Ley que regula el tratamiento legitimo, controlado e informado de los datos personales en posesion de los particulares en Mexico, garantizando la privacidad y el derecho a la autodeterminacion informativa de las personas fisicas.
69 artículos totales · 11 artículos clave analizados
Establece que la Ley es de orden publico y tiene por objeto la proteccion de los datos personales en posesion de los particulares, con la finalidad de regular su tratamiento legitimo, controlado e informado, garantizando la privacidad y el derecho a la autodeterminacion informativa de las personas.
Senala las excepciones a la aplicacion de la Ley, excluyendo a las sociedades de informacion crediticia reguladas por la Ley para Regular las Sociedades de Informacion Crediticia y a los datos personales en posesion de sujetos obligados conforme a la legislacion de transparencia.
Contiene las definiciones fundamentales de la Ley, incluyendo los conceptos de datos personales, datos personales sensibles, responsable, encargado, titular, tratamiento, transferencia, aviso de privacidad, consentimiento, bloqueo y otros terminos esenciales para su aplicacion.
Establece que los principios y disposiciones de la Ley tendran como limite en cuanto a su observancia y ejercicio, la proteccion de la seguridad nacional, el orden, la seguridad y salud publicos, asi como los derechos de terceros.
Establece que a falta de disposicion expresa en esta Ley, se aplicaran de manera supletoria las disposiciones del Codigo Federal de Procedimientos Civiles y la Ley Federal de Procedimiento Administrativo.
Establece los ocho principios rectores que deben observar los responsables en el tratamiento de datos personales: licitud, consentimiento, informacion, calidad, finalidad, lealtad, proporcionalidad y responsabilidad.
Precisa el deber de licitud estableciendo que los datos personales deberan recabarse y tratarse de manera licita conforme a las disposiciones de la Ley. La obtencion no debe hacerse a traves de medios enganosos o fraudulentos.
Regula el consentimiento como base legal para el tratamiento de datos personales. Establece que el consentimiento puede ser tacito cuando el titular no manifieste oposicion despues de conocer el aviso de privacidad, o expreso cuando se requiera por la naturaleza de los datos.
Establece el regimen especial para los datos personales sensibles, requiriendo consentimiento expreso y por escrito del titular para su tratamiento, con la manifestacion de la finalidad y mediante firma autografa o mecanismo equivalente.
Enumera las situaciones en las que no sera necesario recabar el consentimiento del titular para el tratamiento de sus datos personales, incluyendo mandatos legales, emergencias medicas, fuentes de acceso publico y relaciones juridicas preexistentes.
Establece el derecho del titular a revocar su consentimiento para el tratamiento de sus datos personales en cualquier momento. El responsable debe establecer mecanismos sencillos y gratuitos para la revocacion.
Desarrolla el principio de calidad de los datos personales, estableciendo que estos deberan ser pertinentes, correctos y actualizados para los fines para los cuales fueron recabados.
Desarrolla el principio de finalidad, estableciendo que el tratamiento de datos debe limitarse al cumplimiento de las finalidades previstas en el aviso de privacidad. En caso de pretender usarlos para una finalidad distinta, se debera obtener nuevo consentimiento.
Establece el deber del responsable de velar por el cumplimiento de los principios de proteccion de datos personales, adoptando las medidas necesarias para su aplicacion, incluyendo politicas y programas de privacidad obligatorios.
Establece la obligacion del responsable de informar a los titulares de los datos, la informacion que se recaba de ellos y con que fines, a traves del aviso de privacidad que debe ponerse a disposicion previo al tratamiento.
Establece los elementos minimos que debe contener el aviso de privacidad: identidad del responsable, datos que se recaban, finalidades, mecanismos para ejercer derechos ARCO, medios para limitar uso o divulgacion, transferencias, clausula de cambios y consentimiento para datos sensibles.
Regula las diferentes formas en que el aviso de privacidad debe ponerse a disposicion de los titulares segun el medio de recabacion de datos: personal, directo, indirecto o por medios electronicos.
Regula la obligacion del responsable cuando obtiene datos personales de forma indirecta, es decir, sin recabarlos directamente del titular, debiendo comunicar el aviso de privacidad.
Establece la obligacion del responsable de implementar medidas de seguridad administrativas, tecnicas y fisicas para proteger los datos personales contra dano, perdida, alteracion, destruccion, uso, acceso o tratamiento no autorizado.
Regula la obligacion del responsable de informar sin dilacion al titular cuando ocurran vulneraciones de seguridad que afecten de forma significativa los derechos patrimoniales o morales del titular.
