezca. El incumplimiento a lainmovilización ordenada por la Comisión serásancionado por la autoridad competente deconformidad por la Ley de Responsabilidades delos Servidores Públicos para el Estado deTlaxcala, con independencia de las sancionesque se establezcan en esta Ley y de lasresponsabilidades civiles y penales que derivenpor esta omisión.

Artículo 19. El tratamiento de los sistemas dedatos personales en materia de salud, se rige porlo dispuesto por la Ley de la materia y demásnormas que de ella se deriven. El tratamiento ycesión de esta información obliga a preservar losdatos de identificación personal del paciente,separados de los de carácter clínico asistencial,de manera tal que se mantenga laconfidencialidad de los mismos, salvo que elpropio paciente haya dado su consentimientopara no separarlos. Se exceptúan los supuestosde investigación científica, de salud pública ocon fines judiciales, en los que se considereimprescindible la unificación de los datosidentificativos con los clínico-asistenciales. Elacceso a los datos y documentos relacionadoscon la salud de las personas queda limitadoestrictamente a los fines específicos de cadacaso.

Página 12 Periódico Oficial No. Extraordinario del 14 de Mayo del 2012

Artículo 20. Los sistemas de datos personalesque hayan sido objeto de tratamiento, deberánser suprimidos una vez que concluyan los plazosde conservación establecidos por lasdisposiciones aplicables, o cuando dejen de sernecesarios para los fines por los cuales fueronrecabados.

En el caso de que el tratamiento de los sistemashaya sido realizado por una persona distinta alsujeto obligado, el instrumento jurídico que dioorigen al mismo deberá establecer el plazo deconservación por el usuario, al término del cuallos datos deberán ser devueltos en su totalidadal sujeto obligado, quien deberá garantizar sututela o proceder, en su caso, a la supresión.

Artículo 21. Cuando en el sistema de datospersonales, se recaben datos de menores deedad, el responsable del sistema de datospersonales, deberá solicitar el consentimientoexpreso de los padres del menor, o de quienesejerzan sobre él la patria potestad o tutela. Paratal efecto, los responsables del sistema de datospersonales, deberán establecer formatos con unlenguaje fácilmente comprensible para losmenores.

No podrán recabarse datos sensibles del menoro aquellos que tengan por objeto obtenerinformación sobre los miembros de su familia,como lo son los relativos a la ocupación,ingresos económicos, información patrimonialo cualquier otro dato sensible de sus padres otutores; salvo aquellos que sean necesarios pararecabar la autorización prevista en el párrafoanterior, tales como el nombre y domicilio deéstos.

Para efectos de lo dispuesto en este artículo, elresponsable del sistema de datos personales delsujeto obligado, deberá adoptar las medidas yprocedimientos necesarios para garantizar quese ha comprobado de manera efectiva, la edaddel menor y la autenticidad del consentimientootorgado, en su caso, por los padres o de quienejerza la patria potestad o tutela de éste.

CAPÍTULO VDE LA CESIÓN Y TRANSFERENCIA DE

DATOS PERSONALES

SECCIÓN PRIMERADE LA CESIÓN DE DATOS PERSONALES

Artículo 22. Los datos que obren en un sistemade datos personales sólo se pueden ceder apersona con interés legítimo, con el previoconsentimiento del interesado, al que se debeinformar suficientemente sobre la identidad delcesionario, y la finalidad de la cesión.

El consentimiento de la cesión es revocable,mediante notificación indubitable al responsablede los datos.

Artículo 23. La cesión no requiere elconsentimiento del interesado, cuando:

I. La ley no lo exija;

II. La cesión se realice entre dependencias yorganismos públicos en forma directa,en el ejercicio de sus atribuciones y en elámbito de sus competencias;

III. Por razones de interés social, deseguridad pública o estatal, o saludpública, y

IV. Se aplique un procedimiento dedisociación de datos de manera que nose puedan atribuir a persona identificadao identificable.

Artículo 24. El cesionario queda sujeto a lasmismas obligaciones legales y reglamentadas delcedente y éste responderá solidaria yconjuntamente por la observancia de las mismasante el órgano de control y el interesado.

SECCIÓN SEGUNDADE LA TRANSFERENCIA DE DATOS

PERSONALES

Artículo 25. La transferencia de datos con otrossujetos obligados, entidades federativas u otrospaíses, procederá en los casos siguientes:

I. Cuando dicha transferencia se encuentreprevista en una ley o en un TratadoInternacional ratificado por nuestro país;

II. Por orden judicial;

Periódico Oficial No. Extraordinario del 14 de Mayo del 2012 Página 13

III. Intercambio de datos en materia desalud, cuando así lo exija el tratamientodel afectado, o una investigaciónepidemiológica;

IV. Cuando la transferencia se acuerde en unconvenio o instrumentos vigente en elque el Estado de Tlaxcala sea parte, y

V. Cuando la transferencia tenga por objetola cooperación nacional para la luchacontra el crimen organizado, elterrorismo, el narcotráfico y delitoscontra la humanidad.

No podrán realizarse transferencias temporalesni definitivas de datos personales que hayan sidoobjeto de tratamiento, cuando los destinatariosde dicha información no proporcionen un nivelde seguridad y protección de datos personalesequiparable al que presta la presente Ley, salvoque, además de haberse observado lo dispuestoen esta Ley, se obtenga autorización previa de laComisión.

El carácter adecuado del nivel de protección queofrece el sujeto obligado o la entidad federativade destino, se evaluará por la Comisión,atendiendo a todas las circunstancias queconcurran en la transferencia de datospersonales. En particular, se tomará enconsideración la naturaleza de los datos, lafinalidad y la duración del tratamiento o de lostratamientos previstos, la institución de origen yla institución pública destinataria de los datospersonales, las normas de derecho, generales osectoriales, vigentes en la entidad federativa deque se trate y las medidas de seguridad en vigor.

Artículo 26. En caso de que los destinatarios delos datos sean instituciones de otras entidadesfederativas, los sujetos obligados deberánasegurarse que tales instituciones garanticen quecuentan con niveles de protección, semejantes osuperiores, a los establecidos en esta Ley y, enla propia normatividad del sujeto obligado.Cuando los destinatarios de los datos seanpersonas o instituciones de otros países, elresponsable del sistema de datos personalesdeberá realizar la cesión de los mismos,conforme a las disposiciones previstas en lalegislación federal aplicable, siempre y cuando

se garanticen los niveles de seguridad yprotección previstos en la presente Ley.

Artículo 27. En el procedimiento detransferencia de datos personales a otros países uorganismos internacionales, se observará lodispuesto por la legislación federal en la materiay se efectuará, por conducto de las autoridadesfederales competentes, según lo determine la leyo lo estipulen los convenios de colaboración quenuestro país haya celebrado al respecto.

TÍTULO TERCERODE LOS SISTEMAS DE DATOS

PERSONALES

CAPÍTULO IDEL SISTEMA DE DATOS PERSONALES

EN POSESIÓN DE LOS SUJETOSOBLIGADOS

Artículo 28. La creación, modificación osupresión de los sistemas de datos personales,incumbe a cada sujeto obligado, de conformidadcon la resolución emitida por su titular u órganode gobierno correspondiente, conforme a surespectivo ámbito de competencia y observandolo dispuesto en la presente Ley y demásnormatividad aplicable.

Para efectos de lo dispuesto en el párrafoanterior, la resolución que sea emitida por elsujeto obligado, deberá publicarse en elPeriódico Oficial del Gobierno del Estado deTlaxcala, previo aviso que dentro de los diezdías anteriores a su publicación, se dé a laComisión.

En ningún caso, el registro de datos puede tenerun fin contrario a la ley o a la moral.

Artículo 29. Los sistemas de datos personales enposesión de sujetos obligados, deberáninscribirse en el Registro.

Artículo 30. El formato de inscripción de datospersonales deberá contener, cuando menos, losrequisitos siguientes:

I. El nombre del sujeto obligado que poseael Sistema de Datos Personales, la fechade publicación y demás datos de

Página 14 Periódico Oficial No. Extraordinario del 14 de Mayo del 2012

localización de la resolución de creacióndel sistema en el Periódico Oficial delGobierno del Estado de Tlaxcala;

II. Nombre del sistema de datos personalesasí como el nombre del programa osubprograma gubernamental para el quese generó dicho sistema;

III. Número de registros por programa,sistema o base de datos;

IV. Nombre y cargo del responsable asícomo el nombre de los usuarios;

V. Domicilio, teléfono y correo electrónicodel sujeto obligado y del responsable asícomo la normatividad aplicable alsistema de datos personales;

VI. Características y finalidad del sistema dedatos personales;

VII. Los usos previstos que se darán alsistema, así como el soporte en el que seencuentra la base de datos;

VIII. Procedimiento para relacionar lainformación recabada y tratada;

IX. Naturaleza de los datos personalescontenidos en el sistema;

X. Forma, tiempo y lugar de recolección yactualización de datos;

XI. Destino de los datos personales ypersonas físicas o morales a las quepueden ser transmitidos o se les puedepermitir su consulta;

XII. Modo de interrelacionar la informaciónregistrada;

XIII. Tiempo de conservación de los datos;

XIV. Formas y procedimientos por los cualeslas personas pueden ejercer su derechode acceso, rectificación, cancelación uoposición de sus datos personales, y

XV. Medidas y niveles de seguridad queresulten aplicables.

Artículo 31. La resolución de creación delsistema de datos personales en posesión de unsujeto obligado, deberá contener lo siguiente:

I. La identificación del Sistema de DatosPersonales, indicando su denominacióny normativa aplicable;

II. La finalidad de la base de datospersonales y los usos previstos para lamisma;

III. La estructura básica del sistema de datospersonales, señalando de maneradetallada los datos de identificación quecontenga así como los datosespecialmente protegidos y ladescripción de los tipos de datos que seincluyan en el mismo, el tipo detratamiento empleado por el sistema, seaeste físico o automatizado y, en su caso,los datos de carácter obligatorio yfacultativo;

IV. Las instancias responsables deltratamiento del sistema de datospersonales de carácter público y elnombre y cargo del responsable;

V. El domicilio oficial de la unidadadministrativa ante la que se podránejercer los derechos de acceso,rectificación, cancelación y oposición;

VI. El origen de los datos, señalando si elgrupo o grupos de personas sobre lasque se pretenda obtener datos de carácterpersonal o que de forma obligatoriadeban proporcionarlos son los propiosinteresados, sus representantes, el sujetoobligado, etcétera;

VII. El procedimiento que se aplicará para larecolección de los datos de carácterpersonal, sea éste a través de formulario,internet, transmisión electrónica,etcétera;

VIII. Las cesiones de datos de carácterpersonal y, en su caso, las transferenciasde datos que se prevean a otras entidadesfederativas u otros países, y

Periódico Oficial No. Extraordinario del 14 de Mayo del 2012 Página 15

IX. Las medidas de seguridad, conindicación del nivel y tipo de seguridadque resulte exigible.

Artículo 32. Cuando ocurra alguna modificaciónque afecte la integración y tratamiento de unSistema de Datos Personales, el sujeto obligadodeberá emitir la resolución de modificacióncorrespondiente, la que debe indicar lasmodificaciones producidas a cualquiera de lasfracciones a que se refiere el artículo anterior.

El sujeto obligado deberá publicar en elPeriódico Oficial del Gobierno del Estado deTlaxcala, la resolución de modificación delSistema de Datos Personales y, dentro de loscinco días posteriores a la publicación, notificarádicha circunstancia a la Comisión para efectosde que dicha modificación sea inscrita en elRegistro.

Artículo 33. En el caso de que con motivo de laconclusión de los plazos de conservación dedatos personales establecidos por lasdisposiciones aplicables, o cuando dejen de sernecesarios para los fines para los cuales fueronrecabados, el sujeto obligado deberá emitir laresolución de supresión del sistema de datospersonales correspondiente.

Si el tratamiento de datos personales fuerealizado por una persona distinta al sujetoobligado, el instrumento jurídico que dio origenal mismo deberá establecer el plazo deconservación por el usuario, al término del cuallos datos deberán ser devueltos en su totalidad alsujeto obligado, quien deberá garantizar su tutelao proceder, en su caso, a la supresión.

La resolución que suprima un sistema de datospersonales deberá publicarse en el PeriódicoOficial del Gobierno del Estado de Tlaxcala,cuando menos con cuarenta y cinco días hábilesprevios a la supresión del sistema de que se trate,debiendo establecer el destino que vaya a darse alos datos contenidos en los mismos o, en su caso,las previsiones que se adopten para sudestrucción, de conformidad con lo dispuestopor la Ley de Archivos del Estado de Tlaxcala.

No procederá la supresión de los sistemas dedatos personales cuando exista una previsiónexpresa en una norma que exija su conservación.

No podrán ser suprimidos de un sistema de datospersonales, aquellos datos que, con finalidadesestadísticas o históricas, sean previamentesometidos al procedimiento de disociación.

Artículo 34. Cuando los sujetos obligadosrecaben datos personales, deberán informarpreviamente a los interesados de forma expresa,precisa e inequívoca los siguientes elementos:

I. La existencia de un sistema de datospersonales, el tratamiento que se dé aéstos, la finalidad de su obtención y losdestinatarios de la información;

II. La identidad y dirección delresponsable del sistema de datospersonales o, en su caso, de surepresentante, de las instanciasresponsables del tratamiento delsistema de datos personales y, en sucaso, de los destinatarios;

III. El carácter obligatorio o facultativo deresponder a las preguntas que les seanplanteadas;

IV. Las consecuencias de la obtención de losdatos personales o de la negativa asuministrarlos;

V. La posibilidad para que los interesadospuedan ejercitar los derechos deacceso, rectificación, cancelación uoposición;

VI. La cesión de la que pueden ser objetolos datos personales;

VII. Las disposiciones que se dicten para lasupresión de los registros, sistemas obases de datos personales,estableciendo el destino de los datoscontenidos en los mismos o, en sucaso, las previsiones que se adoptenpara su destrucción, y podrán serexcluidos del proceso de destrucción,

Página 16 Periódico Oficial No. Extraordinario del 14 de Mayo del 2012

aquellos datos personales confinalidades históricas o estadísticas,que previamente hayan sido sometidosal procedimiento de disociación, y

VIII. La posibilidad de que estos datos seandifundidos, en cuyo caso deberáconstar el consentimiento expreso delinteresado, salvo cuando se trate dedatos personales que por disposición deuna ley sean considerados públicos.

Artículo 35. Cuando para la obtención de losdatos personales se utilicen cuestionarios uotros impresos, figurarán en éstos, en formaclaramente legible, los elementos a que serefiere el artículo anterior.

Cuando los datos de carácter personal no hayansido recabados directamente del interesado, éstedeberá ser informado de manera expresa,precisa e inequívoca, por el responsable delsistema de datos personales, dentro de los tresmeses siguientes al momento del registro de losdatos, salvo que ya hubiera sido informado conanterioridad del contenido del tratamiento, de laprocedencia de los datos, así como de loprevisto en las fracciones I, II y V del artículoanterior.

Se exceptúa de lo previsto en el presente artículocuando alguna ley expresamente así lo estipule.

Asimismo, tampoco regirá lo dispuesto en elpresente artículo cuando los datos personalesprocedan de fuentes accesibles al público engeneral.

Artículo 36. Sólo con el consentimientoexpreso y por escrito del interesado, podrán serobjeto de tratamiento los datos de carácterpersonal, considerados como sensibles, tal ycomo son: el origen étnico o racial, estado desalud presente y futuro, información genética,creencias religiosas, filosóficas y morales,opiniones políticas y preferencia sexual.

Quedan exceptuados de lo dispuesto en elpárrafo anterior, los sistemas de datos personalesa cargo de los partidos políticos, sindicatos,asociaciones, fundaciones y otras entidades sinfines de lucro, por cuanto se refiere a los datosrelativos a sus asociados o miembros, sin

perjuicio de que en el sistema de dichos datospersonales se precise de la existencia delconsentimiento previo del interesado.

Artículo 37. Queda prohibida la creación desistemas de datos personales que tengan lafinalidad exclusiva de almacenar los datospersonales señalados en el párrafo primero delartículo anterior y sólo pueden ser tratadoscuando medien razones de interés general, así lodisponga una ley, lo consienta expresamente elinteresado o, con fines estadísticos o históricos,siempre y cuando se hubiera realizadopreviamente el procedimiento de disociación.

No obstante lo dispuesto en el párrafo primerodel artículo anterior, los datos de carácterpersonal podrán ser objeto de tratamiento cuandoéste resulte necesario para la prevención o parael diagnóstico médico, la prestación de asistenciasanitaria o tratamientos médicos o la gestión deservicios sanitarios, siempre que dichotratamiento de datos se realice por un profesionalde la salud sujeto al secreto profesional.

Los datos personales sólo pueden ser utilizadospara los fines que motivaron su obtención, o parafines compatibles con éstos.

Los datos personales objeto de tratamiento debenser exactos y actualizados de manera que seancongruentes con los concernientes al interesado.

También podrán ser objeto de tratamiento losdatos a que se refiere el párrafo anterior cuandoel tratamiento sea necesario para salvaguardar elinterés vital del afectado o de otra persona, en elsupuesto de que el afectado esté física ojurídicamente incapacitado para dar suconsentimiento.

Las clínicas, hospitales, centros de salud ydemás instituciones pertenecientes a laSecretaría de Salud del Estado, podrán procederal tratamiento de los datos de carácter personalrelativos a la salud de las personas que a ellosacudan o hayan de ser tratados en los mismos, deacuerdo con lo dispuesto en la Ley de Salud delEstado de Tlaxcala. Para tal efecto, en losestudios científicos o de salud pública, no seránecesario el procedimiento de disociaciónprevisto en esta Ley.

Periódico Oficial No. Extraordinario del 14 de Mayo del 2012 Página 17

Los datos personales no incluidos, incompletos,inexactos o que estén en desacuerdo con larealidad de los que corresponden a la personaque conciernen, deben ser incluidos,complementados, actualizados, rectificados ocancelados, según corresponda.

Los datos personales deben ser almacenados demodo que permitan el ejercicio de los derechosde acceso, rectificación, cancelación u oposiciónpor parte del interesado.

Los sistemas de datos personales que hayan sidoobjeto de tratamiento, deberán ser suprimidosuna vez que concluyan los plazos deconservación establecidos por las disposicionesaplicables, o cuando dejen de ser necesarios paralos fines para los cuales fueron recabados.