Establece que el responsable debera procurar que el encargado cumpla con las medidas de seguridad establecidas y que el tratamiento se limite a lo estrictamente necesario conforme a las instrucciones del responsable.
Consagra los derechos de Acceso, Rectificacion, Cancelacion y Oposicion (ARCO) que tiene todo titular respecto de sus datos personales. Estos derechos son personalisimos y deben ejercerse por el titular o su representante legal.
Desarrolla el derecho de acceso, estableciendo que el titular tiene derecho a obtener sus datos personales que obren en posesion del responsable, asi como informacion relativa a las condiciones y generalidades de su tratamiento.
Desarrolla el derecho de rectificacion, estableciendo que el titular tiene derecho a solicitar la correccion de sus datos personales cuando sean inexactos, incompletos o no esten actualizados.
Desarrolla el derecho de cancelacion, que implica el cese del tratamiento y posterior supresion de los datos personales, previo periodo de bloqueo, cuando el titular considere que sus datos no estan siendo tratados conforme a la Ley.
Desarrolla el derecho de oposicion, que permite al titular oponerse al tratamiento de sus datos personales para finalidades especificas, particularmente aquellas relacionadas con mercadotecnia, publicidad y prospeccion comercial.
Establece que el ejercicio de los derechos ARCO sera gratuito, pudiendo el responsable solicitar unicamente el pago de los costos de reproduccion o envio de la informacion solicitada, previa acreditacion del titular.
Establece los requisitos y el procedimiento para presentar una solicitud de ejercicio de derechos ARCO ante el responsable, incluyendo los datos que debe contener la solicitud y los plazos de respuesta.
Regula la obligacion del responsable de responder a las solicitudes ARCO en los plazos establecidos. El responsable debe comunicar al titular su determinacion y, en caso de que sea procedente, hacer efectivo el derecho dentro de los 10 dias habiles siguientes.
Establece que cuando el responsable modifique datos personales en atencion a una solicitud de rectificacion, debe notificar la modificacion al encargado y a los terceros a quienes haya transferido los datos.
Establece la obligacion del responsable de designar a una persona, o departamento de datos personales, para dar tramite a las solicitudes de los titulares y fomentar la proteccion de datos personales al interior de la organizacion.
Establece las causas por las cuales el responsable puede negar total o parcialmente una solicitud de ejercicio de derechos ARCO, incluyendo cuando el solicitante no sea el titular o no acredite su representacion legal.
Establece la forma en que el responsable debe entregar la informacion solicitada por el titular, indicando que debera hacerlo en formatos legibles y comprensibles o en documentos electronicos.
Establece que el responsable debera entregar al titular, de manera gratuita, una copia de los datos personales solicitados. Solo en caso de solicitudes reiterativas se podran cobrar los costos de reproduccion.
Consagra el derecho del titular de acudir ante el INAI cuando el responsable no atienda su solicitud de derechos ARCO, o cuando considere que la respuesta es insuficiente o inadecuada.
Regula las transferencias de datos personales a terceros nacionales o extranjeros, estableciendo que el responsable no necesitara consentimiento en ciertos supuestos pero debera informar en el aviso de privacidad las transferencias que realice.
Enumera los supuestos en los que las transferencias nacionales o internacionales de datos personales pueden realizarse sin el consentimiento del titular, incluyendo transferencias entre empresas del mismo grupo corporativo.
Establece que el INAI es la autoridad garante en materia de proteccion de datos personales en posesion de particulares, con autonomia constitucional, encargada de vigilar el cumplimiento de la Ley y resolver controversias.
Enumera las atribuciones del INAI en materia de proteccion de datos personales, incluyendo la vigilancia del cumplimiento de la Ley, la emision de lineamientos, la atencion de quejas, la realizacion de verificaciones y la imposicion de sanciones.
Establece la facultad del INAI para promover y validar esquemas de autorregulacion vinculante en materia de proteccion de datos personales, como codigos de buenas practicas, sellos de confianza y mecanismos de certificacion.
Establece la obligacion del responsable de comunicar al INAI las vulneraciones de seguridad que afecten de forma significativa los derechos patrimoniales o morales de los titulares.
Establece que el INAI llevara un registro de los esquemas de autorregulacion que cumplan con los requisitos establecidos, y podra publicar los nombres de los responsables que se adhieran a dichos esquemas.
Regula el procedimiento de proteccion de derechos ante el INAI, que inicia con la solicitud del titular cuando el responsable no atiende o atiende de forma insatisfactoria una solicitud de derechos ARCO.
Detalla los elementos que debe contener la solicitud de proteccion de derechos que el titular presenta ante el INAI, incluyendo la identificacion del responsable, los hechos y las pruebas que sustenten la queja.