En el caso de que el tratamiento de los sistemasde bases de datos haya sido realizado por unapersona distinta al sujeto obligado, elinstrumento jurídico que dio origen al mismodeberá establecer la obligación de que eltratamiento de datos personales se realiceconforme a las instrucciones del responsable delsujeto obligado, que estos datos no se aplicaráncon fines distintos a los pactados en elinstrumento jurídico, las medidas y niveles deseguridad que se implementen, las sanciones encaso de incumplimiento y el plazo deconservación por el usuario, al término del cuallos datos deberán ser devueltos en su totalidad alsujeto obligado, quien deberá garantizar su tutelao proceder, en su caso, a la supresión.

Artículo 38. Los archivos o sistemas creadoscon fines administrativos por las dependencias,instituciones o cuerpos de seguridad pública, enlos que se contengan datos de carácter personal,quedarán sujetos al régimen general deprotección previsto en la presente Ley.

Los datos de carácter personal obtenidos parafines policiales, podrán ser recabados sinconsentimiento de las personas a las que serefieren, pero estarán limitados a aquellossupuestos y categorías de datos que resultennecesarios para la prevención de un peligro realpara la seguridad pública o para la prevención opersecución de delitos, debiendo seralmacenados en sistemas específicos,

establecidos al efecto, que deberán clasificarsepor categorías en función de su grado deconfiabilidad.

La obtención y tratamiento de los datos a losque se refiere el presente artículo, podránrealizarse exclusivamente en los supuestos enque sea absolutamente necesario para los finesde una investigación concreta, sin perjuicio delcontrol de legalidad de la actuaciónadministrativa o de la obligación de resolver laspretensiones formuladas por los interesados antelos órganos jurisdiccionales.

Los datos personales recabados con finespoliciales se cancelarán cuando no seannecesarios para las investigaciones quemotivaron su almacenamiento.

A estos efectos, se considerará especialmente laedad del interesado y el carácter de los datosalmacenados, la necesidad de mantener los datoshasta la conclusión de una investigación oprocedimiento concreto, la resolución judicialfirme, en especial la absolutoria, el indulto, larehabilitación y la prescripción deresponsabilidad.

Artículo 39. Los responsables de los sistemas dedatos personales con fines policiales, para laprevención de conductas delictivas o en materiatributaria, podrán negar el acceso, rectificación,oposición y cancelación de datos personales enfunción de los peligros que pudieran derivarsepara la defensa del Estado o la seguridadpública, la protección de los derechos ylibertades de terceros o las necesidades de lasinvestigaciones que se estén realizando, asícomo cuando los mismos obstaculicen laactuación de la autoridad durante elcumplimiento de sus atribuciones.

CAPÍTULO IIDE LOS SUJETOS OBLIGADOS

Artículo 40. El titular o el órgano de gobiernode cada sujeto obligado, según corresponda,designará a un responsable de los sistemas dedatos personales.

El titular del sujeto obligado será el responsablede decidir sobre la finalidad, contenido y uso

Página 18 Periódico Oficial No. Extraordinario del 14 de Mayo del 2012

del tratamiento del sistema de datos personales,quien podrá delegar dicha atribución en launidad administrativa en la que se concrete lacompetencia material, a cuyo ejercicio sirvainstrumentalmente el sistema de datospersonales al cual esté adscrito el responsabledel mismo.

Artículo 41. Los sujetos obligados seránresponsables de la protección de los datospersonales y, en relación con éstos, deberán:

I. Establecer mecanismos yprocedimientos adecuados para recibiry responder las solicitudes de acceso ycorrección de datos, así como capacitara los servidores públicos y dar aconocer información sobre suspolíticas en relación con la protecciónde tales datos, de conformidad con loslineamientos que al respecto establezcala Comisión;

II. Tratar datos personales sólo cuandoéstos sean adecuados, pertinentes y noexcesivos en relación con lospropósitos para los cuales se hayanobtenido;

III. Observar los principios establecidos enla presente Ley;

IV. Adoptar las medidas necesarias quegaranticen la seguridad de los datospersonales y eviten su alteración,pérdida, transmisión y acceso noautorizado;

V. Establecer criterios específicos sobre elmanejo, mantenimiento, seguridad yprotección del sistema de datospersonales;

VI. Garantizar que a partir del momento enel cual se recaben datos personales, seponga a disposición de los individuos,el aviso de privacidad en el que seestablezcan los propósitos para sutratamiento;

VII. Permitir, a través del responsable, entodo momento al titular de la

información el ejercicio del derecho aconocer sobre sus datos personales, asolicitar su corrección o cancelación,así como a oponerse en los términos deesta ley, a que los mismos seancedidos;

VIII. Rectificar o completar, de oficio, losdatos personales que fueren inexactos oincompletos, en el momento en quetengan conocimiento de esta situación;

IX. Cancelar los datos personales cuandoéstos dejen de ser necesarios para lafinalidad para la cual se obtuvieron;

X. Elaborar y presentar a la Comisión, uninforme correspondiente alcumplimiento de las obligacionesprevistas en la presente Ley;

XI. Elaborar un plan de capacitación enmateria de datos personales;

XII. Dar cuenta de manera fundada ymotivada a la autoridad competente dela aplicación de las excepciones alrégimen general previsto para elacceso, rectificación, cancelación,supresión u oposición de datospersonales;

XIII. Proporcionar a la Comisión, por mediodel responsable, la informaciónnecesaria para la protección de losderechos de acceso, rectificación,cancelación y oposición, y

XIV. Las demás que se deriven de lapresente Ley.

Artículo 42. El responsable del sistema de datospersonales, tendrá las siguientes facultades:

I. Cumplir con las políticas y lineamientosasí como las normas aplicables para elmanejo, tratamiento, seguridad yprotección de datos personales;

II. Elaborar para su aprobación por elórgano de dirección de cada sujetoobligado, el informe correspondiente

Periódico Oficial No. Extraordinario del 14 de Mayo del 2012 Página 19

sobre las obligaciones previstas en lapresente Ley, para efectos de serpresentado ante la Comisión a mástardar el último día hábil del mes deenero de cada año. La omisión de dichoinforme será motivo de responsabilidad;

III. Informar al interesado al momento derecabar sus datos personales, sobre laexistencia y finalidad de los sistemas dedatos personales, así como el carácterobligatorio o potestativo deproporcionarlos y las consecuencias deello;

IV. Adoptar los procedimientos adecuadospara dar trámite a las solicitudes deinformes, acceso, rectificación,cancelación y oposición de datospersonales y, en su caso, para la cesiónde los mismos; debiendo capacitar a losservidores públicos encargados de suatención y seguimiento;

V. Utilizar los datos personales únicamentecuando éstos guarden relación con lafinalidad para la cual se hayan obtenido;

VI. Permitir en todo momento al interesadoel ejercicio del derecho de acceso a susdatos personales, a solicitar larectificación o cancelación, así como aoponerse al tratamiento de los mismosen los términos de esta Ley;

VII. Actualizar los datos personales cuandohaya lugar, debiendo corregir ocompletar de oficio o a petición delinteresado, aquellos que fuereninexactos o incompletos, a efecto de quecoincidan con los datos presentes deéste, siempre y cuando se cuente con eldocumento que avale la actualización dedichos datos;

VIII. Guardar el secreto profesional respectode los datos personales que obren enpoder del sujeto obligado;

IX. Recibir la capacitación permanente yactualizada en materia de seguridad dedatos personales;

X. Emitir el proyecto de resolución respectodel ejercicio de los derechos de acceso,rectificación, cancelación y oposición delos datos de las personas;

XI. Llevar a cabo o, en su caso, coordinar laejecución material de las diferentesoperaciones y procedimientos en queconsista el tratamiento de datos ysistemas de datos de carácter personala su cargo;

XII. Coordinar y supervisar la adopción delas medidas de seguridad a que seencuentren sometidos los sistemas dedatos personales de acuerdo con lodispuesto por la presente Ley y demásdisposiciones legales aplicables;

XIII. Fomentar al interior del sujeto obligado,la protección de datos personales, y

XIV. Las demás que se deriven de la presenteLey o demás ordenamientos jurídicosaplicables.

Artículo 43. El responsable del sistema de datospersonales tiene prohibido formular juicios devalor, que tengan como consecuencia directa elatentar contra el principio de confidencialidad,sobre los datos personales que trate de formaautomatizada, así como registrarlos cuando no sereúnan las condiciones técnicas de integridad oseguridad.

Además de lo dispuesto en el párrafo anterior, elresponsable del sistema de datos personales, asícomo quienes intervengan en la colecta y eltratamiento de los datos personales, estánobligados a guardar el secreto profesional,incluso aún después de que concluyan susrelaciones con el interesado.

Artículo 44. El responsable no estará obligado acancelar los datos personales cuando:

I. Se refiera a las partes de un documentooficial y sean necesarios para sudesarrollo y cumplimiento;

II. Deban ser tratados por disposición legal;

Página 20 Periódico Oficial No. Extraordinario del 14 de Mayo del 2012

III. Obstaculice actuaciones judiciales oadministrativas vinculadas aobligaciones fiscales, la investigación ypersecución de delitos o la actualizaciónde sanciones administrativas;

IV. Sean necesarios para proteger losintereses jurídicamente tutelados delinteresado;

V. Sean necesarios para realizar una acciónen función del interés público;

VI. Sean necesarios para cumplir con unaobligación legalmente adquirida por elinteresado, y

VII. Sean objeto de tratamiento para laprevención o para el diagnóstico médicoo la gestión de servicios de salud,siempre que dicho tratamiento se realicepor un profesional de la salud sujeto alsecreto profesional.

El interesado tendrá derecho en todo momento ypor causa legítima a oponerse al tratamiento desus datos. De resultar procedente, el responsableno podrá tratar los datos relativos al interesado.

Artículo 45. El sujeto obligado no podrádifundir o ceder los datos personales contenidosen los archivos, sistemas o bases de datospersonales desarrollados en el ejercicio de susfunciones, salvo que haya mediado elconsentimiento expreso por escrito o por unmedio de autenticación similar, de las personas aque haga referencia la información. Al efecto, elÁrea Responsable del Sistema de DatosPersonales, contará con los formatos necesariospara recabar dicho consentimiento.

TÍTULO CUARTODE LA AUTORIDAD RESPONSABLE DEL

CONTROL Y VIGILANCIA

CAPÍTULO IDE LA COMISIÓN DE ACCESO A LA

INFORMACIÓN PÚBLICA YPROTECCIÓN DE DATOS PERSONALES

DEL ESTADO DE TLAXCALA

Artículo 46. La Comisión, es el órganoencargado de dirigir y vigilar el cumplimientode la presente Ley, así como de las normas que

de ella deriven; será la autoridad encargada degarantizar la protección y el correcto tratamientode datos personales.

Artículo 47. La Comisión tendrá lasatribuciones siguientes:

I. Establecer, en el ámbito de sucompetencia, las normas, criterios,lineamientos y políticas de observanciageneral, para la administración,seguridad y tratamiento de los datospersonales en posesión de los sujetosobligados, así como expedir aquellasnormas que resulten necesarias para elcumplimiento de esta Ley;

II. Divulgar estándares y mejores prácticasnacionales e internacionales en materiade seguridad de la información, enatención a la naturaleza de los datos; lasfinalidades del tratamiento, y lascapacidades técnicas y económicas delresponsable;

III. Diseñar y aprobar los formatos desolicitudes de acceso, rectificación,cancelación y oposición de datospersonales;

IV. Establecer sistemas electrónicos para larecepción y trámite de solicitudes deacceso, rectificación, cancelación yoposición de datos personales;

V. Llevar a cabo la inscripción de lossistemas de datos personales en posesiónde los sujetos obligados;

VI. Elaborar y mantener actualizado elregistro del nivel de seguridad aplicablea los sistemas de datos personales, enposesión de los sujetos obligados, entérminos de esta Ley;

VII. Emitir opiniones sobre temasrelacionados con la presente Ley, asícomo formular observaciones yrecomendaciones a los sujetosobligados, derivadas del incumplimientode los principios que rigen esta Ley;

Periódico Oficial No. Extraordinario del 14 de Mayo del 2012 Página 21

VIII. Hacer del conocimiento del órgano decontrol interno del sujeto obligado quecorresponda, las resoluciones que emita,relacionadas con la probable violacióna las disposiciones materia de lapresente Ley;

IX. Orientar y asesorar a las personas quelo requieran acerca del contenido yalcance de los derechos que esta Leyles reconoce;

X. Elaborar y publicar estudios einvestigaciones, así como organizarseminarios, cursos, talleres y demásactividades que promuevan elconocimiento de la presente Ley y losderechos en relación a la protección dedatos personales;

XI. Solicitar y evaluar los informespresentados por los sujetos obligadosrespecto del ejercicio de los derechosprevistos en esta Ley. Dicha evaluaciónse incluirá en el informe que laComisión, a través del ComisionadoPresidente deba rendir de forma anualal Congreso del Estado;

XII. Establecer programas de capacitaciónen materia de protección de datospersonales y promover acciones quefaciliten a las entidades públicas y a supersonal, participar de estas actividades,a fin de garantizar el adecuadocumplimiento de los principios querigen la presente Ley;

XIII. Promover entre las institucioneseducativas, públicas y privadas, lainclusión dentro de sus actividadesacadémicas curriculares yextracurriculares, los temas queponderen la importancia del derecho ala protección de datos personales;

XIV. Investigar, substanciar y resolver elrecurso de revisión en los términosprevistos en esta Ley;

XV. Evaluar la actuación de las entidadespúblicas, mediante la práctica de visitas

de inspección periódicas de oficio, aefecto de verificar la observancia de losprincipios contenidos en esta Ley, lascuales en ningún caso podrán referirse ainformación de acceso restringido deconformidad con la legislaciónaplicable;

XVI. Procurar la conciliación de los interesesde los interesados con los de lasentidades públicas, cuando éstos entrenen conflicto con motivo de laaplicación de la presente Ley;

XVII. Promover y, en su caso, ejecutar lacapacitación de los servidores públicosen materia de protección de datospersonales;

XVIII. Difundir entre los servidores públicos ylos particulares, los beneficios de laprotección de los datos personales, comotambién sus responsabilidades en elbuen uso y conservación de losdocumentos que los contengan;

XIX. Promover la elaboración de guías queexpliquen los procedimientos y trámitesmateria de esta Ley;

XX. Cooperar respecto de la materia deprotección de datos con los demássujetos obligados, las entidadesfederativas, los municipios, o susórganos de protección de datospersonales, mediante la celebración deacuerdos o programas, y

XXI. Las demás que establezca esta Ley ydemás ordenamientos aplicables.

Artículo 48. A efecto de impulsar una cultura deprotección de datos personales, se deberápromover el desarrollo de eventos que fomentenla profesionalización de los servidores públicosal servicio de los poderes del Estado y de losmunicipios, sobre los sistemas y las medidas deseguridad que precisa la tutela de los datospersonales de cada sujeto obligado.

Página 22 Periódico Oficial No. Extraordinario del 14 de Mayo del 2012

CAPÍTULO IIDEL REGISTRO ESTATAL DE

PROTECCIÓNDE DATOS PERSONALES

Artículo 49. El Registro Estatal de Protección deDatos Personales, es un órgano técnico de laComisión, cuyo objeto primordial es llevar elcontrol de los sistemas de datos personalesinscritos ante la Comisión.

Artículo 50. Serán objeto de inscripción en elRegistro Estatal de Protección de DatosPersonales:

I. Los sistemas de datos personalesadministrados por los sujetos obligados;

II. Las actualizaciones que a dichossistemas de datos personales, realicen losresponsables de los sujetos obligados, y

III. Los datos relativos a los sistemas dedatos que sean necesarios para elejercicio de los derechos de información,acceso, rectificación, cancelación yoposición.

La información contenida en los sistemas dedatos personales administrados por las entidadespúblicas, deberán actualizarse durante el primertrimestre de cada año, dentro del término quepara tal efecto la Comisión determine.

Artículo 51. Los sistemas de datos personales enposesión de los sujetos obligados, deberáninscribirse en el Registro, debiendo contener lainformación a que se refiere el artículo 30 de estaLey.

Cualquier modificación a la informacióncontenida en el Registro debe ser comunicadapor el responsable, en términos de lo dispuestopor el artículo 32 de esta Ley, siendo motivo desanciones previstas en esta Ley, elincumplimiento a lo dispuesto en este capítulo.

Artículo 52. El Registro estará presidido por elComisionado que designe el Pleno del ConsejoGeneral de la Comisión de Acceso a laInformación Pública y Protección de DatosPersonales del Estado de Tlaxcala, quien fungirá

como responsable del mismo y contará con elpersonal que la Comisión determine, de acuerdoa su capacidad presupuestaria, que sea necesariopara el cumplimiento de las atribuciones enmateria de inscripción, protección, control yvigilancia de los sistemas de datos personales.

Artículo 53. La Comisión, a través del Registro,podrá inspeccionar los sistemas de datospersonales a que hace referencia la presente Ley,recabando cuantas informaciones precisen parael cumplimiento de sus cometidos.

Para tal efecto, podrán solicitar la exhibición o elenvío de documentos y datos y examinarlos en ellugar en que se encuentren depositados, así comoinspeccionar los equipos físicos y lógicosutilizados para el tratamiento de los datos,accediendo a los locales donde se halleninstalados.

El personal del Registro que ejerza la inspeccióna que se refiere el párrafo anterior, estaráobligado a guardar secreto sobre lasinformaciones que conozca en el ejercicio de susfunciones, incluso después de haber cesado enlas mismas.

TÍTULO QUINTODE LOS DERECHOS Y DEL

PROCEDIMIENTO PARA SU EJERCICIO

CAPÍTULO IDERECHOS DE ACCESO,

RECTIFICACIÓN, CANCELACIÓNY OPOSICIÓN DE DATOS PERSONALES

Artículo 54. Cualquier interesado, o surepresentante legal, en su caso, previaidentificación mediante documento oficial,podrá ejercer los derechos de acceso,rectificación, cancelación y oposición de susdatos personales administrados por los sujetosobligados, siendo derechos independientes, detal forma que no puede entenderse que elejercicio de alguno de ellos sea requisito previoo impida el ejercicio de otro. Los datospersonales deben ser resguardados de tal maneraque permitan el ejercicio sin dilación de estosderechos.

Periódico Oficial No. Extraordinario del 14 de Mayo del 2012 Página 23

La respuesta a cualquiera de los derechosprevistos en la presente Ley, deberá serproporcionada en forma legible e inteligible,pudiendo suministrarse, a opción del interesado,por escrito o mediante consulta directa.

Artículo 55. El derecho de acceso se ejercerápara solicitar y obtener información de los datosde carácter personal sometidos a tratamiento, elorigen de dichos datos, así como las cesionesrealizadas o que se prevén hacer, en términos delo dispuesto por esta Ley.