Regula el tramite de admision de la solicitud de proteccion de derechos por parte del INAI y el traslado al responsable para que rinda su informe, asi como la etapa de conciliacion entre las partes.
Establece los elementos que debe contener la resolucion del INAI en el procedimiento de proteccion de derechos, asi como los plazos y efectos de dicha resolucion.
Establece las medidas de apremio que puede aplicar el INAI para hacer cumplir sus resoluciones, incluyendo multas coercitivas y otras medidas previstas en la legislacion aplicable.
Establece la obligacion del responsable de presentar al INAI informes sobre el cumplimiento de las resoluciones emitidas en procedimientos de proteccion de derechos.
Establece los supuestos en los que la solicitud de proteccion de derechos ante el INAI sera improcedente, incluyendo cuando el titular no haya ejercido previamente sus derechos ante el responsable.
Establece las facultades del INAI para realizar verificaciones de oficio o a peticion de parte, a fin de comprobar el cumplimiento de las disposiciones de la Ley por parte de los responsables.
Regula los requisitos y formalidades para el inicio del procedimiento de verificacion por parte del INAI, incluyendo la orden de verificacion y los derechos del responsable verificado.
Establece las reglas para el desarrollo de la verificacion, incluyendo las formalidades del acta de verificacion, los derechos del responsable durante la diligencia y la forma de documentar los hallazgos.
Establece el derecho del responsable de presentar pruebas y alegatos ante el INAI despues de la verificacion, asi como el plazo para hacerlo antes de que se emita la resolucion correspondiente.
Regula la resolucion del procedimiento de verificacion, estableciendo que el INAI determinara si existen o no violaciones a la Ley y, en su caso, las sanciones que correspondan.
Regula el procedimiento que sigue el INAI para imponer sanciones a los responsables que violen las disposiciones de la Ley, garantizando el debido proceso y la garantia de audiencia.
Establece que en lo no previsto por la Ley respecto del procedimiento de imposicion de sanciones, se aplicara supletoriamente la Ley Federal de Procedimiento Administrativo.
Establece el recurso de revision como medio de impugnacion contra las resoluciones del INAI en procedimientos de verificacion y sancion, asi como los plazos y requisitos para su interposicion.
Establece el procedimiento para el tramite del recurso de revision, incluyendo la admision, sustanciacion y resolucion del recurso por parte del INAI o del tribunal competente.
Establece los efectos y el alcance de la resolucion del recurso de revision, asi como los medios de defensa adicionales disponibles para las partes inconformes.
Enumera las conductas que constituyen infracciones a la Ley y que son sancionables por el INAI, desde no cumplir con la solicitud del titular hasta tratar datos sensibles sin consentimiento.
Complementa el catalogo de infracciones del articulo 60 con conductas adicionales sancionables, incluyendo el incumplimiento del deber de confidencialidad, la vulneracion de la seguridad de bases de datos y el impedimento de verificaciones.
Establece infracciones especificas relacionadas con el tratamiento indebido de datos personales sensibles, incluyendo la creacion de bases de datos sensibles sin justificacion y el tratamiento sin consentimiento expreso y por escrito.
Establece las sanciones economicas aplicables a las infracciones previstas en la Ley, con montos que van desde 100 hasta 320,000 veces el valor diario de la UMA, dependiendo de la gravedad de la infraccion.
Establece que las sanciones se duplicaran cuando las infracciones involucren datos personales sensibles, asi como otros supuestos de agravamiento de las sanciones.
Establece las circunstancias que pueden atenuar la sancion impuesta por el INAI, incluyendo la adopcion de esquemas de autorregulacion, la correccion voluntaria de la infraccion y la colaboracion con la autoridad.
Establece el plazo de prescripcion para las infracciones a la Ley, senalando que las acciones para imponer sanciones prescriben en un plazo de tres anos contados a partir de la fecha en que se cometio la infraccion.
Tipifica como delitos las conductas mas graves en materia de tratamiento indebido de datos personales, estableciendo penas de prision para quien con animo de lucro provoque una vulneracion de seguridad o trate datos de forma enganosa.
Establece una pena agravada de uno a cinco anos de prision cuando la vulneracion de seguridad con animo de lucro involucre datos personales sensibles, reconociendo el mayor dano potencial.
Establece que cuando los delitos previstos en los articulos 67 y 68 involucren datos personales sensibles, las penas se incrementaran hasta en una mitad, reconociendo la especial proteccion de estos datos.
Nuestros especialistas pueden analizar la aplicación de estas disposiciones a tu caso particular.
Consulta Sin Costo