Artículo 56. Procederá el derecho derectificación de datos del interesado, en lossistemas de datos personales, cuando elinteresado demuestre de forma fehaciente conlos medios de prueba idóneos, que tales datosson inexactos o incompletos, inadecuados oexcesivos, siempre y cuando resultenotoriamente improcedente dicha rectificación.

No obstante, cuando se trate de datos quereflejen hechos constatados en un procedimientoadministrativo o en un proceso judicial, aquellosse considerarán exactos siempre que coincidancon éstos.

Artículo 57. El derecho de cancelación es laprerrogativa del interesado a solicitar que seeliminen los datos que resulten inadecuados oexcesivos en el sistema de datos personales deque se trate, sin perjuicio de la obligación debloquear los datos conforme a lo dispuesto porla ley.

El interesado tendrá derecho a solicitar lacancelación de sus datos cuando el tratamientode los mismos no se ajuste a lo dispuesto en laley o en los lineamientos emitidos por laComisión, o cuando hubiere ejercido el derechode oposición y éste haya resultado procedente.

La cancelación dará lugar al bloqueo de losdatos, conservándose únicamente a disposiciónde los sujetos obligados, para la atención de lasposibles responsabilidades nacidas deltratamiento indebido, durante el plazo deprescripción de éstas. Cumplido el plazo deberáprocederse a su supresión, en términos de lanormatividad aplicable.

La supresión de datos no procede cuandopudiese causar perjuicios a derechos o intereseslegítimos de terceros, o cuando exista unaobligación legal de conservar dichos datos.

Cuando los datos personales del interesadohubiesen sido transmitidos con anterioridad a lafecha de rectificación o cancelación y sigansiendo tratados por terceros, el responsabledeberá hacer del conocimiento de quienes seencuentren tratando dichos datos personales, lasolicitud de rectificación o cancelación, paraque estos últimos procedan a efectuarla también.

Artículo 58. El interesado tendrá derecho aoponerse al tratamiento de sus datos personales,siempre que dichos datos hayan sido recabadossin su consentimiento, cuando existan motivosfundados para ello y la ley no disponga locontrario. De actualizarse tal supuesto, elresponsable del sistema de datos personalesdeberá cancelar los datos relativos al interesado.

Artículo 59. Si los datos rectificados ocancelados hubieran sido transmitidospreviamente, el responsable del tratamientodeberá notificar la rectificación o cancelaciónefectuada a quien se hayan transmitido, en elcaso de que se mantenga el tratamiento por esteúltimo, quién deberá también proceder a larectificación o cancelación de los mismos.

CAPÍTULO IIDEL PROCEDIMIENTO

Artículo 60. La recepción y trámite de lassolicitudes de acceso, rectificación, cancelaciónu oposición de datos personales que se formule alos sujetos obligados, se sujetarán alprocedimiento establecido en el presentecapítulo.

Artículo 61. La solicitud de acceso,rectificación, cancelación u oposición de datospersonales, podrá realizarse en cualquiera de lassiguientes modalidades:

I. Por escrito, será la presentadapersonalmente por el interesado o surepresentante legal en el ÁreaResponsable del Sistema de DatosPersonales del sujeto obligado, o bien, através de correo ordinario, correocertificado o servicio de mensajería;

Página 24 Periódico Oficial No. Extraordinario del 14 de Mayo del 2012

II. Por comparecencia, cuando elinteresado o su representante legalacuda directamente en la oficina delÁrea Responsable del Sistema de DatosPersonales del sujeto obligado, apresentar de manera oral su solicitud, lacual deberá ser capturada en el formatorespectivo;

III. Por correo electrónico, en el caso de queel sujeto obligado cuente conmecanismos electrónicos que permitanla presentación de la solicitud por estavía;

IV. Por el sistema electrónico que laComisión establezca para tal efecto, y

V. Por vía telefónica, en términos de loslineamientos que expida la Comisión.

Artículo 62. La solicitud de acceso,rectificación, cancelación u oposición de losdatos personales deberá contener, cuandomenos, los requisitos siguientes:

I. Nombre del sujeto obligado ante quien sepromueve;

II. Nombre completo del interesado, en sucaso, el de su representante legal, asícomo los documentos que acrediten laidentidad del interesado o de surepresentante legal;

III. Descripción clara y precisa de los datospersonales respecto de los que se buscaejercer alguno de los derechos antesmencionados;

IV. Cualquier otro elemento que facilite sulocalización;

V. El domicilio, o correo electrónico pararecibir notificaciones, y

VI. Opcionalmente, la modalidad en la queprefiere se otorgue el acceso a sus datospersonales, la cual podrá ser consultadirecta, copias simples o certificadas.

Sin perjuicio de lo que dispongan otras leyes,sólo el interesado o su representante legal, previaacreditación de su identidad, podrán solicitar alsujeto obligado, a través del Área Responsabledel Sistema de Datos Personales, que le permitael acceso, rectificación, cancelación o hagaefectivo su derecho de oposición, respecto de losdatos personales que le conciernan y que obrenen un sistema de datos personales administradopor el sujeto obligado.

Cuando el procedimiento de acceso,rectificación, cancelación u oposición de datospersonales se presente ante un sujeto obligado, elÁrea Responsable del Sistema de DatosPersonales deberá notificar al interesado en eldomicilio o medio electrónico señalado paratales efectos, en un plazo máximo de quince díashábiles contados desde la presentación de lasolicitud, la determinación adoptada en relacióncon su solicitud, a efecto que, de resultarprocedente, se haga efectiva la misma dentro delos diez días hábiles siguientes a la fecha de lacitada notificación.

El plazo de quince días, referido en el primerpárrafo de este artículo, podrá ser ampliado porúnica vez, por un periodo igual, siempre ycuando así lo justifiquen las circunstancias delcaso.

Si al ser presentada la solicitud, se advierte queésta no es precisa o no contiene todos los datosrequeridos, en ese momento el sujeto obligado,en caso de ser solicitud verbal, deberá ayudar alsolicitante a subsanar las deficiencias. Si losdetalles proporcionados por el interesado nobastan para localizar los datos personales o sonerróneos, el Área Responsable del Sistema deDatos Personales del sujeto obligado podráprevenirlo, por una sola vez y, dentro de loscinco días hábiles siguientes a la presentación dela solicitud, para que aclare o complete susolicitud, apercibido de que de no desahogar laprevención se tendrá por no presentada lasolicitud.

Este requerimiento interrumpe los plazosestablecidos en los dos párrafos anteriores.

En el supuesto que los datos personales a que serefiere la solicitud obren en los sistemas de

Periódico Oficial No. Extraordinario del 14 de Mayo del 2012 Página 25

datos personales del sujeto obligado y ésteconsidere improcedente la solicitud de acceso,rectificación, cancelación u oposición, se deberáemitir una resolución fundada y motivada alrespecto. Dicha respuesta deberá estar firmadapor el responsable del sistema de datospersonales del sujeto obligado.

Cuando los datos personales respecto de loscuales se ejerciten los derechos de acceso,rectificación, cancelación u oposición, no seanlocalizados en los sistemas de datos del sujetoobligado, se hará del conocimiento delinteresado a través de acta circunstanciada, en laque se indiquen los sistemas de datos personalesen los que se realizó la búsqueda. Dicha actadeberá estar firmada por un representante delórgano de control interno y el responsable delsistema de datos personales del sujeto obligado.

Artículo 63. La solicitud de acceso,rectificación, cancelación u oposición de datospersonales, podrá realizarse en cualquiera de lassiguientes modalidades:

I. Por escrito, será la presentadapersonalmente por el interesado o surepresentante legal en el ÁreaResponsable del Sistema de DatosPersonales del sujeto obligado, o bien, através de correo ordinario, correocertificado o servicio de mensajería;

II. Por comparecencia, cuando elinteresado o su representante legalacuda directamente en la oficina delÁrea Responsable del Sistema de DatosPersonales del sujeto obligado, apresentar de manera oral su solicitud, lacual deberá ser capturada en el formatorespectivo;

III. Por correo electrónico, en el caso de queel sujeto obligado cuente conmecanismos electrónicos que permitanla presentación de la solicitud por estavía;

IV. Por el sistema electrónico que laComisión establezca para tal efecto, y

V. Por vía telefónica, en términos de loslineamientos que expida la Comisión.

Artículo 64. La solicitud de acceso,rectificación, cancelación u oposición de losdatos personales deberá contener, cuandomenos, los requisitos siguientes:

I. Nombre del sujeto obligado ante quien sepromueve;

II. Nombre completo del interesado, en sucaso, el de su representante legal, asícomo los documentos que acrediten laidentidad del interesado o de surepresentante legal;

III. Descripción clara y precisa de los datospersonales respecto de los que se buscaejercer alguno de los derechos antesmencionados;

IV. Cualquier otro elemento que facilite sulocalización, y

V. El domicilio o correo electrónico pararecibir notificaciones.

Cuando se trate del derecho de acceso a losdatos personales del interesado, éste deberáseñalar la modalidad en la que prefiere seotorgue dicho acceso, la cual podrá ser consultadirecta, copias simples o certificadas.

Tratándose del derecho de rectificación dedatos, además de los requisitos previstos en esteartículo, el interesado deberá indicar qué datosse requiere sean rectificados o completadosacompañando la documentación que sustentedicha acción.

En la solicitud de cancelación, el interesadodeberá indicar de manera precisa qué datossolicita que sean cancelados, aportando, en sucaso, la documentación que justifique lasrazones por las cuales considera que eltratamiento no se ajusta a lo dispuesto en estaLey o en otras disposiciones legales.

Cuando la solicitud presentada ante el sujetoobligado se refiera al ejercicio del derecho deoposición del interesado respecto de sus datospersonales, éste deberá señalar las razones porlas cuales considera que el tratamiento de losdatos no se ajusta a lo dispuesto en la ley, o, ensu caso, acreditar la procedencia del ejercicio desu derecho.

Página 26 Periódico Oficial No. Extraordinario del 14 de Mayo del 2012

En el caso de solicitudes de rectificación dedatos personales, el interesado deberá indicar eldato que es erróneo y la corrección que deberealizarse y acompañar la documentaciónprobatoria que sustente su petición, salvo que lamisma dependa exclusivamente delconsentimiento del interesado y ésta seaprocedente.

En el caso de solicitudes de cancelación dedatos personales, el interesado deberá señalarlas razones por las cuales considera que eltratamiento de los datos no se ajusta a lodispuesto en la Ley, o en su caso, acreditar laprocedencia del ejercicio de su derecho deoposición.

El único medio por el cual el interesado podrárecibir la información referente a los datospersonales será el Área Responsable del Sistemade Datos Personales, y sin mayor formalidadque la de acreditar su identidad y cubrir loscostos de conformidad con la presente Ley y elCódigo Financiero para el Estado de Tlaxcala ysus Municipios.

Artículo 65. Presentada la solicitud de acceso,rectificación, cancelación u oposición de datospersonales, el Área Responsable del Sistema deDatos Personales del sujeto obligado, observaráel procedimiento siguiente:

I. Procederá a la recepción y registro dela solicitud y devolverá al interesado,una copia de la solicitud registrada,que servirá de acuse de recibo, en laque deberá aparecer sello institucional,la hora y la fecha del registro;

II. Registrada la solicitud, se verificará sicumple con los requisitos establecidospor el artículo anterior;

III. Si la solicitud no es precisa o nocontiene todos los datos requeridos, enese momento el responsable del sistemade datos personales del sujeto obligado,en caso de ser solicitud verbal, ayudaráal solicitante a subsanar las deficiencias.Si los detalles proporcionados por elsolicitante no bastan para localizar losdatos personales o son erróneos, el

responsable podrá prevenir, por unasola vez y, dentro de los cinco díassiguientes a la presentación de lasolicitud, para que aclare o complete susolicitud, apercibido de que de nodesahogar la prevención se tendrá porno presentada la solicitud;

IV. Cuando del análisis realizado por elresponsable respecto del contenido deuna solicitud de acceso, rectificación,cancelación u oposición de datospersonales, se desprenda que dichasolicitud corresponde a otra modalidad,se orientará al interesado para quepresente su solicitud en la modalidadcorrespondiente, dentro de los cincodías siguientes a la recepción de lamisma;

V. Si la solicitud presentada nocorresponde a una solicitud de acceso,rectificación, cancelación u oposiciónsobre datos de carácter personal, elresponsable deberá notificar dichacircunstancia al interesado dentro delplazo de cinco días siguientes a larecepción de la misma y, en su caso,orientarlo para que presente unasolicitud de información pública orealice el trámite que corresponda;

VI. En caso de que el sujeto obligado al quefue dirigida la solicitud de acceso,rectificación, cancelación u oposición,no sea el competente para atenderla, oque no corresponda al ámbito de susatribuciones, dentro de los cinco díashábiles siguientes a aquel en que setenga por presentada la solicitud,procederá a orientar al interesado o surepresentante legal, en el domicilio omedio señalado para recibirnotificaciones, para que acuda al o lossujetos obligados que deban contar conlos datos objeto del ejercicio de losderechos mencionados;

VII. De cumplir con los requisitos, se turnaráa la unidad administrativa quecorresponda para que proceda a lalocalización de la información

Periódico Oficial No. Extraordinario del 14 de Mayo del 2012 Página 27

solicitada, a fin de emitir el acuerdo quecorresponda;

VIII. La unidad administrativa informará alÁrea Responsable del Sistema de DatosPersonales, de la existencia de lainformación solicitada. En caso deinexistencia, se procederá deconformidad con lo previsto por elartículo 60 para que el ÁreaResponsable del Sistema de DatosPersonales a su vez realice una nuevabúsqueda en otra área o unidadadministrativa;

IX. Con la información a que se refiere lafracción anterior, el sujeto obligadoprocederá a emitir la resolución querecaiga a la solicitud de acceso,rectificación, cancelación u oposiciónde datos personales. El término para laemisión de dicha resolución no deberáexceder de quince días hábiles contadosa partir del día siguiente al de la fechade presentación de la solicitud;

X. El Área Responsable del Sistema deDatos Personales, notificará alinteresado en el domicilio o a través delmedio señalado para tal efecto, sobre laresolución emitida por el sujetoobligado, para efecto de que, si dichasolicitud resulta procedente, se hagaefectiva la misma dentro de los quincedías hábiles siguientes a la fecha en quesea notificada la resolución. Tratándosede solicitudes de acceso a datospersonales, procederá el acceso, previaacreditación de la identidad delsolicitante o de su representante legal,según corresponda.

En la resolución emitida por el sujetoobligado, se señalará el costo que porconcepto de reproducción deberá pagarel solicitante en los términos del CódigoFinanciero para el Estado de Tlaxcala ysus Municipios;

XI. En cualquier caso, la entrega en soporteimpreso o el acceso electrónico directo ala información solicitada se realizará de

forma personal al interesado o a surepresentante legal, previa exhibicióndel original del documento con el que elinteresado o su representante legalacreditó su identidad, y

XII. De resultar procedente la rectificación,cancelación u oposición de los datospersonales, el sujeto obligado deberánotificar al interesado dichacircunstancia, para que, dentro de losdiez días siguientes, el interesado o surepresentante legal acreditenfehacientemente su identidad ante elresponsable del sistema de datospersonales y se proceda a realizar larectificación, cancelación u oposiciónde los datos personales, segúncorresponda.

Los plazos referidos en el presente artículo, sepodrán prorrogar por única vez por un periodoigual, siempre y cuando así lo justifiquen lascircunstancias del caso.

Artículo 66. La obligación del sujeto obligadorespecto del derecho de acceso, se dará porcumplida cuando se pongan a disposición deéste, los datos personales, mediante laexpedición de copias simples, documentoselectrónicos o cualquier otro medio quedetermine el Área Responsable del Sistema deDatos Personales, o bien, cuando se lleve a cabola rectificación, cancelación u oposición de losdatos personales, a que se refiere el artículoanterior.

Artículo 67. El interesado podrá recibirnotificaciones en el domicilio que haya señaladopara tal fin, vía correo electrónico o correocertificado o en los estrados del ÁreaResponsable de los Sistemas de DatosPersonales del sujeto obligado.

En el caso de que el solicitante no señaledomicilio o algún medio de los autorizados poresta Ley para oír y recibir notificaciones, todotipo de notificaciones, incluso las personales serealizará por lista que se fije en los estrados delÁrea Responsable del Sistema de DatosPersonales del sujeto obligado que correspondao de la Comisión, según sea el caso.

Página 28 Periódico Oficial No. Extraordinario del 14 de Mayo del 2012

En el caso de solicitudes de acceso a datospersonales, el interesado o, en su caso, surepresentante legal deberá acreditar su identidady personalidad al momento de la entrega de lainformación. Asimismo, deberá acreditarse laidentidad antes de que el sujeto obligadoproceda a la rectificación o cancelación.

El único medio por el cual el interesado podrárecibir la información referente a los datospersonales será el Área Responsable del Sistemade Datos Personales del sujeto obligado y sinmayor formalidad que la de acreditar suidentidad y cubrir los costos de conformidad conel Código Financiero para el Estado de Tlaxcalay sus Municipios.

Artículo 68. El trámite de solicitud de acceso,rectificación, cancelación u oposición de datospersonales es gratuito. No obstante, el interesadodeberá cubrir los costos de reproducción de losdatos solicitados, en términos de lo previsto porel Código Financiero para el Estado de Tlaxcalay sus Municipios.

Los costos de reproducción de la informaciónsolicitada se cobrarán al solicitante de maneraprevia a su entrega y se calculará atendiendo a:

I. El costo de los materiales utilizados en lareproducción de la información;

II. El costo de envío, y

III. La certificación de documentos cuandoproceda.

Los sujetos obligados deberán esforzarse porreducir al máximo, los costos de entrega deinformación.

Artículo 69. El sujeto obligado podrá negar elacceso a los datos personales o a realizar larectificación, cancelación u oposición altratamiento de éstos, en los siguientes supuestos:

I. Cuando el solicitante no sea elinteresado, o el representante legal noesté debidamente acreditado para ello;

II. Cuando en el sistema de datos personalesde la entidad, no obren los datos delsolicitante;

III. Cuando se lesionen los derechos de untercero;

IV. Cuando exista un impedimento legal, ouna resolución de una autoridadcompetente, que restrinja el acceso a losdatos personales, o no permita larectificación, cancelación u oposición delos mismos, y

V. Cuando la rectificación, cancelación uoposición haya sido previamenterealizada.

La negativa a que se refiere el presente artículopodrá ser parcial, en cuyo caso el responsableefectuará el acceso, rectificación, cancelación uoposición requerida por el interesado.

Artículo 70. En caso de que no proceda lasolicitud, el Área Responsable del Sistema deDatos Personales deberá notificar al interesado,de manera fundada y motivada las razones porlas cuales no procedió su solicitud. La respuestadeberá estar firmada por el titular del ÁreaResponsable del Sistema de Datos Personales.

CAPÍTULO IIIDEL RECURSO DE REVISIÓN

Artículo 71. El interesado que se considereagraviado por la resolución que recaiga a susolicitud de acceso, rectificación, cancelación uoposición o ante la omisión de la misma, podráinterponer recurso de revisión ante la Comisión.En este caso, el interesado deberá manifestar suinconformidad por considerar que la resoluciónemitida por el sujeto obligado no atendió alcontenido de su solicitud.

Para este efecto, el Área Responsable delSistema de Datos Personales, al dar respuesta alas solicitudes, orientarán al interesado sobre suderecho de interponer el recurso de revisión y elmodo y plazo para hacerlo.

En lo no previsto por esa Ley, durante lasustanciación del recurso de revisión, se aplicaráde manera supletoria la Ley del ProcedimientoAdministrativo del Estado de Tlaxcala y susMunicipios y el Código de ProcedimientosCiviles del Estado Libre y Soberano deTlaxcala.

Periódico Oficial No. Extraordinario del 14 de Mayo del 2012 Página 29

Artículo 72. El recurso de revisión podráinterponerse ante la Comisión, por escrito omediante comparecencia.

El recurso se interpondrá por comparecencia,cuando el interesado o su representante legal,acudan ante la Comisión a interponer el recurso,previa acreditación de su personalidad.

El plazo para interponer el recurso de revisiónserá de quince días hábiles contados a partir dela fecha en que surta efectos la notificación de laresolución administrativa impugnada.

Artículo 73. Cuando la resolución emitida por elsujeto obligado afecte los derechos de acceso,rectificación, cancelación u oposición de datospersonales de un menor o incapaz, los padres otutores de éstos, o su representante legal, segúnsea el caso, podrán interponer el recurso derevisión, previa acreditación de su personalidadasí como del parentesco y entroncamiento con elmenor o incapaz.

Artículo 74. Cuando el recurso de revisión seinterponga por escrito, éste deberá contener losrequisitos siguientes:

I. Nombre del interesado o, en su caso, elde su mandatario acompañado deldocumento que acredite supersonalidad;

II. Nombre del tercero interesado, si lohubiere;

III. Domicilio o dirección electrónica pararecibir notificaciones, y en su caso elnombre de la o las personas queautorice para tal efecto;

IV. El nombre y domicilio del sujetoobligado responsable;

V. El acto o resolución impugnado;

VI. Los hechos y agravios en que se fundela impugnación, pudiendo anexar laspruebas que sustenten su impugnación,y

VII. Acompañar original o copia certificadade la resolución definitiva que recaiga ala misma.

La Comisión suplirá la deficiencia de la queja afavor del interesado e intervendrá de oficio paragarantizar la protección de los datos personalesy los principios que lo rigen.

Para efectos de lo dispuesto en el párrafoanterior, cuando el interesado no cumpla conalguno de los requisitos que señala el artículoanterior, la Comisión, en un plazo no mayor ados días, lo prevendrá para que en un términomáximo de tres días contados a partir de aquélen que haya surtido efectos la notificaciónsubsane las irregularidades. Con elapercibimiento de que en caso de no cumplir setendrá por no interpuesto el recurso.

Artículo 75. Recibido el recurso de revisión, laComisión lo notificará al sujeto obligado aquien se atribuya el acto o resoluciónimpugnado, a más tardar dentro de los tres díashábiles siguientes, remitiéndole copia simple delas constancias que integran dicho recurso, aefecto de que en un término de cinco díashábiles contados a partir del día siguiente al desu notificación, rinda un informe justificado delacto que se le impugna.

Si dentro del término fijado en el párrafoanterior, no se recibiera el informe justificado, setendrán por ciertos los hechos señalados por elinteresado, siempre que éstos le seandirectamente imputables al sujeto obligado, porlo que la Comisión procederá a desahogar laspruebas ofrecidas por el interesado y emitirá laresolución correspondiente.

Artículo 76. Después de recibido el informejustificado por parte del sujeto obligado, elComisionado Ponente deberá certificar a laspartes la fecha de inicio y de conclusión delperiodo concedido para ofrecer pruebas ydesahogarlas, el que no podrá exceder de quincedías hábiles a partir de que sea legalmentenotificado el acuerdo correspondiente.

Las partes podrán ofrecer todo tipo de pruebas,excepto la confesional de los sujetos obligados yaquellas que sean contrarias a derecho. La

Página 30 Periódico Oficial No. Extraordinario del 14 de Mayo del 2012

Comisión señalará las fechas para el desahogode aquellos medios de prueba que por su propiay especial naturaleza así lo requieran.

En cualquier caso corresponderá a la Comisióndesechar aquellas pruebas que no guardenrelación con el recurso.

La Comisión, por conducto del Registro, tendráacceso a la información contenida en lossistemas de datos personales que resulteindispensable para resolver el recurso. Dichainformación deberá ser mantenida con carácterconfidencial y no estará disponible en elexpediente.

Artículo 77. Una vez transcurrido el términoprobatorio concedido a las partes, se fijará fechapara la audiencia de alegatos, los que podránformularse ante la Comisión, por comparecenciao por escrito.

La audiencia de alegatos a que se refiere elpresente artículo deberá celebrarse dentro de lostres días hábiles siguientes a la conclusión delperiodo probatorio.

Artículo 78. La resolución que recaiga alrecurso de revisión interpuesto, se deberá emitirdentro de los diez días hábiles contados a partirde la fecha en que se haya celebrado laaudiencia de alegatos.

Al resolver el recurso de revisión, la Comisiónpodrá:

I. Desechar el recurso por improcedente obien, sobreseerlo;

II. Confirmar el acto o resoluciónimpugnada, y

III. Revocar o modificar las decisiones delsujeto obligado y solicitarle a éste quepermita al interesado el acceso a lainformación solicitada, que laproporcione completa, que reclasifiquela información o bien, que modifiquetales datos.

Las resoluciones, siempre deberán constar porescrito, establecerán los plazos para su

cumplimiento y los procedimientos paraasegurar la ejecución.

Si la Comisión no resuelve recurso de revisiónen el plazo establecido en esta Ley, será motivode responsabilidad.

Artículo 79. En contra de la resolución queresuelva el recurso de revisión interpuesto antela Comisión, no procederá recurso ordinarioalguno.

Artículo 80. Sin perjuicio de lo dispuesto en elpresente Capítulo, la Comisión podrá encualquier momento del procedimiento citar a laspartes a una audiencia de conciliación. Deresolverse favorablemente el asunto, la Comisiónemitirá una resolución en la que haga constar elcontenido del acuerdo, el cual tendrá efectosvinculantes para las partes.

CAPÍTULO IVDE LA IMPROCEDENCIA DEL RECURSO

Y DEL SOBRESEIMIENTO

Artículo 81. Será improcedente el recurso derevisión, cuando:

I. El recurso se interponga fuera de losplazos fijados para tal efecto por estaLey;

II. El acto impugnado ya haya sido materiade una resolución anterior emitida por laComisión;

III. Se encuentre en trámite ante autoridadjurisdiccional federal competente, algúnrecurso o medio de defensa intentadopor el recurrente;

IV. Se impugnen actos o resoluciones queno hayan sido emitidos por el sujetoobligado, y

V. Se interponga contra un acto oresolución con el que haya identidad departes, pretensiones y actos reclamados,respecto a otro recurso de revisión.

Artículo 82. Procede el sobreseimiento delrecurso de revisión:

Periódico Oficial No. Extraordinario del 14 de Mayo del 2012 Página 31

I. Si el recurrente se desiste de maneraexpresa del recurso interpuesto;

II. Por muerte del recurrente o extincióndel sujeto obligado;

III. Si al admitirse el recurso de revisión,sobrevenga alguna causal deimprocedencia de las previstas en lapresente Ley;

IV. Ante la manifestación expresa de laconformidad con la modificación,cancelación, inclusión,complementación, rectificación,suspensión, reserva o cancelación de losdatos personales del recurrente; o bien,ante el desistimiento por escrito de ésterespecto de la acción intentada, previaratificación del mismo, y

V. Cuando el recurso quede sin materia.

CAPÍTULO VDE LA EJECUCIÓN DE LAS

RESOLUCIONES

Artículo 83. El Comisionado Presidente y laSecretaría Técnica y de Asuntos Jurídicos de laComisión, serán las áreas encargadas de ejecutarlas resoluciones que hubiere pronunciado elConsejo General, con apoyo del Secretario deEstudio que haya conocido del asunto.

Para tal efecto, la Secretaría Técnica y deAsuntos Jurídicos de la Comisión, dictará losacuerdos de ejecución pertinentes, a fin de darcumplimiento a las determinaciones emitidaspor el Consejo General.

Artículo 84. Una vez que haya sido notificadaal sujeto obligado, la resolución recaída alrecurso de revisión, ésta deberá darcumplimiento a lo determinado en la mismadentro del término de cinco días hábilescontados a partir del día siguiente al de lanotificación respectiva, debiendo informar a laComisión sobre su cumplimiento.

Ante el incumplimiento a lo dispuesto por elpárrafo anterior, la Comisión informará de dichacircunstancia al titular del sujeto obligado o ante

su superior jerárquico, según sea procedente,para que instaure el procedimiento sancionadorprevisto en la Ley de Responsabilidades de losServidores Públicos para el Estado de Tlaxcala.

Artículo 85. Una vez que haya sidodebidamente cumplimentada por el sujetoobligado, la resolución emitida por el ConsejoGeneral de la Comisión, se procederá a dictar elacuerdo correspondiente a su conclusión yarchivo.

TÍTULO SEXTODE LAS INFRACCIONES Y SANCIONES

CAPÍTULO ÚNICODE LAS INFRACCIÓNES

Artículo 86. Constituyen infracciones leves a lapresente Ley:

I. Omitir la inclusión, complementación,rectificación, actualización, reserva,suspensión o cancelación, de oficio o apetición del interesado, de los datospersonales que obren en sistemas dedatos personales;

II. Incumplir las instrucciones dictadas porel responsable del archivo, registro,base o banco de datos del sujetoobligado del que dependa;

III. Crear los sujetos obligados el sistema dedatos de carácter personal, sin haber sidonotificado previamente a la Comisión nihaberse hecho la publicación respectivade la resolución de la creación de dichosistema en el Periódico Oficial delGobierno del Estado de Tlaxcala;

IV. Omitir la publicación respectiva de laresolución de la modificación osupresión del sistema de datospersonales en el Periódico Oficial delGobierno del Estado de Tlaxcala, asícomo la respectiva notificación a laComisión;

V. Recabar datos de carácter personal sinproporcionar la información prevista enla presente Ley;

Página 32 Periódico Oficial No. Extraordinario del 14 de Mayo del 2012

VI. Omitir, sin razón fundada, la atención desolicitudes de acceso, rectificación,cancelación u oposición de datospersonales;

VII. Crear un sistema de datos personales sinproporcionar la información prevista enesta Ley así como omitir en el aviso deprivacidad, alguno o todos los elementosa que se refiere el párrafo tercero delartículo 14;

VIII. Actuar con negligencia, dolo o mala feen la tramitación, sustentación yrespuesta de solicitudes de acceso,rectificación, cancelación u oposición dedatos personales, dentro de los plazosprevistos así como el no comunicar alsolicitante cuando la solicitud no sea desu competencia, y

IX. Cualquiera otra de carácter puramenteformal o documental que no pueda sercatalogada como grave.

Artículo 87. Son infracciones graves en materiade datos personales:

I. Obtener o tratar datos personales paraconstituir o implementar registros dedatos de titularidad pública, sin que estéprevista su autorización por la normaaplicable;

II. Declarar dolosamente la inexistencia dedatos personales, cuando exista total oparcialmente en la base de datos delresponsable del sujeto obligado;

III. Obtener o tratar automatizadamentedatos personales para constituir oimplementar un registro de datos detitularidad privada, sin el consentimientodel interesado o de quien legítimamentepuede otorgarlo;

IV. Obtener o tratar automatizadamente oadministrar datos de carácter personalcon violación a los principios que rigenesta Ley o de las disposiciones que sobreprotección y seguridad de datos seanvigentes;

V. Impedir u obstaculizar de manerainjustificada, el ejercicio de los derechosde acceso;

VI. Violentar el secreto profesional que debeguardar por disposición de esta Ley;

VII. Omitir total o parcialmente elcumplimiento de las resolucionesemitidas por la Comisión, así comoobstruir las funciones de la misma;

VIII. Omitir o presentar de maneraextemporánea los informes a que serefiere la presente Ley;

IX. Obtener datos personales de maneraengañosa o fraudulenta;

X. Transferir datos personales, fuera delos supuestos permitidos,particularmente cuando la transmisiónhaya tenido por objeto obtener un lucroindebido;

XI. Impedir u obstaculizar la inspecciónordenada por la Comisión;

XII. Destruir, alterar, ceder datospersonales, archivos o sistemas dedatos personales sin autorización delinteresado;

XIII. Incumplir con la inmovilización desistemas de datos personales ordenadapor la Comisión, y

XIV. Mantener archivos, registros, bases obancos de datos, inmuebles, equipos oherramientas sin las condicionesmínimas de seguridad requeridas poresta Ley y demás disposiciones legalesaplicables.

Artículo 88. La Comisión denunciará ante lasautoridades competentes cualquier conductaprevista en el artículo anterior y aportará laspruebas que considere pertinentes para efectosde que, en tratándose de infracciones cometidaspor servidores públicos, se proceda a sancionaradministrativamente a dicho servidor conforme alo dispuesto por los artículos 66 al 75 de la Ley

Periódico Oficial No. Extraordinario del 14 de Mayo del 2012 Página 33

de Responsabilidades de los Servidores Públicospara el Estado de Tlaxcala, con independencia delas responsabilidades civiles o penales queprocedan.

Los órganos de control y fiscalización internosde las entidades públicas deberán entregarsemestralmente a la Comisión, un informeestadístico de los procedimientos administrativosiniciados con motivo del incumplimiento de lapresente Ley y sus resultados. Esta informaciónserá incorporada al informe anual de laComisión.

Artículo 89. Además de las denuncias sobre lasfaltas administrativas cometidas por servidorespúblicos con motivo del incumplimiento de lapresente Ley, la Comisión podrá solicitar altitular de la dependencia o ante su superiorjerárquico, la amonestación pública o privada,según el caso.

La Comisión dará seguimiento a las actuacionesy diligencias que se practiquen con motivo delprocedimiento administrativo que el sujetoobligado integre o instruya en contra de él o losservidores públicos infractores. Esta facultad selimitará únicamente a la observación atenta delcurso del asunto de que se trate hasta suresolución definitiva, sin que en ningún caso seentienda como la posibilidad de intervenir comoparte en aquéllos, haciendo o promoviendo lasdiligencias conducentes para su resolución.

Artículo 90. Una vez emitida la resoluciónderivada del procedimiento sancionadorinstaurado en contra de él o los servidorespúblicos infractores a las disposiciones de lapresente Ley, dentro de los tres días hábilesposteriores, deberá comunicar el sentido dedicha resolución a la Comisión.

La Comisión, de manera inmediata, notificará alinteresado el sentido de la resolución emitida porel sujeto obligado, para que si éste considera quela resolución emitida es contraria a derecho o nose encuentra debidamente fundada y motivada,pueda inconformarse con el sentido de dicharesolución, a través del recurso de revocación,ante la autoridad que la haya emitido, conformea las reglas del Código de Procedimientos

Penales para el Estado Libre y Soberano deTlaxcala.

TRANSITORIOS

ARTÍCULO PRIMERO. La presente Leyentrará en vigor el día siguiente al de supublicación en el Periódico Oficial del Gobiernodel Estado de Tlaxcala.

ARTÍCULO SEGUNDO. La Comisión deAcceso a la Información Pública y Protección deDatos Personales del Estado de Tlaxcala,expedirá el Reglamento de esta Ley dentro de lossesenta días posteriores a la entrada en vigor dela presente Ley.

ARTÍCULO TERCERO. Una vez entrada envigor la presente Ley, la Comisión realizará lasprevisiones presupuestales necesarias para dotarde los recursos económicos, materiales yhumanos necesarios para el funcionamiento delRegistro Estatal de Protección de DatosPersonales.

ARTÍCULO CUARTO. Los sujetos obligadosque administren o pretendan administrarsistemas de datos personales, deberán notificar ala Comisión, dentro de los treinta días hábilesposteriores a la entrada en vigor de la presenteLey, la relación de los sistemas que posean paraque se proceda a su inscripción en el Registro.

ARTÍCULO QUINTO. Los titulares u órganosde gobierno de los sujetos obligados, designarána la persona responsable del sistema de datospersonales a que se refiere el artículo 40 de lapresente Ley, dentro de los sesenta díasposteriores a la entrada en vigor de esteordenamiento legal.

ARTÍCULO SEXTO. Los interesados podránejercer ante los responsables sus derechos deacceso, rectificación, cancelación y oposicióncontemplados en el Título Quinto de esta Ley,dentro de los noventa días posteriores a laentrada en vigor de la Ley.

ARTÍCULO SÉPTIMO. Se derogan todasaquellas disposiciones que se contrapongan a lapresente Ley.

Página 34 Periódico Oficial No. Extraordinario del 14 de Mayo del 2012

AL EJECUTIVO PARA QUE LOSANCIONE Y MANDE PUBLICAR

Dado en la sala de sesiones del Palacio Juárez,recinto oficial del Poder Legislativo del EstadoLibre y Soberano de Tlaxcala, en la ciudad deTlaxcala de Xicohténcatl, a los veintiséis días delmes de abril del año dos mil doce.

C. JUAN JAVIER POTRERO TIZAMITL.-DIP. PRESIDENTE.- Rúbrica.- C.FORTUNATO MACÍAS LIMA.- DIP.SECRETARIO.- Rúbrica.- C.BERNARDINO PALACIOS MONTIEL.-DIP. SECRETARIO.- Rúbrica.

Al calce un sello con el Escudo Nacional quedice Estados Unidos Mexicanos. Congreso del

Estado Libre y Soberano. Tlaxcala. PoderLegislativo.Por lo tanto mando se imprima, publique, circuley se le dé el debido cumplimiento.

Dado en el Palacio del Poder Ejecutivo delEstado, en la ciudad de Tlaxcala deXicohténcatl, a los a los diez días del mes demayo de 2012.

EL GOBERNADOR DEL ESTADOMARIANO GONZALEZ ZARUR

Rúbrica.

EL SECRETARIO DE GOBIERNONOE RODRIGUEZ ROLDAN

Rúbrica.

* * * * * *

PUBLICACIONES OFICIALES

* * * * * *